Comparación de métodos para el análisis del riesgo de ciberseguridad

S. Palumbo, A. Tomàs

A medida que internet impregna exponencialmente nuestro trabajo y vida diarios, se van registrando cada vez más ataques cibernéticos. Hoy en día existe un gran desafío sobre cómo tratarlos en los sectores industriales, especialmente en aquellos con un alto riesgo asociado, ya sea de seguridad, medio ambiente o socioeconómico, es decir, instalaciones estratégicas. Este artículo tiene como objetivo comparar dos metodologías disponibles en el mercado para enfrentar los nuevos riesgos derivados de la superposición de la Tecnología de la Información (TI) con la Tecnología de Operación (OT).

1. Evolución Industrial

En la historia moderna destacan tres etapas diferencias de la evolución industrial:

  • El paso del uso de la fuerza humana al uso de máquinas.
  • La incorporación de la computación y automatización, con la consiguiente mejora en la producción.
  • La integración continua de sistemas cibernéticos en los procesos industriales.

En el mundo industrializado, primero se dio la conexión entre humanos y máquinas por medio de robots, después la atención se centró en las conexiones e integración de los procesos para lograr una producción optimizada (análisis basado en datos) y hoy en día la Industria 4.0 se basa en la inteligencia artificial (IA), los servicios en la nube y el Internet industrial.

2. Exposición a ciberataques

Cambiar a un nuevo enfoque industrial implica nuevas amenazas que deben ser tenidas en cuenta. Los principales proveedores de seguridad cibernética (W. Schwab y M. Poujol, “The State of Industrial Cybersecurity 2018”, Kaspersky LAB – CXP Group, 2018 y “Symantec Security Response”, 2014) informan de que los ataques cibernéticos están creciendo en los últimos años, pero que el nivel de preparación de las industrias es alarmantemente bajo.

Es notable el ejemplo del troyano Remote Access Trojan (RAT) llamado Havex, utilizado para espiar los sistemas de control industrial (ICS) y desarrollado por un equipo llamado Dragonfy (también conocido como “Energetic Bear” por su participación en ataques a diferentes instalaciones energéticas) que comenzó a extenderse en 2010, pero no fue descubierto hasta 2013, a pesar de su presencia masiva en computadoras industriales. Del mismo modo, el código del troyano Karagany, del mismo equipo Dragonfly, que se filtró y se hizo público en 2010, pero que en 2013 todavía suponía el 5% de los ataques cibernéticos, hasta que las empresas de la industria adoptaron las protecciones adecuadas.

3. Tecnología de la Información vs Tecnología de la Operación

Los ataques cibernéticos han sido considerados como el área de actuación de Tecnología de Información (TI), que utiliza computadoras para almacenar, recuperar, transmitir y manipular datos o información. La comunicación de extremo a extremo es monitoreada y protegida por TI, para evitar la intrusión de la red, la redirección de datos o el robo de información. Los departamentos de TI luchan contra la guerra cibernética mediante softwares de seguridad cibernética actualizados, cortafuegos resistentes y transferencia controlada de datos a través de redes y, en particular, a través de servidores de Internet.

Tecnología de Operación (OT), responsable del control de los parámetros del proceso industrial, adopta un enfoque completamente diferente para proteger sus datos, que consiste en el aislamiento completo del acceso externo. En OT, la transmisión de datos se realiza mediante módulos cableados entre Controladores lógicos programables (PLC), Sistemas de Supervisión, Control y Adquisición de Datos (SCADA) y/o Sistemas de control distribuido (DCS). La gestión de los datos del proceso se limita a la unidad de negocio, sin intercambio de datos con otras redes externas ni Internet y todos los sistemas de entrada respetan una política de autorización interna específica.

Para las empresas de Tecnología de la Información (TI) un ataque cibernético tiene un impacto económico debido a la pérdida potencial de datos o la caída del sistema virtual, mientras que para Tecnología de Operación (OT), en la nueva industria 4.0 de interconexión y operación a distancia, si una planta de producción es víctima de piratas informáticos, pueden producirse consecuencias directas para la seguridad del personal y la integridad del medio ambiente.

  • Para TI, la solución es evitar ataques cibernéticos tapando vulnerabilidades, usando firewalls de múltiples capas y mediante actualizaciones continuas de software para fortalecer la configuración del sistema
  • Para OT, la actualización de un nuevo sistema operativo supone la pérdida de la continuidad de la operación y un riesgo para la integridad del proceso, ya que las funciones de seguridad se desactivarían temporalmente. Esto implica que no se pueden realizar actualizaciones de software en cuanto se descubre una vulnerabilidad, sino que se requiere una planificación y una evaluación de riesgos dedicada.

Tabla 1. Comparación entre IT y OT.

TECNOLOGÍA DE INFORMACIÓN (IT) TECNOLOGÍA DE OPERACIÓN (OT)
Objetivo Almacenar, recuperar, transmitir y manipular datos o información Seguridad del Proceso y de la Producción
Dirigido a Computadoras, redes, sistemas de almacenamiento de datos. Sistemas de Control Industrial (ICS) que ajustan variables de proceso
Personal involucrado Ingenieros informáticos, de telecomunicaciones y de redes Ingenieros de automatización y control, Ingenieros de proceso y Mantenimiento
Prioridad 1 Confidencialidad

De la red de comunicación mediante firewalls, login de usuario, permisos de acceso, etc

Disponibilidad

Del proceso para asegurar la seguridad y la continuidad de la producción

Prioridad 2 Integridad

De los datos almacenados mediante backups o otras soluciones

Integridad

De los equipos para lograr los objetivos de producción

Prioridad 3 Disponibilidad

Del acceso a datos mediante sistemas redundantes o configuración dinámica de redes

Confidencialidad

Debido a que hay diferentes proveedores involucrados en la construcción, puesta en marcha y operación de la planta

Hardware Actualizaciones directas, instalación sencilla de módulos, vida útil a corto plazo, servicio de soporte remoto por múltiples proveedores Actualizaciones planificadas, puesta en servicio completa de actualizaciones, vida útil a largo plazo, soporte restringido a proveedores confiables
Red de Comunicación Internos con externos, por internet Solo internos, red por cable
Consecuencias de un ciberataque Pérdida de datos, información robada, redes inaccesibles Seguridad del personal, afectaciones ambientales, pérdida de producción

 

4. C-HAZOP

Mientras la TI ha estado completamente separada de la OT, se ha garantizado un impacto limitado de los ataques cibernéticos a una planta de proceso, pero ahora que este límite es borroso y la comunicación entre los sensores inteligentes (es decir, Internet de las cosas – IoT) y los usuarios finales se realiza a través de Internet, el riesgo de un ataque cibernético al Sistema de Control Instrumentado (ICS), PLC, SCADA o un DCS, es real.

En el mercado se ofrece una gran variedad de sensores inteligentes, soluciones de monitoreo de datos en tiempo real y administración de datos de servicios en la nube, pero cuando se descubre una nueva vulnerabilidad la falta de estándares está creando dificultades para cumplir con las actualizaciones de seguridad del sistema. Para mitigar esta situación, se desarrolló la norma IEC 62443, con una sección específica dirigida a fabricantes, vendedores y proveedores de sistemas cibernéticos, intentando estandarizar métodos, procedimientos y componentes.

Se propone, además, un análisis de riesgos para evaluar los efectos de un posible ataque cibernético sobre las vulnerabilidades creadas por la interacción entre TI y OT, denominado Estudio C-HAZOP (Control Hazard and Operability Study). El enfoque de C-HAZOP es identificar los modos de falla de los componentes de datos industriales y de comunicación y proporcionar una mejor comprensión de los vectores de ataque cibernético, a fin de proponer recomendaciones para evitarlos.

El primer paso en un C-HAZOP es dividir los sistemas generales en subunidades, identificando según IEC 62443:

  • Zonas: “Un grupo de activos lógicos o físicos que comparten requisitos de seguridad comunes”;
  • Conductos: “Un grupo lógico de activos de comunicación que protege la seguridad de los canales que contiene”.

Las primeras son las áreas responsables del control, el almacenamiento y la integridad de los datos, mientras que los segundos son responsables de transferir la información entre zonas. Cada una de estas áreas se analiza considerando posibles vulnerabilidades del sistema, asignándoles una probabilidad de ataque cibernético y clasificando los riesgos más altos, en función de las consecuencias identificadas. El siguiente paso de este análisis es tener en cuenta las contramedidas de TI existentes y asignar, para cada riesgo resultante, un objetivo de Nivel de Seguridad (SL), que se define como “un conjunto de políticas, procedimientos y prácticas que deben implementarse para asegurar una zona ICS ”(IEC 62443).

A pesar del enfoque estructurado del C-HAZOP, este método presenta algunas limitaciones, que se detallan a continuación:

  • Los escenarios identificados se basan en la experiencia personal del evaluador.
  • El análisis se centra en los modos de falla de los componentes (como FMEA) para la gestión de datos, pero no están directamente vinculados a las desviaciones de los parámetros de la planta de proceso como en el HAZOP tradicional (temperatura alta / baja, sobrepresión, flujo alto / bajo).
  • Un análisis detallado basado en componentes requiere mucho tiempo, requiere más recursos (datos de componentes proporcionados por una variedad de proveedores) y especialistas en múltiples áreas.
  • Evaluar la frecuencia de ocurrencia y la intención de un ciberataque es subjetivo, lo que modifica significativamente la clasificación del riesgo obtenida con el C-HAZOP.
  • Una vez producido el ataque, las posibles salvaguardas (alarmas, funciones de seguridad, etc.) existentes pueden quedar inutilizables, lo que no se tiene en cuenta en una clasificación de riesgo del C-HAZOP.
  • Es necesario ir actualizando el C-HAZOP cada vez que se descubren nuevas vulnerabilidades de los componentes cibernéticos.

5. Estudio de ciberseguridad de proceso (CSPR)

Para obtener un estudio de ciberseguridad centrado en el proceso industrial, TEMA propone realizar una Revisión del PHA (Process Safety Analysis) enfocada en la ciberseguridad (CyberSecurity Process review –CSPR-), que va más allá del análisis detallado de componentes, asumiendo la hipótesis de que un ataque ha tenido lugar y evaluando cómo afecta a los parámetros del proceso.

TEMA avala estos estudios con un amplio historial de estudios HAZOP realizados en todo el mundo para garantizar la seguridad personal y la protección del medio ambiente, especialmente para industrias químicas, plantas petroquímicas, compañías de petróleo y gas, energía y minería.

A partir de los resultados de un HAZOP tradicional, el CSPR identifica qué escenarios son vulnerables a un ataque cibernético, y evalúa el riesgo mediante el análisis de las salvaguardas existentes. El siguiente paso de este análisis es la clasificación del riesgo y la definición de una propuesta priorizada de acciones, asignando el Nivel de Seguridad (SL) requerido a cada escenario según IEC 62443.

Table 2. Comparación entre C-HAZOP and CSPR

C-HAZOP CSPR
Estándar Internacional IEC 62443 IEC 62443
Objetivo Almacenar, recuperar, transmitir y manipular datos o información Seguridad del Proceso y de la Producción
Dirigido a Components (como FMEA) Parámetros de proceso (como HAZOP)
Habilidad requerida IT Seguridad de proceso
Dedicación requerida Requiere mucha dedicación Menor dedicación (HAZOP add-on)
Evaluación de riesgo Muy influenciada por la probabilidad (incierta) de ser atacado Se considera que el ataque ya ha ocurrido y se evalúa el riesgo de proceso
Recomendaciones Asociadas a toda una Zona o Conducto Específicas para equipos e instrumentos de una planta
Revisiones Requerida periódicamente cuando una nueva vulnerabilidad es identificada Independiente de nuevas vulnerabilidades. Requerida si hay cambios en planta o proceso

 

6. Conclusiones

Un estudio CSPR se considera más adecuado para evaluar las consecuencias de un ciberataque sobre un proceso industrial, así como la fortaleza de las salvaguardas existentes. Las ventajas con respecto otros métodos de análisis son:

  • Evaluación estructurada de los riesgos cibernéticos, identificando repercusiones concretas sobre el proceso y áreas específicas expuestas a ataques objetivo o malwares convencionales;
  • Se optimiza el tiempo y recursos requeridos, ya que no es necesario empezar desde cero, además el método se puede implementar como un complemento del HAZOP;
  • Los resultados del análisis son independientes de la probabilidad de que ocurra un ataque cibernético al asumir que este ya ha ocurrido, por lo que no necesitan una actualización periódica de la evaluación;
  • Proporciona recomendaciones detalladas y específicas para cada elemento (equipo o instrumento) vulnerable de la planta analizada;
  • Permite realizar propuestas de sistemas intrínsecamente seguros contra ataques cibernéticos.
  • Cumple con las normas internacionales IEC 62443.

Los resultados obtenidos en los estudios CSPR permiten gestionar las amenazas de ciberseguridad tanto de OT como de IT y definir las inversiones requeridas para desplazar las empresas hacia una Industria 4.0.

7. References

Schwab and M. Poujol, “The State of Industrial Cybersecurity 2018”, Kaspersky LAB – CXP Group, 2018.

Symantec Security Response, 2014. “Dragonfly: Cyberespionage Attacks Against Energy Suppliers”, Symantec Corporation.