CEFIROS

Seguridad Industrial - Que pueden hacer las empresas (I)

14.07.17 11:40 AM Por Marcos Caballero

Con la creciente dependencia de la tecnología para automatizar y simplificar nuestro día a día, ya sea personal o laboral, estamos entrando una época de CiberAtaques, los cuales son fáciles de implementar, con impacto global y pueden ser catastróficos dependiendo del sector afectado. Si bien siempre escuchamos la típica frase, a mi quien me va a atacar, pero los últimos acontecimientos nos indican mas bien lo contrario, todo el mundo es susceptible de sufrir un ataque con resultados, cuanto menos desagradables para la compañia.

Las ideas que se nos pasa por la cabeza si el control de una planta de Gas o una refinería, cae bajo el control de un grupo no deseado, no son muy buenas que digamos.

Si recordamos el incidente de BP en 2008, cuando una de sus plataformas tubo una explosión de uno de esos gasoductos que van por la plataforma, suponiendo una perdida diaria para BP de unos 5M $ al día, con el consecuente impacto ambiental, y problemas de tráfico marítimo durante casi un mes, lo que repercute adicionalmente en otras areas. A pesar de tener todo controlador, con sensores de presión, circuitos de Video, no saltó ni una alarma al respecto hasta que fue demasiado tarde. Este tipo de incidentes, llamó a la atención de la mayoría de las agencias de seguridad globales, ya que, aunque esto, aparentemente, fue un accidente fortuito, realmente fue un "fallo" al dar ciertas ordenes desde la consola de control, y esto a dado que pensar a las agencias, en que pasaría si un tercero controla estas infraestructuras. Por ello desde el gobierno de España se impulsó la LPIC.

Serias consecuencias de un Ciber Ataque en estos sectores

Estos dos sectores, Gas & Petroleo, son uno de los primeros en el que los ciberdelincuentes piensan, justo detrás de energía (véase el ataque a las centrales eléctricas de Ucrania), cuya diferencia es un escaso 2% según las estadísticas. La razón de atacar estos sectores, es por el daño que se puede realizar, no solo a la compañía si no a todo lo que depende de ella.

Sus consecuencias pueden ser:

  • Sabotajes de la planta de tratamiento de Gas o de las refinerías.
  • Derrames de Petróleo no planificados o indefectibles.
  • Interrupción de la provisión de servicio de Gas, imaginad esto en invierno.

Y todas estas amenazas podrían llevar a un desastre en cuestión de minutos. La industria debe proteger ciertas áreas específicas como:

  • Tuberias, refinerias y tanques
  • Torres de bombeo o de regularización de presión
  • Sistemas de comunicaciones
  • Archivos y datos sensibles

Aqui la GDPR aplica mas bien poco, pero imaginar encontrar en la darkweb información sobre como desviar el trafico de gas de un gaseoducto, o elevar la presión del mismo, imaginad el impacto que puede tener, tanto ambiental como económico.


Por ello, los distintos gobiernos han impulsado los diferentes planes de protección de este tipo de infraestructuras, por ejemplo en Estados Unidos, han impulsado las regulaciones para las empresas químicas (CFATS), para las eléctricas (NERC CIP) u otras como API, ISA/IEC y INGAA, convirtiéndose  como un estándar en los últimos años. 

En España tenemos:

  • Ley 8/2011 por la que se establecen medidas para la Protección de las Infraestructuras Críticas
  • R.D. 704/2011 por la que se aprueba el Reglamento para la Protección de las Infraestructuras Críticas
  • R.D. 393/2007 Norma Básica de Autoprotección de Centros y  Establecimientos
  • Estrategia de Seguridad Nacional
  • Estrategia de Ciberseguridad Nacional
A Nivel Europeo, las normativas son:

  • ENISA - Protecting Industrial Control Systems – Recomendaciones para Europa y estados Miembros
  • EU Cybersecurity Strategy
  • EU 2008/114/EC Directive - Identificación y designación de infraestructuras críticas europeas
  • EU Proposed NIS Directive – Directiva de Red y Seguridad de la Información
Que pueden hacer las empresas para estar Protegidas

Dado el gran de número de empresas con exposición de datos clasificados, (como funciona un gaseoducto o los datos de presión de los tanque de almacenamiento), el mantenimiento de estos sistemas de manera seguros plantea un serio reto a la industria, y por ende a sus proveedores de servicios. Por ello, con estos simples controlores o medidas de control, podemos evitar ciertos riesgos o minimizar otros.

  • Evaluación de problemas
    •   Instalar software de seguridad para ayudar a identificar los problemas en los sistemas y alertar a los equipos pertinentes tan pronto como se detecte. Por lo general hablamos de sistemas de Monitorización y control, backups de los sistemas, autorización de acceso a los sistemas.
  • Control de Acceso
    • Implementar un sistema de control de accesos a las consolas de control,  que garantice que los datos son accesibles por el personal adecuado. Por ejemplo, controlar los accesos a los paneles de control de presiones de gas. Este tipo de usuarios, deben ser los que se les ponga foco, por si realizan algo de manera inconsciente o tienen sin comportamiento sospechoso.
  • Monitorización de los Empleados
    • La gran controversia, monitorizar a los empleados que tienen acceso a datos sensibles o ha controles críticos, para que si realizan alguna tarea que no les corresponde, o intentan acceder a recursos que no requieren, dejar constancia de ello y. así vez, cortar estos comportamientos, deteniendo la aplicación, o bloqueando al usuario.
Estos casos de uso, lo podemos realizar con Teramind, si bien en ciertas consolas no se puede desplegar nada, pero si partimos de la base de una secularización integral de la industria, estos paneles de control que son software, deberían accederse vía Citrix o Terminal server, con lo que se podría tener Monitorización de estos controles.