Académique Documents
Professionnel Documents
Culture Documents
6
Participantes
Ponente:
• Dr. Ingº Héctor D. Puyosa Piña
Director de Seguridad, Higiene y Medio Ambiente
Mesa / Coloquio:
- Ponentes
7
Agenda
Parte I
-Vulnerabilidad de los sistemas de control a ataques informáticos
Parte II
- Mesa redonda
8
Referencias
9
Introducción
• La seguridad de la información y del control de los procesos de
producción es una parte integral de la seguridad de la empresas
• En la medida en que los procesos están más automatizados y
existe una mayor integración de los sistemas de información de las
plantas y las redes corporativas, la seguridad de la información es
aún más importante.
• La tendencia es incrementar integración y conectividad de los
sistemas, utilizar sistemas operativos y arquitecturas abiertas,
protocolos de comunicación estandarizados y soluciones
computacionales modulares.
El
El riesgo
riesgo es es
¡¡real!!
¡¡real!!
10
Objetivos
• Comunicar la vulnerabilidad de los sistemas de control a ataques
informáticos.
11
Escenario actual de los Sistemas de Control
Pasado Actual/Tendencias
Extracto de
“Why IT Security doesn’t work on the plant floor”,
E. Byres, British Columbia Institute of Technology, October 2002.
16
Diferencias Tecnologías de la Información – Control Industrial
Extracto de
“Why IT Security doesn’t work on the plant floor”,
E. Byres, British Columbia Institute of Technology, October 2002.
17
Diferencias Tecnologías de la Información – Control Industrial
18
Diferencias Tecnologías de la Información – Control Industrial
• Objetivos diferentes de gestión del riesgo
• Ejemplo: Procedimiento de bloqueo del password
• TI: Bloqueo de TODOS los accesos por 10 minutos después de 3 intentos de
autentificación fallidos.
• Control Industrial: Hacer el acceso del operador a prueba de tontos.
9 Durante una fuga de cloro un operador entró en pánico y se equivocó tres veces
introduciendo el password.
9 La consola de operación bloqueó todos los accesos durante 10 minutos…
20
Diferencias Tecnologías de la Información – Control Industrial
OTROS POTENCIALES PROBLEMAS A CONSIDERAR
• ActiveX
• Acceso Remoto
– PCAnywhere,
PCAnywhere, Xwindows,
Xwindows, VNC
– Modems
• SSL (Secure
(Secure Socket Layer)
Layer)
• Telecomunicaciones u otros medios de comunicación
• Redes de instrumentos y equipos de campo
21
Ejemplos de Incidentes de seguridad
Extracto de
“Electronic Intrusion on your control system”,
B. Webb (Power Engineers) and J. Weiss (Kema Consulting), October 2002.
23
Ejemplo: Tormenta Broadcast
• Broadcasts son mensajes enviados a todos los nodes en la red.
• Pocos mensajes broadcast son aceptables. Muchos pueden crera uan
tormenta que puede colapsar los recursos de las CPU de los dipositivos.
• Caso de Estudio- DCS en planta de generación de vapor:
– DCS usa Ethernet para comunicarse entre los terminales de operación y el
servidor de terminales de operación..
– Los mensajes broadcast de un ordenador con MS Windows mal configurado
sobrecarga el servidor de terminales. Bloqueo de todos los terminales de
operación
24
Ejemplo: Intrusión Interna 2
• En una planta se realiza un upgrade mayor de un DCS.
• Meses después, el ingeniero jefe de proyecto se conecta al DCS desde la
oficina de proyectos, usando la red corporativa de la empresa.
• Ingeniero carga un programa en la estación del operador para que que le re-
envié datos para alimentar un sistema experto en desarrollo.
• Esta nueva tarea sobrecargó el gateway entre DCS/PLC.
• Operadores pierden control sobre los dispositivos conectados al PCL.
25
Ejemplo: Denegación de Servico (DOS)
• Procedimientos de los sistemas de control no están preparados para
situaciones que puedan llevar a una DOS
– Solicitar datos excesivos resulta en la perdida del servidor de base de datos
– Solicitar datos excesivos resulta en perdida de la función de control
26
Comentarios/Observaciones
• Sistemas de control han sido impactados por intrusiones informáticas
• En la mayoría de los eventos identificados los problemas vienen del interior del
firewall corporativo.
• Hay una interdependencia clara entre los sistemas de control y las políticas y
prácticas del departamento de Tecnología de la Información.
– Procedimientos de TI son buenos pero no siempre aplicables a sistemas
de control.
• Imprescindible la colaboración del personal experto en control y en
tecnologías de la información para establecer e implantar políticas de
seguridad efectivas y prácticas.
• La mayoría de los sistemas de control tiene un diseño pobre en seguridad y
protecciones débiles
• Muchos de los incidentes de seguridad que han ocurrido podían haber sido
evitados por la aplicación de prácticas de seguridad del mundo de las TI.
27
Implantación de mejoras en la seguridad
Desarrollar un sistema de gestión de la
seguridad informática para los sistemas de
control incluye:
• Formación al personal de operaciones y de
control de procesos para que entiendan la
tecnología y los problemas asociados a la
seguridad informática
• Formación al personal de TI para que entienda
los procesos de fabricación y tecnología
asociada, además de métodos y procesos
relacionados con la gestión de seguridad de los
procesos (PSM)
• Desarrollar procedimientos que reúnan las
habilidades y conocimientos del control y la
informática
Actividades
Actividad 1 – Business Case
Actividad 2 – Obtener compromiso, soporte y financiación de la Dirección
Actividad 3 – Definir Objetivos y Alcance de la seguridad en SC&F de la empresa
Actividad 4 – Constituir un equipo de interesados (seguimiento y aprobación)
Actividad 5 – Aumentar la habilidades en seguridad a través de formación a los empleados
Actividad 6 – Caracterizar los riesgos claves de los sistemas de control y fabricación
Actividad 7 – Priorizar y calibrar los riesgos
Actividad 8 – Establecer políticas de seguridad a alto nivel que admite el nivel la tolerancia al riesgo
Actividad 9 – Establecer la estructura organizacional responsable de la seguridad
Actividad 10 – Inventariar las redes y dispositivos de SC&F
Actividad 11 – Exploración y Prioritización de los sistemas de control y fabricación
Actividad 12 – Realizar una evaluación detallada de la seguridad
Actividad 13 – Desarrollar políticas y procedimientos detallados de seguridad informática en SC&F
Actividad 14 – Definir el conjunto de estándares del control de mitigación de riesgos de seguridad en SF&C
Actividad 15 – Desarrollar elementos adicionales al plan de gestión de la seguridad informática
Actividad 16 – Implantar las soluciones rápidas
Actividad 17 – Diseñar y ejecutar proyectos de mitigación de los riesgos de seguridad informática
- Definir objetivos y alcance
- Diseñar el proyecto
- Ejecutar el proyecto
- Decidir la planificación de cuando hacer validaciones del programa
- Validación
Actividad 18 – Refinar e implantar el sistema de gestión de la seguridad informática de la empresa/unidad de negocio
Actividad 19 – Adoptar medidas operacionales para la mejora continua
29
Medidas de mitigación de riesgos
Tecnologías de autentificación y autorización Herramientas de gestion: auditoria, medición, monitorización y detección
• Herramientas de autorización basada en roles • Utilidades para auditar registro de acciones
• Autentificación de password • Sistemas de detección de virus y código malicioso
• Autentificación por Desafío (Reto/Respuesta) • Sistema de detección de intrusión
• Autentificación física/token • Escáner de vulnerabilidad
• Autentificación tarjeta smart • Utilidades de análisis forense
• Autentificación biométrica • Herramientas de configuración del host (Workstation/Controladores)
• Autentificación basada en la localización • Herramientas para la automatización de la gestión del software
Fortaleza
Perímetro entre la red de control
de procesos y la Intranet
• Autentificación segura
• Autorización de destino
Debilidad
• Falta un mecanismos de
autentificación y autorización
que sea practicable en las
consolas de operación en sala
de control
• Autorización de aplicaciones
Windows
Extracto de
“Process Control Network Security”,
T. Good, DuPont, October 2002
32
GRACIAS POR SU COLABORACIÓN
CON ISA ESPAÑA
33