Professional Documents
Culture Documents
Marzo 2012
Metodologa
PROYECTO INTECO SOBRE LA SEGURIDAD DE LOS SISTEMAS SCADA
ESTUDIO
Diagnstico
GUA PRCTICA
Formacin y concienciacin
Introduccin a los sistemas de monitorizacin y control Aplicaciones y beneficios del uso de los sistemas de monitorizacin y control Legislacin aplicable y estndares internacionales Riesgos en la seguridad de los sistemas de monitorizacin y control Medidas de seguridad y buenas prcticas Recomendaciones normativas
OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIN
Sistemas de Control y Monitorizacin de procesos Industriales Actualmente se utiliza incluyendo ICS, SCADA, DCS y PLC Componentes de un sistema SCADA
Centro de control
Posiciones desde las que se opera, monitoriza y controla el sistema. Centro de Comunicaciones control Redes para la comunicacin entre el centro de control y los componentes finales
Localizaciones finales
Son aquellos dispositivos que son monitorizados y controlados remotamente Sensores, vlvulas, cmaras, climatizacin
Sistemas TIC
Sistemas SCADA
Seguridad Fsica
A M-B M-B
Seguridad Lgica
M M B
Funcionalidad
A A A
Conclusiones Funcionalmente, el grado de madurez de este tipo de sistemas se puede considerar muy alto Desde el punto de vista de seguridad, el grado de madurez puede considerarse medio o medio-bajo
Energa Generacin
Industria petroqumica
Tratamiento de agua
Marco Regulatorio
No existe regulacin genrica para los sistemas SCADA Existen regulaciones sectoriales y para las Infraestructuras Crticas Ley 8/2011: Medidas para la Proteccin de las Infraestructuras Crticas Establece las estrategias y estructuras adecuadas que permiten dirigir y coordinar las actuaciones de los distintos rganos de las Administraciones Pblicas en materia de proteccin de IC Regula el Sistema de Proteccin de Infraestructuras Crticas Involucra tanto al Ministerio del Interior como a otros rganos del Estado e incluso del sector privados Las acciones legislativas llevadas a cabo son adecuadas como un primer paso.
10
Utilizar enlaces de
comunicaciones fsicos
Integracin
Establecimiento de polticas
de uso de los equipos
12
Ataque interno: Sabotaje y espionaje Exceso de confianza en la seguridad de la red interna Exceso de confianza en los empleados Ausencia de medidas seguridad internas de
Investigacin
Restringir
Aseguramiento Mantener
Arquitectura de red insegura Inseguridad de los diseos de red Configuraciones inadecuadas de la red
14
15
Recomendaciones
Para Fabricantes: Ofrecer productos que medidas de seguridad integren Para Usuarios Solicitar productos que cumplan con los requisitos de seguridad Mantenerse informado sobre incidencias, vulnerabilidades y avisos de seguridad Establecer requisitos y polticas de seguridad sobre productos SCADA
Incluir requisitos de seguridad en la fase de diseo en cada uno de los componentes del sistema Priorizar la solucin de vulnerabilidades conocidas publicando parches de seguridad Facilitar la integracin de productos de uso general
16
Recomendaciones
Para los Legisladores Profundizacin en el marco legislativo Sopesar el establecimiento de organismos y mecanismos sancionadores Definir medidas de seguridad de obligado cumplimiento Mayor colaboracin Administracin Pblica sector privado Regulacin sectorial Contemplar otros orgenes y motivaciones de ataque Valorar el establecimiento de requisitos o exigencia de certificaciones para especialistas en seguridad lgica en estos sistemas
17
Conclusiones - Fortalezas
Monitorizacin y gestin centralizada Automatizacin de procesos Mejora en la eficacia del proceso Reduccin de la complejidad del mantenimiento
Reduccin de costes a largo plazo Aplicabilidad de las soluciones TIC Reduccin significativa de los costes Posibilidad de asuncin de estndares
Alta disponibilidad
18
Conclusiones - Oportunidades
Migracin a tecnologa de propsito general Reduccin costes y mejora de carencias actuales Eficacia elevada Regulacin y legislacin La nueva legislacin supone una oportunidad de mejora Entorno cambiante Oportunidad para corregir deficiencias histricas detectadas
19
Conclusiones - Debilidades
Alta dependencia de los fabricantes Falta de concienciacin sobre seguridad Magnitud y complejidad del sistema Organigrama inadecuado La segregacin de la seguridad lgica y fsica supone una menor preparacin ante las amenazas.
Ausencia de soluciones especializadas Limitaciones por la necesidad de disponibilidad La priorizacin en la disponibilidad ha conllevado una merma en la seguridad.
20
Conclusiones - Amenazas
Usuarios maliciosos Grupos terroristas, piratas informticos, etc. Exposicin en Internet Alta exposicin = mayor superficie de ataque Publicacin de vulnerabilidades Supone una amenaza para los sistemas afectados Interrupcin de servicios bsicos La materializacin de una amenaza en este tipo de sistemas puede suponer la interrupcin de un servicio bsico
21
Conclusiones - Potencialidades
POTENCIALIDADES = OPORTUNIDADES FORTALEZAS
Desarrollo de sistemas de monitorizacin y gestin en tiempo real mediante tecnologa de propsito general Utilizacin de las soluciones TIC para incrementar la seguridad
Reduccin de costes a largo plazo Aprovechando la mayor eficiencia y las tecnologas de propsito general
Automatizacin de procesos productivos o de servicios. Garanta de la robustez del proceso monitorizado Alta disponibilidad y mayor eficacia Uso de tecnologa de propsito general para mejorar el cumplimiento de la normativa
22
Conclusiones - Limitaciones
LIMITACIONES = DEBILIDADES AMENAZAS
Las vulnerabilidades resultan especialmente peligrosas Publicacin de detalles de la vulnerabilidad Auge del ciberterrorismo
Ausencia de soluciones y alta exposicin Superficie de ataque realmente amplia Esta superficie de ataque se debe a la alta exposicin y a la magnitud de los sistemas SCADA
Menor proteccin ante cualquier tipo de amenaza Debido a la diferenciacin entre seguridad fsica y lgica Las fuertes exigencias de disponibilidad dan lugar en ocasiones a limitaciones en seguridad
23
Conclusiones - Riesgos
RIESGOS = FORTALEZAS AMENAZAS
Foco de inters para atacantes Creciente conexin a Internet Tanto para la disponibilidad como para la confidencialidad La interrupcin del servicio puede suponer un alto impacto econmico Posible impacto negativo de las soluciones TIC Es necesario ser cauteloso a la hora de aplicar este tipo de soluciones a un entorno en concreto
24
Conclusiones - Desafos
DESAFOS = OPORTUNIDADES DEBILIDADES
La migracin a tecnologa de propsito general Se debe realizar sin asumir sus vulnerabilidades Cumplimiento de la normativas Especialmente en pequeas empresas Correcta implantacin de sistemas SCADA Posibilidad de convertirse en foco de ataques y amenazas
Adecuarse a un entorno cambiante Una mala adaptacin puede resultar en una situacin de mayor inseguridad
25
Reflexiones finales
No todas las organizaciones son conscientes de que tienen un sistema SCADA Los sistemas SCADA son vulnerables y estn expuestos al exterior El entorno en el que se encuentran ha cambiado Existe una importante oportunidad para crear y aplicar una regulacin adecuada Tendencia de migracin y uso de tecnologas de propsito general Es imprescindible enfocar la seguridad desde un punto de vista integral Hay que partir de un anlisis de riesgo antes de acometer mejoras
26
http://www.inteco.es http://observatorio.inteco.es