isa sección española 0801... · la actualización periódica de parches de seguridad en los...

Estándares

Certificaciones

Formación

Publicaciones

Conferencias

ISA Sección Española

Vulnerabilidad de sistemas de control

Madrid y Cartagena

6

Reunión Técnica “Vulnerabilidad de los Sistemas de Control

a ataques informáticos”

7

Participantes

Ponente:• Dr. Ingº Héctor D. Puyosa Piña

Director de Seguridad, Higiene y Medio Ambiente

SABIC Innovative Plastics - España

Mesa / Coloquio:- Ponentes

8

Agenda

Parte I-Vulnerabilidad de los sistemas de control a ataques informáticos

- Buenas prácticas de seguridad informática y su uso en sistemas de control

- Ejemplos de incidentes de seguridad

- Implantación de mejoras en la seguridad de los sistemas de control

Parte II- Mesa redonda

9

Referencias

Esta presentación está basada en extractos y lecturas de los siguientes documentos:•Borradores del Grupo de Trabajo ISA SP99 “Manufacturing and Control Systems Security”

• DRAFT dISA-99.00.01, Part 1: Concepts, Models and Terminology, Oct 2005

• DRAFT dISA-99.00.01, Part 2: Establishing a Manufacturing and ControlSystem Security Program, Sep 2005

•Reportes Técnicos de SA SP99 Standard Development Committee “Security Technologies for Manufacturing and Control Systems”

• ISA-TR99.00.01-2004 Reporte técnico aprobado 11-marzo-2004

• ISA-TR99.00.01-2007 Reporte técnico aprobado 29-octubre-2007

•“Get safe: Prepare for security intrusion”. D. Harrold, Control Engineering Magazine, March 2003.

•“U.S. Chemical Sector cyber-security strategy”, The Chemical Sector Cyber-Security Information sharing Forum, June 2002.

•“21 steps to improve cyber security of SCADA networks”, U.S.A. Department of Energy.

•“Site Security Guideline for the U.S. Chemical Industry”, The American Chemistry Council, the Synthetic Organic Chemical Manufacturers Association, and The Chlorine Institute, Inc, October 2001.

•ISA Security Session October 2002 (documento públicos de referencia del comité SP-99):

• “Why IT Security doesn’t work on the plant floor”, E. Byres, British Columbia Institute of Technology, October 2002.

• “Electronic Intrusion on your control system”, B. Webb (Power Engineers) and J. Weiss (Kema Consulting), October 2002.

• “Process Control Network Security”, T. Good, DuPont, October 2002.

• “Control System Cyber-Security Technical Status and Overview”, J. Weiss, Kema Consulting, October 2002.

• “ISA SP-99 Introduction: Manufacturing and System Security Standard”, B. Singers, ISA Standards, October 2002.

•Oman, P., E.O. Schweitzer, and D. Frinke. 2006 . Concerns About Intrusions into Remotely Accessible Substation Controllers and SCADA Systems, 2000.

10

Introducción

• La seguridad de la información y del control de los procesos de producción es una parte integral de la seguridad de la empresas

• En la medida en que los procesos están más automatizados y existe una mayor integración de los sistemas de información de las plantas y las redes corporativas, la seguridad de la información es aún más importante.

• La tendencia es incrementar integración y conectividad de los sistemas, utilizar sistemas operativos y arquitecturas abiertas,protocolos de comunicación estandarizados y soluciones computacionales modulares.

La vulnerabilidad de los sistemas es un riesgo real

El riesgo es ¡¡real!!

El riesgo es ¡¡real!!

11

Objetivos

• Comunicar la vulnerabilidad de los sistemas de control a ataquesinformáticos.

• Crear la necesidad de que se trabaje para atajar esos riesgos.

• Informar de medidas que se pueden implantar para disminuir la probabilidad de sufrir un ataque informático.

• Compartir buenas prácticas identificadas por ISA SP99 y otros eneste tema

12

Sistema Operativo:

Comunicación de datos

Flujo de Información:

Soluciones HW/SW :

Arquitecturas:

Propietarios

Propietarios

Segmentados

Monolíticos

Cerrados

Pasado Actual/Tendencias

Abiertos

Protocolos estándar

Integrados

Modulares

Abiertos

Más Abiertos = ¡¡Más exposición a riesgos !!Es necesaria una estrategia para mitigar los riesgos

Escenario actual de los Sistemas de Control

13Las técnicas de seguridad informática no son siempre apropiadas

• Requieren una velocidad o frecuencia de respuesta que descarta el uso de técnicas tradicionales en informática, como encriptado de bloques.

• No fueron diseñados pensando en la seguridad informática

• El requisito de fácil de usar para los operadores impide el uso de passwords más seguros.

• La necesidad de verificaciones rigurosas de todos los cambios dificulta la actualización periódica de parches de seguridad en los sistemas operativos.

• Una vez que se rompe la protección de sus cortafuegos la seguridad es sencillo comprometer su correcta operación en sistemas abiertos.

Vulnerabilidad de los Sistemas de Control

14

Vulnerabilidad de los Sistemas de Control

Existe la tecnología para reducir la vulnerabilidad

•• Los sistemas se diseñaron asumiendo que todos los usuarios son dLos sistemas se diseñaron asumiendo que todos los usuarios son de e confianzaconfianza

•• Los procesadores de control fueron diseñados para maximizar su Los procesadores de control fueron diseñados para maximizar su rendimiento y no su seguridad.rendimiento y no su seguridad.

•• Los datos son casi siempre texto sin codificarLos datos son casi siempre texto sin codificar•• Protocolos son abiertos con mínima seguridadProtocolos son abiertos con mínima seguridad•• Hay analizadores de protocolos disponibles en InternetHay analizadores de protocolos disponibles en Internet•• Los parches de seguridad no se instalan inmediatamenteLos parches de seguridad no se instalan inmediatamente•• Redes inalámbricas pueden ser un problemaRedes inalámbricas pueden ser un problema•• No hay dudas de que un sistema de control puede ser pirateado siNo hay dudas de que un sistema de control puede ser pirateado sino de no de

cuando ocurrirá ese acceso no deseado. cuando ocurrirá ese acceso no deseado.

15

Buenas Prácticas de Seguridad

• Hay una mezcla de dos culturas diferentes:• Tecnología de la Información (TI)• Control Industrial

• Existen al menos cinco razones por las que no se recomienda aplicar sin una revisión previa las buenas prácticas de seguridad de la información en TI:

• Requerimientos diferentes del rendimiento• Requerimientos diferente de la fiabilidad• Sistemas operativos y aplicaciones “inusuales”• Diferencias en los objetivos de gestión del riesgo (entrega vs. seguridad)• Las arquitecturas de seguridad son diferentes

Necesario el trabajo colaborativo de esas dos culturas

16

•Requerimientos diferentes del rendimiento• Es necesario entender el impacto en rendimiento antes de aplica la tecnología de seguridad informática. Ejemplo: Un fabricante de Sistemas de Control demostró que el uso de un bloque de encriptación tiene un impacto serio en el rendimiento de polling de los SCADA.

Extracto de “Why IT Security doesn’t work on the plant floor”, E. Byres, British Columbia Institute of Technology, October 2002.

Tiempo de respuesta es críticoRespuesta debe ser fiable

Grandes retrasos son un problemaGrandes retrasos se aceptan

Tasa modesta de datos es aceptableDemanda una tasa alta de datos

Tiempo realNo es tiempo real

Control IndustrialTecnología de la Información

Diferencias Tecnologías de la Información – Control Industrial

17

• Requerimientos diferentes de fiabilidad• Es necesario entender el impacto en fiabilidad antes aplicar latecnología de seguridad informática. Ejemplo: Algunos sistemas de seguridad requieren intervención humana antes de restablecer la reconexión después de un fallo

Operación continua 24x7x365Operación programada

Pruebas Minuciosa son requeridasBeta test en campo son aceptables

Apagones son intolerablesFallos ocasionales tolerados




18


• Sistemas operativos y aplicaciones “inusuales”Los sistemas de control industrial pueden tener sistemas operativos y aplicaciones inusuales desde el punto de vista de TI.• Muchas de las soluciones de seguridad existentes para ofimática:

a) No se pueden ejecutar, b) Interfieren con el sistema de control de procesos.

Ejemplo: Sistema de paro de emergencia de una caldera falló en funcionar correctamente:Se había instalado un antivirus en el ordenador usado para

programar el sistema de seguridad. El antivirus bloqueó la correcta operación del sistema de seguridad.


19


• Objetivos diferentes de gestión del riesgo• Ejemplo: Procedimiento de bloqueo del password

• TI: Bloqueo de TODOS los accesos por 10 minutos después de 3 intentos de autentificación fallidos.• Control Industrial: Hacer el acceso del operador a prueba de tontos.

Durante una fuga de cloro un operador entró en pánico y se equivocó tres veces introduciendo el password.

La consola de operación bloqueó todos los accesos durante 10 minutos…

Riesgos: perdida de la vida, equipos o productos

Riesgos: perdida de datos o de las operaciones del negocio

Lo importante: seguridad de las personas

Lo importante: integridad de datos

Esencial la tolerancia a fallosRecuperación por rearranque del sistema



20


• Arquitecturas de seguridad diferentes• Mundo TI: Los servidores son los dispositivos críticos para la protección. • Mundo Industrial: Los dispositivos terminales, tales como PLC o control de compresor son mucho más importantes que un dispositivo central como puede ser el servidor de datos históricos.Es necesaria la protección en todos los segmentos de la arquitectura

Ejemplo: IEEE 802.11 (Wireless Ethernet)• Procedimiento de autentificación solo valida que la estación de trabajo que firma en punto de acceso central es un dispositivo autorizado. • El punto de acceso nunca tiene que probar que es válido y autorizado al dispositivo terminal.


21

OTROS POTENCIALES PROBLEMAS A CONSIDERAROTROS POTENCIALES PROBLEMAS A CONSIDERAR•• ActiveXActiveX•• Acceso RemotoAcceso Remoto

–– PCAnywherePCAnywhere, , XwindowsXwindows, VNC, VNC–– ModemsModems

•• SSL (SSL (Secure Socket LayerSecure Socket Layer))•• Telecomunicaciones u otros medios de comunicaciónTelecomunicaciones u otros medios de comunicación•• Redes de instrumentos y equipos de campoRedes de instrumentos y equipos de campo


22

Ejemplos de Incidentes de seguridad

Variedad de causas: Auditoria, Accidental e Intrusión

• Ruido o paquetes malos• Duplicación de direcciones IP• Tormentas Broadcast• Intrusión Interna• Intrusión Externa• Procedimientos/Arquitecturas

Extracto de“Electronic Intrusion on your control system”, B. Webb (Power Engineers) and J. Weiss (Kema Consulting), October 2002.

23

Ejemplo: Ruido o paquetes malos• Propagación de ruido o malos paquetes por una red completa es un riesgo

serio. • Caso de Estudio en Industria papelera-

– Daños en un cable en un área crearon paquetes de datos malos por reflexión.– Equipos de red “tontos” propagaron el problema a otras áreas.

Ejemplo: Dirección IP duplicada• Protocolo TCP/IP requiere que cada dispositivo tenga una IP única• Caso de Estudio: Controlador Línea de envasado:

– Controlador & Escáner usan TCP/IP para comunicarse.– Impresora en Administración obtiene la misma dirección IP que el controlador.– Escáner intenta comunicarse con la impresora en vez del controlador.

24

Ejemplo: Tormenta Broadcast• Broadcasts son mensajes enviados a todos los nodes en la red.• Pocos mensajes broadcast son aceptables. Muchos pueden crera uan

tormenta que puede colapsar los recursos de las CPU de los dipositivos.• Caso de Estudio- DCS en planta de generación de vapor:

– DCS usa Ethernet para comunicarse entre los terminales de operación y el servidor de terminales de operación..

– Los mensajes broadcast de un ordenador con MS Windows mal configurado sobrecarga el servidor de terminales. Bloqueo de todos los terminales de operación

• Trabajador disgustado ataca un PLC en otra área de la planta sobre una red de PLC.

• Cambia password por una obscenidad, los accesos quedan bloqueados lo que fuerza a una parada para restaurar el funcionamiento..

Ejemplo: Intrusión Interna

25

Ejemplo: Intrusión Interna 2

• En una planta se realiza un upgrade mayor de un DCS.• Meses después, el ingeniero jefe de proyecto se conecta al DCS desde la

oficina de proyectos, usando la red corporativa de la empresa.

• Ingeniero carga un programa en la estación del operador para que que le re-envié datos para alimentar un sistema experto en desarrollo.

• Esta nueva tarea sobrecargó el gateway entre DCS/PLC.• Operadores pierden control sobre los dispositivos conectados al PCL.

• Un hacker ataca el sistema de control de una planta de aguas residuales usando un radio enlace.

• El incidente causa que millones de litros de agua residuales sin tratar se derramen contaminando el suelo de parques y jardines y las aguas de los riosa los que este sistema vierte.

Ejemplo: Intrusión Externa

26

Ejemplo: Denegación de Servico (DOS)• Procedimientos de los sistemas de control no están preparados para

situaciones que puedan llevar a una DOS– Solicitar datos excesivos resulta en la perdida del servidor de base de datos– Solicitar datos excesivos resulta en perdida de la función de control

• Arquitectura del sistema de control no está diseñada para nuevosrequerimientos orientados a la información

– Perdida de acceso del operador de DCS– Perdida de acceso del operador de SCADA– Perdida de control del DCS

27

Comentarios/Observaciones• Sistemas de control han sido impactados por intrusiones informáticas• En la mayoría de los eventos identificados los problemas vienen del interior del

firewall corporativo. • Hay una interdependencia clara entre los sistemas de control y las políticas y

prácticas del departamento de Tecnología de la Información. – Procedimientos de TI son buenos pero no siempre aplicables a sistemas

de control.• Imprescindible la colaboración del personal experto en control y en

tecnologías de la información para establecer e implantar políticas de seguridad efectivas y prácticas.

• La mayoría de los sistemas de control tiene un diseño pobre en seguridad y protecciones débiles

• Muchos de los incidentes de seguridad que han ocurrido podían haber sido evitados por la aplicación de prácticas de seguridad del mundo de las TI.

28

¡¡No hay un libro de recetas!!dISA-99.00.02 detalla 19 actividades para desarrollar un sistema de gestión

Desarrollar un sistema de gestión de la seguridad informática para los sistemas de control incluye:

• Formación al personal de operaciones y de control de procesos para que entiendan la tecnología y los problemas asociados a la seguridad informática

• Formación al personal de TI para que entienda los procesos de fabricación y tecnología asociada, además de métodos y procesos relacionados con la gestión de seguridad de los procesos (PSM)

• Desarrollar procedimientos que reúnan las habilidades y conocimientos del control y la informática

Implantación de mejoras en la seguridad

29

Estableciendo un Programa de Seguridad en los Sistemas de Control y Fabricación (SC&F)Basado en dISA-99.00.02 (Draft 1, Edit 5)

ActividadesActividad 1 – Business CaseActividad 2 – Obtener compromiso, soporte y financiación de la DirecciónActividad 3 – Definir Objetivos y Alcance de la seguridad en SC&F de la empresa Actividad 4 – Constituir un equipo de interesados (seguimiento y aprobación) Actividad 5 – Aumentar la habilidades en seguridad a través de formación a los empleados Actividad 6 – Caracterizar los riesgos claves de los sistemas de control y fabricación Actividad 7 – Priorizar y calibrar los riesgosActividad 8 – Establecer políticas de seguridad a alto nivel que admite el nivel la tolerancia al riesgoActividad 9 – Establecer la estructura organizacional responsable de la seguridad Actividad 10 – Inventariar las redes y dispositivos de SC&F Actividad 11 – Exploración y Prioritización de los sistemas de control y fabricación Actividad 12 – Realizar una evaluación detallada de la seguridadActividad 13 – Desarrollar políticas y procedimientos detallados de seguridad informática en SC&FActividad 14 – Definir el conjunto de estándares del control de mitigación de riesgos de seguridad en SF&CActividad 15 – Desarrollar elementos adicionales al plan de gestión de la seguridad informáticaActividad 16 – Implantar las soluciones rápidasActividad 17 – Diseñar y ejecutar proyectos de mitigación de los riesgos de seguridad informática

- Definir objetivos y alcance - Diseñar el proyecto- Ejecutar el proyecto - Decidir la planificación de cuando hacer validaciones del programa- Validación

Actividad 18 – Refinar e implantar el sistema de gestión de la seguridad informática de la empresa/unidad de negocioActividad 19 – Adoptar medidas operacionales para la mejora continua

Guía para la Implantación

30

Medidas de mitigación de riesgos

Referencia ISA-TR 99.00.01 2007

Tecnologías de autentificación y autorización• Herramientas de autorización basada en roles• Autentificación de password• Autentificación por Desafío (Reto/Respuesta)• Autentificación física/token• Autentificación tarjeta smart• Autentificación biométrica• Autentificación basada en la localización

Tecnologías de filtrado/bloqueo y contro de acceso• Cortafuegos (firewalls) de red• Cortafuegos (firewalls) basados en host (Workstation/Controladores)• Redes de área local virtuales (VLAN)

Tecnologías de encriptación y validación de datos• Encriptado de clave simétrica (secreta)• Encriptado de clave pública y distribución de claves• Redes privadas virtuales (VPN)

Herramientas de gestion: auditoria, medición, monitorización y detección

• Utilidades para auditar registro de acciones• Sistemas de detección de virus y código malicioso• Sistema de detección de intrusión• Escáner de vulnerabilidad• Utilidades de análisis forense• Herramientas de configuración del host (Workstation/Controladores)• Herramientas para la automatización de la gestión del software

Control físico de la seguridad• Protección física• Seguridad personal

Básico para mitigar ataques:•Prevenir firewalls, routers, anti-virus

•Detectar detección de intrusión, logs de eventos

•Mitigar work-arounds, patches

•Recuperar respaldo de los sistemas, actualizaciones del sw

31

Extracto de “Process Control Network Security”, T. Good, DuPont, October 2002

E-Pass = Two Factor Authentication (RSA)

FortalezaPerímetro entre la red de control

de procesos y la Intranet

• Autentificación segura

• Autorización de destino

Debilidad• Falta un mecanismos de

autentificación y autorización que sea practicable en las consolas de operación en sala de control

• Autorización de aplicaciones Windows

Ejemplo de DuPontSeguridad basada en definición de perímetro

32

• Formación sobre los riesgos. Llamar la atención y estar alertas.

• Entender las políticas y técnicas de seguridad usadas ampliamente en el mundo de las tecnologías de la información y aplicarlas con criterio.

• Mantener una seguridad física y de las personas adecuada

• Definir situación actual - Evaluación de vulnerabilidad

• Realizar evaluaciones de riesgos- ¿Que necesita atención?

• Desarrollar una política de seguridad específica para los sistemas de control

-Definir objetivos y alcance - Asegurar la participación multifuncional

• Tener un plan de respuesta a incidencias y de contingencia

Recomendaciones finales

33

GRACIAS POR SU COLABORACIÓN CON ISA ESPAÑA

isa sección española 0801... · la actualización periódica de parches de seguridad en los...

Documents