Ciberseguridad Industrial e Infraestructuras Críticas
()
Información de este libro electrónico
Relacionado con Ciberseguridad Industrial e Infraestructuras Críticas
Libros electrónicos relacionados
Ciberseguridad industrial e infraestructuras críticas Calificación: 0 de 5 estrellas0 calificacionesDirección de seguridad y gestión del ciberriesgo Calificación: 0 de 5 estrellas0 calificacionesGestión de incidentes de ciberseguridad Calificación: 0 de 5 estrellas0 calificacionesEnciclopedia de la Seguridad Informática. 2ª Edición: SEGURIDAD INFORMÁTICA Calificación: 4 de 5 estrellas4/5Administración de redes telemáticas. Calificación: 5 de 5 estrellas5/5Ciberseguridad Calificación: 1 de 5 estrellas1/5Ciberseguridad: ¿Por qué es importante para todos? Calificación: 0 de 5 estrellas0 calificacionesReversing, Ingeniería Inversa: SEGURIDAD INFORMÁTICA Calificación: 5 de 5 estrellas5/5Hacking ético de redes y comunicaciones: Curso práctico Calificación: 1 de 5 estrellas1/5Privacidad y Ocultación de Información Digital Esteganografía: SEGURIDAD INFORMÁTICA Calificación: 5 de 5 estrellas5/5Seguridad en Bases de Datos y Aplicaciones Web Calificación: 5 de 5 estrellas5/5Auditoría de seguridad informática Calificación: 0 de 5 estrellas0 calificacionesHacking y Seguridad en Internet.: Fraude informático y hacking Calificación: 4 de 5 estrellas4/5Ciberseguridad para directivos: Riesgos, control y eficiencia de las tecnologías de la Información Calificación: 0 de 5 estrellas0 calificacionesUna guía de seguridad cibernética Calificación: 5 de 5 estrellas5/5Sistemas seguros de acceso y transmisión de datos (MF0489_3) Calificación: 0 de 5 estrellas0 calificacionesWi-Fi. Instalación, Seguridad y Aplicaciones: Redes y aplicaciones WAP (del protocolo para aplicaciones inalámbricas) Calificación: 5 de 5 estrellas5/5GuíaBurros: Ciberseguridad: Consejos para tener vidas digitales más seguras Calificación: 5 de 5 estrellas5/5BackTrack 5. Hacking de redes inalámbricas: Fraude informático y hacking Calificación: 5 de 5 estrellas5/5Seguridad Informática (GRADO MEDIO): SEGURIDAD INFORMÁTICA Calificación: 0 de 5 estrellas0 calificacionesDiseño de Redes Telemáticas (MF0228_3) Calificación: 5 de 5 estrellas5/5Sistemas Telemáticos.: Gestión de redes Calificación: 5 de 5 estrellas5/5Auditoría de seguridad informática: Curso práctico Calificación: 5 de 5 estrellas5/5Planificación y Administración de Redes (GRADO SUP.) Calificación: 0 de 5 estrellas0 calificacionesSeguridad en aplicaciones Web Java: SEGURIDAD INFORMÁTICA Calificación: 5 de 5 estrellas5/5Computación en la nube: Estrategias de cloud computing en las empresas Calificación: 0 de 5 estrellas0 calificacionesAuditoría de seguridad informática. IFCT0109 Calificación: 5 de 5 estrellas5/5Técnicas de Configuración de Routers CISCO: Certificación informática: Cisco Calificación: 5 de 5 estrellas5/5Criptografía sin secretos con Python: Spyware/Programa espía Calificación: 5 de 5 estrellas5/5Lo esencial del hackeo Calificación: 5 de 5 estrellas5/5
Seguridad para usted
BackTrack 5. Hacking de redes inalámbricas: Fraude informático y hacking Calificación: 5 de 5 estrellas5/5Guía De Hacking De Computadora Para Principiantes: Cómo Hackear Una Red Inalámbrica Seguridad Básica Y Pruebas De Penetración Kali Linux Su Primer Hack Calificación: 0 de 5 estrellas0 calificacionesHackeado: Guía Definitiva De Kali Linux Y Hacking Inalámbrico Con Herramientas De Seguridad Y Pruebas Calificación: 5 de 5 estrellas5/5Hackers. Aprende a atacar y defenderte. 2ª Adición Actualizada: Fraude informático y hacking Calificación: 4 de 5 estrellas4/5GuíaBurros: Ciberseguridad: Consejos para tener vidas digitales más seguras Calificación: 5 de 5 estrellas5/5Lo esencial del hackeo Calificación: 5 de 5 estrellas5/5Las Estafas Digitales Calificación: 5 de 5 estrellas5/57 Pasos Para Ser Un Pentester: Cómo hackear, #0 Calificación: 5 de 5 estrellas5/5Auditoría de Tecnologías y Sistemas de Información.: SEGURIDAD INFORMÁTICA Calificación: 4 de 5 estrellas4/5Hacking ético con herramientas Python: SEGURIDAD INFORMÁTICA Calificación: 4 de 5 estrellas4/5Kali Linux Calificación: 3 de 5 estrellas3/5Protección de Datos y Seguridad de la Información: SEGURIDAD INFORMÁTICA Calificación: 4 de 5 estrellas4/5Interconexión de Redes Privadas y Redes Publicas. (MF0956_2): Gestión de redes Calificación: 5 de 5 estrellas5/5ISO27001/ISO27002: Una guía de bolsillo Calificación: 4 de 5 estrellas4/5Auditoría de seguridad informática: Curso práctico Calificación: 5 de 5 estrellas5/5La seguridad informática es como el sexo seguro Calificación: 5 de 5 estrellas5/5El metaverso para principiantes: La guía definitiva para entender e invertir en la web 3.0, los NFT, los criptojuegos y la realidad virtual Calificación: 0 de 5 estrellas0 calificacionesUna guía de seguridad cibernética Calificación: 5 de 5 estrellas5/5Bitcoin para principiantes y a prueba de tontos: Criptomonedas y Blockchain Calificación: 2 de 5 estrellas2/5Seguridad en Bases de Datos y Aplicaciones Web Calificación: 5 de 5 estrellas5/5Un fantasma en el sistema: Las aventuras del hacker más buscado del mundo Calificación: 5 de 5 estrellas5/5Hacking y Seguridad en Internet.: Fraude informático y hacking Calificación: 4 de 5 estrellas4/5Seguridad en aplicaciones Web Java: SEGURIDAD INFORMÁTICA Calificación: 5 de 5 estrellas5/5Ciberseguridad para directivos: Riesgos, control y eficiencia de las tecnologías de la Información Calificación: 0 de 5 estrellas0 calificacionesCiberseguridad Calificación: 1 de 5 estrellas1/5Hacking Ético 101 - Cómo hackear profesionalmente en 21 días o menos! 2da Edición: Cómo hackear, #1 Calificación: 4 de 5 estrellas4/5Seguridad y Alta Disponibilidad (GRADO SUPERIOR): SEGURIDAD INFORMÁTICA Calificación: 5 de 5 estrellas5/5
Comentarios para Ciberseguridad Industrial e Infraestructuras Críticas
0 clasificaciones0 comentarios
Vista previa del libro
Ciberseguridad Industrial e Infraestructuras Críticas - FERNANDO SEVILLANO JAÉN
Ciberseguridad Industrial e Infraestructuras Críticas
Marta Beltrán (coordinadora de la colección y autora)
Fernando Sevillano (coordinador del libro y autor)
Antonio Rodríguez Usallán
Agustín Valencia Gil-Ortega
Edorta Echave García
Susana Sánchez Mella
Elena Matilla Rodriguez
Erik De Pablo Martínez
Ciberseguridad Industrial e Infraestructuras Críticas
© Marta Beltrán (coordinadora de la colección y autora), Fernando Sevillano (coordinador del libro y autor), Antonio Rodríguez Usallán, Agustín Valencia Gil-Ortega, Edorta Echave García, Susana Sánchez Mella, Elena Matilla Rodriguez, Erik De Pablo Martínez
© De la edición: Ra-Ma 2021
MARCAS COMERCIALES. Las designaciones utilizadas por las empresas para distinguir sus productos (hardware, software, sistemas operativos, etc.) suelen ser marcas registradas. RA-MA ha intentado a lo largo de este libro distinguir las marcas comerciales de los términos descriptivos, siguiendo el estilo que utiliza el fabricante, sin intención de infringir la marca y solo en beneficio del propietario de la misma. Los datos de los ejemplos y pantallas son ficticios a no ser que se especifique lo contrario.
RA-MA es marca comercial registrada.
Se ha puesto el máximo empeño en ofrecer al lector una información completa y precisa. Sin embargo, RA-MA Editorial no asume ninguna responsabilidad derivada de su uso ni tampoco de cualquier violación de patentes ni otros derechos de terceras partes que pudieran ocurrir. Esta publicación tiene por objeto proporcionar unos conocimientos precisos y acreditados sobre el tema tratado. Su venta no supone para el editor ninguna forma de asistencia legal, administrativa o de ningún otro tipo. En caso de precisarse asesoría legal u otra forma de ayuda experta, deben buscarse los servicios de un profesional competente.
Reservados todos los derechos de publicación en cualquier idioma.
Según lo dispuesto en el Código Penal vigente, ninguna parte de este libro puede ser reproducida, grabada en sistema de almacenamiento o transmitida en forma alguna ni por cualquier procedimiento, ya sea electrónico, mecánico, reprográfico, magnético o cualquier otro sin autorización previa y por escrito de RA-MA; su contenido está protegido por la ley vigente, que establece penas de prisión y/o multas a quienes, intencionadamente, reprodujeren o plagiaren, en todo o en parte, una obra literaria, artística o científica.
Editado por:
RA-MA Editorial
Calle Jarama, 3A, Polígono Industrial Igarsa
28860 PARACUELLOS DE JARAMA, Madrid
Teléfono: 91 658 42 80
Fax: 91 662 81 39
Correo electrónico: editorial@ra-ma.com
Internet: www.ra-ma.es y www.ra-ma.com
ISBN: 978-84-1855-136-9
Depósito legal: M-6881-2021
Maquetación: Antonio García Tomé
Diseño de portada: Antonio García Tomé
Filmación e impresión: Safekat
Impreso en España en abril de 2021
A nuestras familias
Índice
AUTORES 13
Prólogo 17
Prefacio 19
automatización, DIGITALIZACIÓN y CIBERSEGURIDAD INDUSTRIAL 21
INTRODUCCIÓN 21
LA automatización y la digitalización DE LOS ENTORNOS INDUSTRIALES Y DE LAS INFRAESTRUCTURAS CRÍTICAS 22
Concepto de automatización industrial y sus r(e)voluciones 22
Automatización y digitalización industrial. Principales activos 24
DISPOSITIVOS DE CONTROL, SISTEMAS DE GESTION y seguridad EN ENTORNOS INDUSTRIALES 28
Nivel 1. El control del proceso. Dispositivos PLC y DCS 28
Nivel 2. La supervisión del proceso. Sistemas HMI y SCADA 30
Nivel 3. La gestión en tiempo real de datos del proceso. Soluciones de historización, MES y Batch 31
Sistemas Instrumentados de Seguridad (SIS) 32
comunicaciones y protocolos industriales 33
Comunicaciones y medios industriales 33
Principales protocolos industriales 37
infraestructuras críticas y activos específicos 42
El concepto de industria 4.0 46
la ciberseguridad industrial 51
¿Por qué ciberseguridad industrial? 51
Ciberseguridad OT versus Ciberseguridad IT. Hacia la convergencia 53
PARA LLEVAR 55
LECTURAS RECOMENDADAS 56
Impacto de las principales apt´s en entornos industriales e infraestructuras crítticas 57
INTRODUCCIÓN 57
definición y características de una apt 58
fases de una apt 60
CONSECUENCIAS y tipos de pérdidas 63
grupos apt, malware específico e incidentes en infraestructuras críticas 68
análisis del impacto y las pérdidas en diferentes incidentes de cibersuridad ot 76
PARA LLEVAR 82
LECTURAS RECOMENDADAS 83
GOBERNANZA, MARCOS DE GESTIÓN DEL CIBERRIESGO, DEFENSA EN PROFUNDIDAD y ESTÁNDARES OT 85
INTRODUCCIÓN 85
DETECTANDO GAPS en el entorno industrial 86
EMPEZANDO POR LA ORGANIZACIÓN 88
Defensa en Profundidad 95
PONIENDO EN MARCHA UN MARCO DE CIBERSEGURIDAD 99
Gestión del Ciberriesgo 104
Marcos de Controles 117
Reporting, métricas E INDICADORES 125
CUMPLIMIENTO 126
PARA LLEVAR 130
LECTURAS RECOMENDADAS 132
seguridad en redes INDUSTRIALes 135
INTRODUCCIÓN 135
CARACTERÍSTICAS DE las REDES INDUSTRIALES 136
debilidades, vulnerabilidades y amenazas 141
HERRAMIENTAS Y SOFTWARE 147
MODELOS DE DEFENSA 154
CONTRAMEDIDAS Y EQUIPAMIENTO 159
PARA LLEVAR 170
LECTURAS RECOMENDADAS 172
seguridad en PROTOCOLOS INDUSTRIALes 175
INTRODUCCIÓN 175
escenario actual de VULNERABILIDADES Y AMENAZAS en protocolos industriales 176
COMO REMEDIAR Y MEJORAR LA SEGURIDAD DE LOS PROTOCOLOS INSEGUROS 182
PROTOCOLOS INDUSTRIALES SEGUROS 188
PARA LLEVAR 193
LECTURAS RECOMENDADAS 194
seguridad en DISPOSITIVOS DE CONTROL y sistemas de gestión en tiempo real. ataques específicos y contramedidas 195
INTRODUCCIÓN 195
ataques que persiguen controlar el proceso 196
ataques que persiguen impactos tradicionales 199
algunas reflexiones 200
mitigaciones específicas 202
Sistemas de inventario de activos OT 204
Firewalls DPI industriales 205
Diodo de datos 207
Sistemas antimalware off-line y congelación de activos 209
Parcheado virtual de vulnerabilidades 211
Sistemas de gestión de cambios y control de versiones 212
PARA LLEVAR 213
LECTURAS RECOMENDADAS 214
seguridad en industrial internet of things (IIOT) 215
INTRODUCCIÓN 215
arquitectura de un proyecto iot 217
ciclo de vida de un proyecto iiot 220
Principales amenazas y vulnerabilidades en IIoT 223
Dispositivos 223
Protocolos 225
Aplicaciones, plataformas, datos y procesos 226
Análisis de seguridad inicial en entornos IIoT 227
Capacidades de seguridad deseables en un entorno IIoT 228
Gobernanza de la seguridad en proyectos IIoT 230
PARA LLEVAR 231
LECTURAS RECOMENDADAS 232
MONITORIZACIÓN Y DETECCIÓN TEMPRANA DE AMENAZAS Y ANOMALÍAS EN ENTORNOS OT 233
INTRODUCCIÓN 233
CONSIDERACIONES GENERALES 236
Monitorización dependiendo del concepto analizado 236
Monitorización a demanda vs en tiempo real 238
Detección basada en firmas vs comportamientos 239
Monitorización basadA en Tráfico 240
Adquisición de tráfico y consideraciones 240
Características del tráfico industrial 243
Monitorización de activos 248
Gestión de inventario 248
Gestión de vulnerabilidades 249
Monitorización basada en eventos y los logs 250
Fuentes de logs a considerar 255
Herramientas de gestión de logs 260
Detección y alerta temprana 260
Inteligencia de amenazas 261
Sistemas de detección de intrusiones (IDS) en archivos 262
Sistemas de detección de intrusiones (IDS) en red. Los NIDS 266
Sistemas de detección de intrusiones (IDS) en equipos. Los HIDS 268
La detección de anomalías 269
Gestión de Eventos y Alertas 271
Generación de casos de uso 271
Agrupación de eventos y fuentes para generar alertas 273
Consideraciones en el ámbito industrial 275
Monitorización activa vs pasiva 275
Enfoque para integración en las organizaciones industriales 279
Enfoque del inventario 282
Generación de casos en entorno Industrial 284
¿IDS vs IPS? 285
Uso de Cyberkill Chain y TTP’s 285
Uso de herramientas de information sharing 287
PARA LLEVAR 289
LECTURAS RECOMENDADAS 290
PLAN DE RESPUESTA ANTE INCIDENTES Y CONTINUIDAD DE NEGOCIO EN INFRAESTRUCTURAS CRÍTICAS 293
INTRODUCCIÓN 293
TIPOLOGÍA DE INCIDENTES 295
CICLO DE VIDA DEL INCIDENTE 296
El pre-incidente 297
El incidente 306
El post-incidente 311
INCIDENTES EN LA CADENA DE SUMINISTRO. ¿COMO IMPACTAN? 312
DE LA GESTIÓN DE INCIDENTES A LA GESTIÓN DE LA CRISIS 314
PLAN DE CONTINUIDAD DE NEGOCIO 317
PARA LLEVAR 322
LECTURAS RECOMENDADAS 323
ESCENARIOS PARA LO IMPREDECIBLE ¿QUÉ PODEMOS ESPERAR? 325
INTRODUCCIÓN 325
Tendencias tecnológicas en la industria 328
Evolución de las amenazas 330
Tecnologías emergentes de protección 335
El camino hacia la Ciber-Resiliencia 337
Afrontando lo impredecible 342
Para llevar 342
Lecturas recomendadas 343
AUTORES
MARTA BELTRÁN PARDO
Ingeniera Electrónica (Universidad Complutense de Madrid, 2001), Licenciada en Ciencias Físicas, rama de Física Industrial y Automática (UNED, 2003) y Doctora en Informática (Universidad Rey Juan Carlos, 2005). Actualmente es Profesora Titular de Universidad en la Universidad Rey Juan Carlos de Madrid, donde desde hace casi veinte años trabaja en sistemas distribuidos y en ciberseguridad y privacidad, tanto en docencia como en I+D+i. En estas disciplinas ha publicado más de 30 trabajos de investigación en revistas y congresos de reconocido prestigio. Es una de las pocas investigadoras españolas que ha publicado trabajos en conferencias técnicas hacker internacionales como las BlackHat o las Defcon, o en conferencias técnicas militares como las ICC (actuales CYCON). Además es cofundadora del Cybersecurity Cluster de la Universidad Rey Juan Carlos, directora del MOOC de Ciberseguridad en las plataformas URJCx y MiriadaX, coordinadora del Grado en Ingeniería de la Ciberseguridad y directora del Máster en Ciberseguridad y Privacidad.
FERNANDO SEVILLANO JAÉN
Licenciado en Ciencias Económicas y Empresariales (Universidad Complutense de Madrid, 1995), Máster en Gestión e Investigación de la Comunicación Empresarial (Universidad Rey Juan Carlos, 2009) y Doctor en Informática (Universidad Rey Juan Carlos, 2010). Con 25 años de experiencia, su carrera profesional se ha desarrollado siempre en el sector privado y en compañías del sector de las Tecnologías de la Información y las Comunicaciones, colaborando además estrechamente en tareas de docencia e investigación con diferentes universidades y escuelas de negocio. Esto le ha permitido apostar por un doble perfil de tecnología y negocio. En los últimos diez años se ha centrado en el área de la ciberseguridad, en particular, en entornos industriales y de infraestructuras críticas. Actualmente es Head of Cyber Risk Consulting en Willis Towers Watson, donde lidera el diseño y desarrollo de servicios en el área de la gestión del ciber-riesgo.
ANTONIO RODRIGUEZ USALLAN
Ingeniero Superior Industrial, especialidad Mecánica, (Universidad Politécnica de Madrid, 1982). Con 36 años de experiencia, su carrera profesional se ha desarrollado siempre en el sector privado y en compañías multinacionales de distintos sectores industriales (automoción, electrónica, química, entre otros), colaborando además estrechamente con asociaciones profesionales, ISA (International Society of Automation), siendo presidente de su filial en España y CCI (Centro de Ciberseguridad Industrial) como Experto, donde es profesor de la Escuela de Ciberseguridad y participa en la publicación de documentos del Centro. Desde hace más de 30 años está relacionado con la tecnologías de automatización y control de procesos, participando en proyectos a nivel ibérico y europeo y en los últimos 8 años trabajando en ciberseguridad en entornos industriales. En Septiembre de 2020, decidió ejercer su derecho a jubilarse laboralmente, pero no profesionalmente. Actualmente continúa colaborando como asesor en proyectos de ciberseguridad industrial.
AGUSTÍN VALENCIA GIL-ORTEGA
Ingeniero Industrial (Universidad Pontificia Comillas ICAI, 2001), Director de Seguridad (Universidad a Distancia de Madrid, 2018) y Master en Seguridad Informática (Universidad Politécnica de Cataluña – Universidad Internacional de Valencia, 2019). Con 20 años de experiencia en el mundo de la energía, especialmente en ciclos combinados y sector nuclear. Ha desempeñado puestos en sectores de ingeniería, de operación y mantenimiento y desde 2012 como responsable de ciberseguridad de la Central Nuclear de Cofrentes junto con la gestión de proyectos de Instrumentación y sistemas de control. Desde 2018 Responsable de Ciberseguridad OT dependiendo del CISO global de Iberdrola, donde coordina iniciativas con los negocios, buscando benchmarking interno entre negocios y con IT, así como buscando el estado del arte en ciberseguridad industrial. También forma parte de varios grupos de trabajo internacionales, como algunos de los pertenecientes a ISA-99 (desarrolladores de la ISA 62443), el grupo de Ciberresilience in Electricity (World Economic Forum) o el Stakeholders Cybersecurity Certification Group (European Commission, DG-CNECT).
EDORTA ECHAVE GARCÍA
Técnico Superior en Sistemas Informáticos y Telecomunicaciones y Especialista en Diseño y Seguridad en Redes
por la Universidad Pública del País Vasco. Ha dirigido su carrera profesional entorno a las infraestructuras de comunicaciones alcanzando certificaciones como CCNA, ITIL, SIEMENS CPIN Security, Nozomi Networks Certified Engineer, y formación específica en productos y soluciones de seguridad. Posee más de 12 años de experiencia en el ámbito de la Ciberseguridad Industrial, habiendo participado, tanto a nivel nacional como internacional, en el desarrollo, ejecución y supervisión de proyectos; despliegue de soluciones técnicas; diseño de redes; asesoramiento; consultoría y soporte para empresas del sector de la Automoción, Aeronáutica, Generación Eléctrica, Industria Manufacturera e Ingenierías. Actualmente trabaja como Arquitecto en Ciberseguridad Industrial para Secure&IT, empresa que desde junio de 2019 forma parte del grupo cooperativo LKS NEXT perteneciente a Corporación Mondragón. Comparte su actividad profesional con distintas labores docentes en universidades, centros de formación profesional y organismos especializados como Centro de Ciberseguridad Industrial; habiendo participado igualmente como ponente en destacados eventos de referencia. Es autor y fundador del blog https://enredandoconredes.com pionero en la difusión de artículos relacionados con la Ciberseguridad Industrial donde publica periódicamente artículos de investigación.
SUSANA SÁNCHEZ MELLA
Licenciada en Ingeniería Industrial Superior (Universidad Carlos III de Madrid, 2001). Con 20 años de experiencia, su carrera profesional se ha desarrollado en el sector de las infraestructuras críticas muy ligado a proyectos de automatización industrial, donde ha desempeñado diferentes roles cubriendo todo el espectro del ciclo de vida de un proyecto de automatización. Con proyectos de diferente envergadura, naturaleza y criticidad. En los últimos 7 años, se ha centrado en el área de la ciberseguridad, en particular, en entornos industriales en sectores muy dispares como utilities, Oil&Gas, manufactureras, etc. Actualmente es Manager de Ciberseguridad Industrial en Accenture Security, donde colidera la práctica de ciberseguridad industrial para Iberia.
ELENA MATILLA RODRÍGUEZ
Ingeniera Técnica de Telecomunicaciones, especialidad Telemática por la Universidad Pontificia de Valencia, 2000), Master en seguridad informática por la Universidad Oberta de Catalunya, 2007 y en posesión de múltiples certificaciones de ciberseguridad: CISA, CISM, CRISC y CGEIT de ISACA, ISO 27001, ISO 22301. Con más de 20 años de experiencia ha desarrollado toda su carrera profesional en el mundo de la ciberseguridad, en las áreas de gobierno y gestión de ciberseguridad, siendo una gran especialista en estrategia de seguridad, gestión de riesgos, cumplimiento, normativa, reporting, concienciación y gestión de incidentes, crisis y continuidad. Desde el año 2005 trabaja en Red Eléctrica de España, donde desempeña las funciones de Chief Information Security Officer (CISO). Con anterioridad a su incorporación en Red Eléctrica, trabajó como consultora senior en la empresa Ingeniería de Sistemas para la Defensa de España (ISDEFE) liderando proyectos de ciberseguridad para el Ministerio de Defensa Español y las Fuerzas y Cuerpos de Seguridad del Estado y anteriormente, como Jefa de Proyectos de seguridad de la información en el grupo de telecomunicaciones europeo France Telecom. Dispone de una amplísima visión multi sectorial habiendo trabajado en los sectores de Telecomunicaciones, Defensa y Energía. Además es ponente habitual en foros y cursos específicos de ciberseguridad.
ERIK DE PABLO MARTÍNEZ
Licenciado en Física por la Universidad Autónoma de Madrid y PDD por el IESE. Ha desarrollado su carrera profesional en el Grupo Repsol, inicialmente en tareas de innovación tecnológica en procesos industriales, incluyendo la introducción de los primeros sistemas de Inteligencia Artificial aplicada al control industrial en tiempo real. Posteriormente desempeñó la Dirección de Sistemas en Argentina y la Dirección de Explotación de Sistemas de todo el Grupo. Durante 10 años ha sido Director de Auditoría de Sistemas para el Grupo Repsol. Ha desempeñado durante 6 años la labor de Director de Investigación en la asociación de auditoría de sistemas ISACA, hasta noviembre de 2020. Actualmente es socio director de la empresa de auditoría de sistemas RUTILUS. Posee las Certificaciones Internacionales CISA y CRISC. Su interés se centra en los nuevos riesgos tecnológicos derivados de la ciberseguridad, infraestructuras críticas, cloud, detección del fraude, blockchain, Big Data, Inteligencia Artificial, IoT, etc
Prólogo
Este es ya el sexto libro de nuestra colección dedicada a la Ciberseguridad y hace justo un año estábamos terminando de trabajar con el primero. Hasta ahora nos hemos centrado en sentar las bases en algunos aspectos que consideramos esenciales (la gestión del riesgo, los aspectos jurídicos de la profesión o la criptografía) o punteros (la aplicación de ciencia de datos o las cadenas de bloques). Pero hay un tipo de libro que también consideremos muy importante para todos aquellos que se acercan a este campo y que desean profundizar en sus diferentes aristas: el que permite conocer dominios de aplicación específicos en los que la ciberseguridad presenta requisitos particulares o plantea nuevos retos.
Uno de los más importantes en la actualidad es el dominio industrial y de las infraestructuras críticas. Con sus propias restricciones en cuanto a rendimiento (requisitos de tiempo real y de determinismo), diseños y despliegues basados en patrones, arquitecturas y pilas tecnológicas propios, en la frontera entre diferentes disciplinas de la ingeniería (cada vez menos industrial y más informática o telecomunicaciones) y con sus propias necesidades de cumplimiento dada la regulación específica que le afecta.
Pero quizás lo que más hay que destacar de estos contextos es que cuando se habla de seguridad en ellos este concepto tiene una doble vertiente. La seguridad ciber
, entendida como la protección de activos frente a amenazas, y la seguridad safety
que tiene que ver con la protección del medio ambiente o de vidas humanas mediante la garantía de que los sistemas funcionarán correctamente, llevando a cabo los procesos como se especificó en fase de diseño. No es casualidad que en algunos contextos se hable de ciber-safety para que nadie olvide esta doble vertiente esencial en estos entornos.
En este libro hemos tenido el privilegio de contar con grandes profesionales de reconocido prestigio en el sector que nos han intentado aportar, cada uno en un capítulo, lo que han aprendido en todos sus años de experiencia trabajando en este tipo ciberseguridad. El coordinador del libro ha pretendido centrarse, en todo momento, en escribir un libro didáctico, que aproveche toda esta experiencia y que se dedique a analizar, casi exclusivamente, aquellos aspectos que son específicos de las plantas e instalaciones industriales y críticas. En la parte IT de estas instalaciones, se pueden aplicar los mismos principios, metodologías y mecanismos que ya se explican en otros títulos de esta y otras colecciones.
En la era de la Industria 4.0 o del lndustrial Internet of Things, con noticias constantes sobre grupos APT cuyos objetivos son este tipo de entornos, creemos que un libro así es necesario. Juzgad vosotros si el objetivo se ha cumplido, espero que disfrutéis en el proceso.
Marta Beltrán
Madrid, Marzo 2021.
Prefacio
Cuando en el año 2010, las centrales nucleares de Bushehr y Natanz (Irán) fueron comprometidas por Stuxnet, surgió una nueva preocupación para todas las personas que se encargan de gestionar activos industriales o críticos. Además de hacerlos funcionar para que fabriquen productos que satisfagan la demanda comercial de los consumidores o para que proporcionen servicios esenciales (como el suministro eléctrico o el de agua), tenían que hacerlos funcionar de forma segura. Es entonces cuando la ciberseguridad industrial empieza a tratarse y considerarse como una disciplina específica orientada a minimizar la superficie de exposición, a establecer un mínimo privilegio y a diseñar estrategias de defensa en profundidad que protejan activos industriales o críticos de amenazas IT, pero también de amenazas que afectan específicamente a sistemas de control.
Desde entonces, se ha escrito y desarrollado mucha literatura sobre las diferencias entre la ciberseguridad IT (o de información) y la ciberseguridad OT (o de operación). También se han diseñado marcos de gestión de gobernanza y de gestión del ciberriesgo específicos para entornos industriales y han surgido decenas de mejores prácticas. Se han puesto a disposición de los encargados de proteger estos entornos tan peculiares diferentes tipos de tecnologías que ayudan a diseñar entornos de operación más seguros. Adicionalmente, se han creado especificaciones que ayudan a proteger algo tan característico de los entornos industriales, como son los protocolos que utilizan los diferentes dispositivos de campo para comunicarse entre sí.
Teniendo en cuenta todo este contexto, nos ha parecido importante escribir un libro en el que pudiéramos recoger todos estos aspectos y dar una visión extensa, organizada y profunda de los elementos más importantes que caracterizan a la ciberseguridad industrial. De hecho, no nos queremos quedar ahí, sino que también nos atrevemos a dar una visión de qué es lo que nos espera para los próximos años.
En concreto, comenzamos el libro proporcionando una visión de qué activos pueden encontrarse en un entorno industrial o de infraestructura crítica. No podemos proteger aquello que no conocemos. A continuación, en el capítulo 2, nos centramos en analizar el impacto que pueden causar los diferentes grupos APT y malware específico utilizado para comprometer dichos activos. En el capítulo 3 introducimos los marcos y estándares disponibles para gobernar y gestionar el ciberriesgo específico de los entornos OT. A partir de este capítulo, hemos analizado por capas, las características y vulnerabilidades específicas de los diferentes activos que convergen en un entorno industrial o crítico, así como las recomendaciones técnicas y procedimentales que deberían desplegarse. De esta manera dedicamos el capítulo 4 a la red industrial, el 5 a los protocolos industriales, el 6 a los sistemas de control y sistemas de gestión en tiempo real y el 7 a analizar cómo desplegar un proyecto IIoT (Industrial Internet of Things) de forma segura. Además de identificar y proteger los activos, es esencial disponer de capacidades de detección temprana. Por eso desarrollamos en el capítulo 8 las medidas y soluciones existentes que posibilitan dicha detección y la correlación de eventos. A pesar de las medidas que puedan desplegarse para incrementar la seguridad de los entornos industriales y críticos, desafortunadamente los incidentes ocurren más a menudo de lo que pensamos. Por eso es esencial disponer de una estrategia de continuidad de negocio que incluya planes de respuesta y recuperación ante incidentes. En el capítulo 9 abordamos este punto de forma exhaustiva. No podemos finalizar un libro como este, sin atrevernos a reflexionar sobre qué tipo de amenazas aparecerán en los próximos años o sobre qué tipo de contramedidas serán las más adecuadas para desplegar en una organización que presta servicios esenciales o que gestiona activos industriales.
Para desarrollar todos estos contenidos, hemos tenido el privilegio de trabajar con un grupo de excepcionales profesionales dedicados a la ciberseguridad industrial. Desde sus posiciones como investigadores, consultores o directores de la seguridad de la operación (y de la información) han compartido sus conocimientos y experiencias. Mi agradecimiento por su tiempo, generosidad e involucración.
Espero que este libro ayude a todos los lectores a entender mejor el alcance de una ciberseguridad, la industrial, que vela porque podamos seguir consumiendo productos y servicios esenciales, a tiempo y de forma segura.
Fernando Sevillano
Madrid, Marzo 2021.
1
automatización, DIGITALIZACIÓN y CIBERSEGURIDAD INDUSTRIAL
Antonio Rodríguez Usallán
INTRODUCCIÓN
Los sectores industriales y de infraestructuras críticas están inmersos cada vez más en lo que la literatura denomina transformación digital. Este fenómeno no puede considerarse como un estado o un proyecto aislado que las organizaciones pertenecientes a estos sectores lleven a cabo. Se trata de un proceso evolutivo, una filosofía, la nueva mejora continua. Es también un proceso disruptivo, la innovación que genera nuevos modelos de negocio. Sea cual sea la aproximación, en ambos casos se utiliza masivamente la tecnología para que las organizaciones obtengan ventajas competitivas. Teniendo en cuenta esta definición, se puede convenir que la transformación digital del sector industrial está estrechamente relacionada con lo que se denomina Industria 4.0, mientras que en la transformación digital del sector de infraestructuras el paradigma conocido como Internet of Things (IoT) asume un papel relevante.
Bajo este contexto de adopción masiva de tecnología, los activos que facilitan la ejecución de los procesos de producción y el suministro de servicios esenciales son cada vez más, objetivos claros de amenazas cibernéticas que pueden ser materializadas por distintos tipos de adversarios. Es por ello por lo que surge la necesidad de desplegar sistemas específicos de seguridad, de diseñar y comunicar políticas y procedimientos que tengan en cuenta la idiosincrasia de los sectores industriales y de formar al personal asociado a este tipo de entornos.
Comenzaremos este capítulo haciendo un recorrido por las diferentes revoluciones industriales que han hecho posible transformar las industrias y las infraestructuras críticas hasta tal y como las conocemos hoy. Tras ello analizaremos en detalle los diferentes activos, medios de comunicación y protocolos específicos que convergen en este tipo de entornos. Por último, introduciremos el concepto de ciberseguridad industrial. Este tipo de activos (y de entorno) requieren de una aproximación diferente para protegerlos de amenazas y adversarios.
LA automatización y la digitalización DE LOS ENTORNOS INDUSTRIALES Y DE LAS INFRAESTRUCTURAS CRÍTICAS
Concepto de automatización industrial y sus r(e)voluciones
Desde el origen del ser humano, este ha tenido la necesidad de transformar los elementos de la naturaleza para poder aprovecharse de ellos. Inicialmente esta transformación se hacía de forma manual e individual, siendo esta la representación más básica y elemental de un proceso industrial. Un proceso que permitía transformar un determinado material (materia prima) en un producto final, que cumplía las expectativas y cubría las necesidades de la persona.
Cuando estas necesidades coinciden y son demandadas por grupos de personas, surgen profesiones (y profesionales) cuyo cometido es realizar este proceso de transformación de forma masiva. Además, los productos finales demandados son cada vez más sofisticados y deben satisfacer la demanda comercial de los consumidores. Es necesario realizar una producción por etapas, involucrando a diferentes agentes. Aparece también la variable temporal. Los productos deben estar disponibles en cortos plazos de tiempo para su consumo o utilización. Es entonces cuando aparece el concepto de industrialización. La industrialización se caracteriza por permitir la producción de productos y servicios a gran escala, por disminuir el tiempo de trabajo necesario para transformar un recurso en un producto útil y por utilizar para ello equipos y tecnología.
Además de la revolución social que supuso el migrar de una economía basada en la agricultura (individual y básica) a otra fundamentada en el desarrollo industrial (global y masiva), es necesario mencionar las diferentes revoluciones industriales que han supuesto que el sector industrial haya ido evolucionando hasta cómo lo conocemos hoy.
El término revolución
se refiere al cambio fundamental y profundo que se producen en estructuras de poder, sociales y económicas de un país, sector, organización o grupo de personas. Si unimos el concepto revolución
con industrial
nos referimos a cómo este sector ha ido evolucionando como consecuencia de la utilización e incursión de la tecnología desde el siglo XVIII hasta nuestros días.
La primera revolución industrial, tuvo una duración de 100 años (desde 1780 hasta 1870 aproximadamente) y la principal innovación fue la introducción de la máquina de vapor utilizada para mecanizar los procesos, pasando de los procesos artesanales y manuales a los industriales.
La segunda revolución industrial, también tuvo una duración cercana al siglo, durando desde 1870 hasta finales de los años 70. El hito más importante es la incorporación de la electricidad a los procesos de fabricación, que permite actuar en mecanismos simples que automatizan tareas sencillas y repetitivas de fabricación. La industria introduce las cadenas de producción, y la consiguiente masificación y uniformidad de los productos. Fue la industria del automóvil, una de las primeras en adoptar las cadenas de montaje. En concreto la Compañía Ford fue pionera en incluir el concepto de cadena de montaje para fabricar el modelo Ford T en su planta de Detroit. Esto supuso un profundo cambio en la organización del trabajo, que además fue acompañado de cambios en el modelo social y económico.
La incorporación de nuevas fuentes de energía, como el gas o el petróleo, así como el desarrollo de nuevos sistemas de transporte (avión, coche) y de comunicaciones (teléfono, radio, televisión) fueron también facilitadores del cambio y parte de la segunda revolución industrial.
Durante la segunda mitad del siglo XX, se inicia la tercera revolución industrial. Los entornos industriales y críticos incorporan los sistemas de información y comunicación para facilitar la automatización y la digitalización de los procesos de fabricación. Es entonces cuando desaparecen las limitaciones físicas basadas en cuadros eléctricos de relés, para realizar la supervisión y control de los procesos, mediante un mero intercambio de ceros y unos.
Por último, a finales del siglo XX, se inició lo que se conoce como la cuarta revolución industrial. La aparición de las comunicaciones inalámbricas y nuevos medios de comunicación, la conectividad integral de los dispositivos, el incremento de los anchos de banda de las redes, la robótica colaborativa, la inteligencia artificial, paradigmas como Big Data, Blockchain o IoT (Internet de las Cosas) han auspiciado una nueva forma de gestionar los procesos industriales. Esta cuarta revolución ha habilitado la verdadera transformación digital de los entornos industriales y de las infraestructuras críticas.
En la siguiente figura resumimos los factores clave que han facilitado las cuatro revoluciones industriales. Como puede observarse, es entre la tercera y la cuarta revolución, cuando aparecen los principales conceptos, paradigmas y activos digitales que dan soporte a los procesos de automatización y digitalización de los entornos industriales y de las infraestructuras críticas. En las próximas secciones los analizaremos en profundidad.
Automatización y digitalización industrial. Principales activos
Se puede definir la automatización industrial como el uso de la tecnología (sistemas electromecánicos, sistemas de información, sistemas de comunicación, robots, etc.) con el fin de que los procesos de fabricación se lleven a cabo de forma automática y autónoma. En contraposición con la forma tradicional de realizarlos, que se basaba en la operación manual. Los procesos de automatización industrial permiten mejorar los tiempos de ciclo, la productividad, la calidad del proceso y la competitividad de las organizaciones.
Asociado a estos procesos de automatización (o digitalización industrial o de infraestructuras críticas) se vinculan un conjunto de activos, dispositivos y sistemas de información específicos. Como podrás imaginar, teniendo en cuenta que en este libro vamos a hablar de ciberseguridad industrial, se trata de los activos que debemos proteger, con el propósito de que un adversario no los pueda comprometer o vulnerar, modificando el proceso de producción, dejándolos no disponibles, etc. Es por ello por lo que es necesario entender cuáles son sus características más importantes y qué funcionalidades proporcionan.
Para ello, vamos a basarnos en la clasificación de activos industriales que proporciona la organización ISA (International Society of Automation) en la normativa ISA95 (concretamente en el documento ISA-95.01 Enterprise-Control System Integration: Models & Terminology). En esta normativa se define una pirámide en la que se identifican cinco niveles de automatización y asociados a cada uno de estos niveles, se mapean los dispositivos y/o sistemas de información que normalmente son utilizados en cada uno de ellos. Además, este estándar facilita la integración de los sistemas de información transaccionales con los sistemas de control o de tiempo real. Para ello, la norma ha diseñado una serie de modelos de datos y esquemas (o estructuras) basadas en el lenguaje XML. Estos datos y esquemas reciben el nombre de B2MML (Business To Manufacturing Mark-Up Language). Como su propio nombre indica, ayudan a integrar datos sobre equipos, gestión de