Ciberseguridad Industrial e Infraestructuras Críticas

Por FERNANDO SEVILLANO JAÉN

El propósito de esta obra es transmitir a los equipos responsables de la ciberseguridad, estudiantes y profesionales del sector un visión completa de las características y alcance de la ciberseguridad cuando se persigue proteger activos industriales o que prestan servicios esenciales. Lo que habitualmente se denomina ciberseguridad industrial. El l

• Idioma: Español
• Editorial: RA-MA Editorial
• Fecha de lanzamiento: 4 may 2021
• ISBN: 9788418551598

Vista previa del libro

9788418551369_800px.jpg

Ciberseguridad Industrial e Infraestructuras Críticas

Marta Beltrán (coordinadora de la colección y autora)

Fernando Sevillano (coordinador del libro y autor)

Antonio Rodríguez Usallán

Agustín Valencia Gil-Ortega

Edorta Echave García

Susana Sánchez Mella

Elena Matilla Rodriguez

Erik De Pablo Martínez

Ciberseguridad Industrial e Infraestructuras Críticas

© Marta Beltrán (coordinadora de la colección y autora), Fernando Sevillano (coordinador del libro y autor), Antonio Rodríguez Usallán, Agustín Valencia Gil-Ortega, Edorta Echave García, Susana Sánchez Mella, Elena Matilla Rodriguez, Erik De Pablo Martínez

© De la edición: Ra-Ma 2021

MARCAS COMERCIALES. Las designaciones utilizadas por las empresas para distinguir sus productos (hardware, software, sistemas operativos, etc.) suelen ser marcas registradas. RA-MA ha intentado a lo largo de este libro distinguir las marcas comerciales de los términos descriptivos, siguiendo el estilo que utiliza el fabricante, sin intención de infringir la marca y solo en beneficio del propietario de la misma. Los datos de los ejemplos y pantallas son ficticios a no ser que se especifique lo contrario.

RA-MA es marca comercial registrada.

Se ha puesto el máximo empeño en ofrecer al lector una información completa y precisa. Sin embargo, RA-MA Editorial no asume ninguna responsabilidad derivada de su uso ni tampoco de cualquier violación de patentes ni otros derechos de terceras partes que pudieran ocurrir. Esta publicación tiene por objeto proporcionar unos conocimientos precisos y acreditados sobre el tema tratado. Su venta no supone para el editor ninguna forma de asistencia legal, administrativa o de ningún otro tipo. En caso de precisarse asesoría legal u otra forma de ayuda experta, deben buscarse los servicios de un profesional competente.

Reservados todos los derechos de publicación en cualquier idioma.

Según lo dispuesto en el Código Penal vigente, ninguna parte de este libro puede ser reproducida, grabada en sistema de almacenamiento o transmitida en forma alguna ni por cualquier procedimiento, ya sea electrónico, mecánico, reprográfico, magnético o cualquier otro sin autorización previa y por escrito de RA-MA; su contenido está protegido por la ley vigente, que establece penas de prisión y/o multas a quienes, intencionadamente, reprodujeren o plagiaren, en todo o en parte, una obra literaria, artística o científica.

Editado por:

RA-MA Editorial

Calle Jarama, 3A, Polígono Industrial Igarsa

28860 PARACUELLOS DE JARAMA, Madrid

Teléfono: 91 658 42 80

Fax: 91 662 81 39

Correo electrónico: editorial@ra-ma.com

Internet: www.ra-ma.es y www.ra-ma.com

ISBN: 978-84-1855-136-9

Depósito legal: M-6881-2021

Maquetación: Antonio García Tomé

Diseño de portada: Antonio García Tomé

Filmación e impresión: Safekat

Impreso en España en abril de 2021

A nuestras familias

Índice

AUTORES 13

Prólogo 17

Prefacio 19

automatización, DIGITALIZACIÓN y CIBERSEGURIDAD INDUSTRIAL 21

INTRODUCCIÓN 21

LA automatización y la digitalización DE LOS ENTORNOS INDUSTRIALES Y DE LAS INFRAESTRUCTURAS CRÍTICAS 22

Concepto de automatización industrial y sus r(e)voluciones 22

Automatización y digitalización industrial. Principales activos 24

DISPOSITIVOS DE CONTROL, SISTEMAS DE GESTION y seguridad EN ENTORNOS INDUSTRIALES 28

Nivel 1. El control del proceso. Dispositivos PLC y DCS 28

Nivel 2. La supervisión del proceso. Sistemas HMI y SCADA 30

Nivel 3. La gestión en tiempo real de datos del proceso. Soluciones de historización, MES y Batch 31

Sistemas Instrumentados de Seguridad (SIS) 32

comunicaciones y protocolos industriales 33

Comunicaciones y medios industriales 33

Principales protocolos industriales 37

infraestructuras críticas y activos específicos 42

El concepto de industria 4.0 46

la ciberseguridad industrial 51

¿Por qué ciberseguridad industrial? 51

Ciberseguridad OT versus Ciberseguridad IT. Hacia la convergencia 53

PARA LLEVAR 55

LECTURAS RECOMENDADAS 56

Impacto de las principales apt´s en entornos industriales e infraestructuras crítticas 57

INTRODUCCIÓN 57

definición y características de una apt 58

fases de una apt 60

CONSECUENCIAS y tipos de pérdidas 63

grupos apt, malware específico e incidentes en infraestructuras críticas 68

análisis del impacto y las pérdidas en diferentes incidentes de cibersuridad ot 76

PARA LLEVAR 82

LECTURAS RECOMENDADAS 83

GOBERNANZA, MARCOS DE GESTIÓN DEL CIBERRIESGO, DEFENSA EN PROFUNDIDAD y ESTÁNDARES OT 85

INTRODUCCIÓN 85

DETECTANDO GAPS en el entorno industrial 86

EMPEZANDO POR LA ORGANIZACIÓN 88

Defensa en Profundidad 95

PONIENDO EN MARCHA UN MARCO DE CIBERSEGURIDAD 99

Gestión del Ciberriesgo 104

Marcos de Controles 117

Reporting, métricas E INDICADORES 125

CUMPLIMIENTO 126

PARA LLEVAR 130

LECTURAS RECOMENDADAS 132

seguridad en redes INDUSTRIALes 135

INTRODUCCIÓN 135

CARACTERÍSTICAS DE las REDES INDUSTRIALES 136

debilidades, vulnerabilidades y amenazas 141

HERRAMIENTAS Y SOFTWARE 147

MODELOS DE DEFENSA 154

CONTRAMEDIDAS Y EQUIPAMIENTO 159

PARA LLEVAR 170

LECTURAS RECOMENDADAS 172

seguridad en PROTOCOLOS INDUSTRIALes 175

INTRODUCCIÓN 175

escenario actual de VULNERABILIDADES Y AMENAZAS en protocolos industriales 176

COMO REMEDIAR Y MEJORAR LA SEGURIDAD DE LOS PROTOCOLOS INSEGUROS 182

PROTOCOLOS INDUSTRIALES SEGUROS 188

PARA LLEVAR 193

LECTURAS RECOMENDADAS 194

seguridad en DISPOSITIVOS DE CONTROL y sistemas de gestión en tiempo real. ataques específicos y contramedidas 195

INTRODUCCIÓN 195

ataques que persiguen controlar el proceso 196

ataques que persiguen impactos tradicionales 199

algunas reflexiones 200

mitigaciones específicas 202

Sistemas de inventario de activos OT 204

Firewalls DPI industriales 205

Diodo de datos 207

Sistemas antimalware off-line y congelación de activos 209

Parcheado virtual de vulnerabilidades 211

Sistemas de gestión de cambios y control de versiones 212

PARA LLEVAR 213

LECTURAS RECOMENDADAS 214

seguridad en industrial internet of things (IIOT) 215

INTRODUCCIÓN 215

arquitectura de un proyecto iot 217

ciclo de vida de un proyecto iiot 220

Principales amenazas y vulnerabilidades en IIoT 223

Dispositivos 223

Protocolos 225

Aplicaciones, plataformas, datos y procesos 226

Análisis de seguridad inicial en entornos IIoT 227

Capacidades de seguridad deseables en un entorno IIoT 228

Gobernanza de la seguridad en proyectos IIoT 230

PARA LLEVAR 231

LECTURAS RECOMENDADAS 232

MONITORIZACIÓN Y DETECCIÓN TEMPRANA DE AMENAZAS Y ANOMALÍAS EN ENTORNOS OT 233

INTRODUCCIÓN 233

CONSIDERACIONES GENERALES 236

Monitorización dependiendo del concepto analizado 236

Monitorización a demanda vs en tiempo real 238

Detección basada en firmas vs comportamientos 239

Monitorización basadA en Tráfico 240

Adquisición de tráfico y consideraciones 240

Características del tráfico industrial 243

Monitorización de activos 248

Gestión de inventario 248

Gestión de vulnerabilidades 249

Monitorización basada en eventos y los logs 250

Fuentes de logs a considerar 255

Herramientas de gestión de logs 260

Detección y alerta temprana 260

Inteligencia de amenazas 261

Sistemas de detección de intrusiones (IDS) en archivos 262

Sistemas de detección de intrusiones (IDS) en red. Los NIDS 266

Sistemas de detección de intrusiones (IDS) en equipos. Los HIDS 268

La detección de anomalías 269

Gestión de Eventos y Alertas 271

Generación de casos de uso 271

Agrupación de eventos y fuentes para generar alertas 273

Consideraciones en el ámbito industrial 275

Monitorización activa vs pasiva 275

Enfoque para integración en las organizaciones industriales 279

Enfoque del inventario 282

Generación de casos en entorno Industrial 284

¿IDS vs IPS? 285

Uso de Cyberkill Chain y TTP’s 285

Uso de herramientas de information sharing 287

PARA LLEVAR 289

LECTURAS RECOMENDADAS 290

PLAN DE RESPUESTA ANTE INCIDENTES Y CONTINUIDAD DE NEGOCIO EN INFRAESTRUCTURAS CRÍTICAS 293

INTRODUCCIÓN 293

TIPOLOGÍA DE INCIDENTES 295

CICLO DE VIDA DEL INCIDENTE 296

El pre-incidente 297

El incidente 306

El post-incidente 311

INCIDENTES EN LA CADENA DE SUMINISTRO. ¿COMO IMPACTAN? 312

DE LA GESTIÓN DE INCIDENTES A LA GESTIÓN DE LA CRISIS 314

PLAN DE CONTINUIDAD DE NEGOCIO 317

PARA LLEVAR 322

LECTURAS RECOMENDADAS 323

ESCENARIOS PARA LO IMPREDECIBLE ¿QUÉ PODEMOS ESPERAR? 325

INTRODUCCIÓN 325

Tendencias tecnológicas en la industria 328

Evolución de las amenazas 330

Tecnologías emergentes de protección 335

El camino hacia la Ciber-Resiliencia 337

Afrontando lo impredecible 342

Para llevar 342

Lecturas recomendadas 343

AUTORES

MARTA BELTRÁN PARDO

Ingeniera Electrónica (Universidad Complutense de Madrid, 2001), Licenciada en Ciencias Físicas, rama de Física Industrial y Automática (UNED, 2003) y Doctora en Informática (Universidad Rey Juan Carlos, 2005). Actualmente es Profesora Titular de Universidad en la Universidad Rey Juan Carlos de Madrid, donde desde hace casi veinte años trabaja en sistemas distribuidos y en ciberseguridad y privacidad, tanto en docencia como en I+D+i. En estas disciplinas ha publicado más de 30 trabajos de investigación en revistas y congresos de reconocido prestigio. Es una de las pocas investigadoras españolas que ha publicado trabajos en conferencias técnicas hacker internacionales como las BlackHat o las Defcon, o en conferencias técnicas militares como las ICC (actuales CYCON). Además es cofundadora del Cybersecurity Cluster de la Universidad Rey Juan Carlos, directora del MOOC de Ciberseguridad en las plataformas URJCx y MiriadaX, coordinadora del Grado en Ingeniería de la Ciberseguridad y directora del Máster en Ciberseguridad y Privacidad.

FERNANDO SEVILLANO JAÉN

Licenciado en Ciencias Económicas y Empresariales (Universidad Complutense de Madrid, 1995), Máster en Gestión e Investigación de la Comunicación Empresarial (Universidad Rey Juan Carlos, 2009) y Doctor en Informática (Universidad Rey Juan Carlos, 2010). Con 25 años de experiencia, su carrera profesional se ha desarrollado siempre en el sector privado y en compañías del sector de las Tecnologías de la Información y las Comunicaciones, colaborando además estrechamente en tareas de docencia e investigación con diferentes universidades y escuelas de negocio. Esto le ha permitido apostar por un doble perfil de tecnología y negocio. En los últimos diez años se ha centrado en el área de la ciberseguridad, en particular, en entornos industriales y de infraestructuras críticas. Actualmente es Head of Cyber Risk Consulting en Willis Towers Watson, donde lidera el diseño y desarrollo de servicios en el área de la gestión del ciber-riesgo.

ANTONIO RODRIGUEZ USALLAN

Ingeniero Superior Industrial, especialidad Mecánica, (Universidad Politécnica de Madrid, 1982). Con 36 años de experiencia, su carrera profesional se ha desarrollado siempre en el sector privado y en compañías multinacionales de distintos sectores industriales (automoción, electrónica, química, entre otros), colaborando además estrechamente con asociaciones profesionales, ISA (International Society of Automation), siendo presidente de su filial en España y CCI (Centro de Ciberseguridad Industrial) como Experto, donde es profesor de la Escuela de Ciberseguridad y participa en la publicación de documentos del Centro. Desde hace más de 30 años está relacionado con la tecnologías de automatización y control de procesos, participando en proyectos a nivel ibérico y europeo y en los últimos 8 años trabajando en ciberseguridad en entornos industriales. En Septiembre de 2020, decidió ejercer su derecho a jubilarse laboralmente, pero no profesionalmente. Actualmente continúa colaborando como asesor en proyectos de ciberseguridad industrial.

AGUSTÍN VALENCIA GIL-ORTEGA

Ingeniero Industrial (Universidad Pontificia Comillas ICAI, 2001), Director de Seguridad (Universidad a Distancia de Madrid, 2018) y Master en Seguridad Informática (Universidad Politécnica de Cataluña – Universidad Internacional de Valencia, 2019). Con 20 años de experiencia en el mundo de la energía, especialmente en ciclos combinados y sector nuclear. Ha desempeñado puestos en sectores de ingeniería, de operación y mantenimiento y desde 2012 como responsable de ciberseguridad de la Central Nuclear de Cofrentes junto con la gestión de proyectos de Instrumentación y sistemas de control. Desde 2018 Responsable de Ciberseguridad OT dependiendo del CISO global de Iberdrola, donde coordina iniciativas con los negocios, buscando benchmarking interno entre negocios y con IT, así como buscando el estado del arte en ciberseguridad industrial. También forma parte de varios grupos de trabajo internacionales, como algunos de los pertenecientes a ISA-99 (desarrolladores de la ISA 62443), el grupo de Ciberresilience in Electricity (World Economic Forum) o el Stakeholders Cybersecurity Certification Group (European Commission, DG-CNECT).

EDORTA ECHAVE GARCÍA

Técnico Superior en Sistemas Informáticos y Telecomunicaciones y Especialista en Diseño y Seguridad en Redes por la Universidad Pública del País Vasco. Ha dirigido su carrera profesional entorno a las infraestructuras de comunicaciones alcanzando certificaciones como CCNA, ITIL, SIEMENS CPIN Security, Nozomi Networks Certified Engineer, y formación específica en productos y soluciones de seguridad. Posee más de 12 años de experiencia en el ámbito de la Ciberseguridad Industrial, habiendo participado, tanto a nivel nacional como internacional, en el desarrollo, ejecución y supervisión de proyectos; despliegue de soluciones técnicas; diseño de redes; asesoramiento; consultoría y soporte para empresas del sector de la Automoción, Aeronáutica, Generación Eléctrica, Industria Manufacturera e Ingenierías. Actualmente trabaja como Arquitecto en Ciberseguridad Industrial para Secure&IT, empresa que desde junio de 2019 forma parte del grupo cooperativo LKS NEXT perteneciente a Corporación Mondragón. Comparte su actividad profesional con distintas labores docentes en universidades, centros de formación profesional y organismos especializados como Centro de Ciberseguridad Industrial; habiendo participado igualmente como ponente en destacados eventos de referencia. Es autor y fundador del blog https://enredandoconredes.com pionero en la difusión de artículos relacionados con la Ciberseguridad Industrial donde publica periódicamente artículos de investigación.

SUSANA SÁNCHEZ MELLA

Licenciada en Ingeniería Industrial Superior (Universidad Carlos III de Madrid, 2001). Con 20 años de experiencia, su carrera profesional se ha desarrollado en el sector de las infraestructuras críticas muy ligado a proyectos de automatización industrial, donde ha desempeñado diferentes roles cubriendo todo el espectro del ciclo de vida de un proyecto de automatización. Con proyectos de diferente envergadura, naturaleza y criticidad. En los últimos 7 años, se ha centrado en el área de la ciberseguridad, en particular, en entornos industriales en sectores muy dispares como utilities, Oil&Gas, manufactureras, etc. Actualmente es Manager de Ciberseguridad Industrial en Accenture Security, donde colidera la práctica de ciberseguridad industrial para Iberia.

ELENA MATILLA RODRÍGUEZ

Ingeniera Técnica de Telecomunicaciones, especialidad Telemática por la Universidad Pontificia de Valencia, 2000), Master en seguridad informática por la Universidad Oberta de Catalunya, 2007 y en posesión de múltiples certificaciones de ciberseguridad: CISA, CISM, CRISC y CGEIT de ISACA, ISO 27001, ISO 22301. Con más de 20 años de experiencia ha desarrollado toda su carrera profesional en el mundo de la ciberseguridad, en las áreas de gobierno y gestión de ciberseguridad, siendo una gran especialista en estrategia de seguridad, gestión de riesgos, cumplimiento, normativa, reporting, concienciación y gestión de incidentes, crisis y continuidad. Desde el año 2005 trabaja en Red Eléctrica de España, donde desempeña las funciones de Chief Information Security Officer (CISO). Con anterioridad a su incorporación en Red Eléctrica, trabajó como consultora senior en la empresa Ingeniería de Sistemas para la Defensa de España (ISDEFE) liderando proyectos de ciberseguridad para el Ministerio de Defensa Español y las Fuerzas y Cuerpos de Seguridad del Estado y anteriormente, como Jefa de Proyectos de seguridad de la información en el grupo de telecomunicaciones europeo France Telecom. Dispone de una amplísima visión multi sectorial habiendo trabajado en los sectores de Telecomunicaciones, Defensa y Energía. Además es ponente habitual en foros y cursos específicos de ciberseguridad.

ERIK DE PABLO MARTÍNEZ

Licenciado en Física por la Universidad Autónoma de Madrid y PDD por el IESE. Ha desarrollado su carrera profesional en el Grupo Repsol, inicialmente en tareas de innovación tecnológica en procesos industriales, incluyendo la introducción de los primeros sistemas de Inteligencia Artificial aplicada al control industrial en tiempo real. Posteriormente desempeñó la Dirección de Sistemas en Argentina y la Dirección de Explotación de Sistemas de todo el Grupo. Durante 10 años ha sido Director de Auditoría de Sistemas para el Grupo Repsol. Ha desempeñado durante 6 años la labor de Director de Investigación en la asociación de auditoría de sistemas ISACA, hasta noviembre de 2020. Actualmente es socio director de la empresa de auditoría de sistemas RUTILUS. Posee las Certificaciones Internacionales CISA y CRISC. Su interés se centra en los nuevos riesgos tecnológicos derivados de la ciberseguridad, infraestructuras críticas, cloud, detección del fraude, blockchain, Big Data, Inteligencia Artificial, IoT, etc

Prólogo

Este es ya el sexto libro de nuestra colección dedicada a la Ciberseguridad y hace justo un año estábamos terminando de trabajar con el primero. Hasta ahora nos hemos centrado en sentar las bases en algunos aspectos que consideramos esenciales (la gestión del riesgo, los aspectos jurídicos de la profesión o la criptografía) o punteros (la aplicación de ciencia de datos o las cadenas de bloques). Pero hay un tipo de libro que también consideremos muy importante para todos aquellos que se acercan a este campo y que desean profundizar en sus diferentes aristas: el que permite conocer dominios de aplicación específicos en los que la ciberseguridad presenta requisitos particulares o plantea nuevos retos.

Uno de los más importantes en la actualidad es el dominio industrial y de las infraestructuras críticas. Con sus propias restricciones en cuanto a rendimiento (requisitos de tiempo real y de determinismo), diseños y despliegues basados en patrones, arquitecturas y pilas tecnológicas propios, en la frontera entre diferentes disciplinas de la ingeniería (cada vez menos industrial y más informática o telecomunicaciones) y con sus propias necesidades de cumplimiento dada la regulación específica que le afecta.

Pero quizás lo que más hay que destacar de estos contextos es que cuando se habla de seguridad en ellos este concepto tiene una doble vertiente. La seguridad ciber, entendida como la protección de activos frente a amenazas, y la seguridad safety que tiene que ver con la protección del medio ambiente o de vidas humanas mediante la garantía de que los sistemas funcionarán correctamente, llevando a cabo los procesos como se especificó en fase de diseño. No es casualidad que en algunos contextos se hable de ciber-safety para que nadie olvide esta doble vertiente esencial en estos entornos.

En este libro hemos tenido el privilegio de contar con grandes profesionales de reconocido prestigio en el sector que nos han intentado aportar, cada uno en un capítulo, lo que han aprendido en todos sus años de experiencia trabajando en este tipo ciberseguridad. El coordinador del libro ha pretendido centrarse, en todo momento, en escribir un libro didáctico, que aproveche toda esta experiencia y que se dedique a analizar, casi exclusivamente, aquellos aspectos que son específicos de las plantas e instalaciones industriales y críticas. En la parte IT de estas instalaciones, se pueden aplicar los mismos principios, metodologías y mecanismos que ya se explican en otros títulos de esta y otras colecciones.

En la era de la Industria 4.0 o del lndustrial Internet of Things, con noticias constantes sobre grupos APT cuyos objetivos son este tipo de entornos, creemos que un libro así es necesario. Juzgad vosotros si el objetivo se ha cumplido, espero que disfrutéis en el proceso.

Marta Beltrán

Madrid, Marzo 2021.

Prefacio

Cuando en el año 2010, las centrales nucleares de Bushehr y Natanz (Irán) fueron comprometidas por Stuxnet, surgió una nueva preocupación para todas las personas que se encargan de gestionar activos industriales o críticos. Además de hacerlos funcionar para que fabriquen productos que satisfagan la demanda comercial de los consumidores o para que proporcionen servicios esenciales (como el suministro eléctrico o el de agua), tenían que hacerlos funcionar de forma segura. Es entonces cuando la ciberseguridad industrial empieza a tratarse y considerarse como una disciplina específica orientada a minimizar la superficie de exposición, a establecer un mínimo privilegio y a diseñar estrategias de defensa en profundidad que protejan activos industriales o críticos de amenazas IT, pero también de amenazas que afectan específicamente a sistemas de control.

Desde entonces, se ha escrito y desarrollado mucha literatura sobre las diferencias entre la ciberseguridad IT (o de información) y la ciberseguridad OT (o de operación). También se han diseñado marcos de gestión de gobernanza y de gestión del ciberriesgo específicos para entornos industriales y han surgido decenas de mejores prácticas. Se han puesto a disposición de los encargados de proteger estos entornos tan peculiares diferentes tipos de tecnologías que ayudan a diseñar entornos de operación más seguros. Adicionalmente, se han creado especificaciones que ayudan a proteger algo tan característico de los entornos industriales, como son los protocolos que utilizan los diferentes dispositivos de campo para comunicarse entre sí.

Teniendo en cuenta todo este contexto, nos ha parecido importante escribir un libro en el que pudiéramos recoger todos estos aspectos y dar una visión extensa, organizada y profunda de los elementos más importantes que caracterizan a la ciberseguridad industrial. De hecho, no nos queremos quedar ahí, sino que también nos atrevemos a dar una visión de qué es lo que nos espera para los próximos años.

En concreto, comenzamos el libro proporcionando una visión de qué activos pueden encontrarse en un entorno industrial o de infraestructura crítica. No podemos proteger aquello que no conocemos. A continuación, en el capítulo 2, nos centramos en analizar el impacto que pueden causar los diferentes grupos APT y malware específico utilizado para comprometer dichos activos. En el capítulo 3 introducimos los marcos y estándares disponibles para gobernar y gestionar el ciberriesgo específico de los entornos OT. A partir de este capítulo, hemos analizado por capas, las características y vulnerabilidades específicas de los diferentes activos que convergen en un entorno industrial o crítico, así como las recomendaciones técnicas y procedimentales que deberían desplegarse. De esta manera dedicamos el capítulo 4 a la red industrial, el 5 a los protocolos industriales, el 6 a los sistemas de control y sistemas de gestión en tiempo real y el 7 a analizar cómo desplegar un proyecto IIoT (Industrial Internet of Things) de forma segura. Además de identificar y proteger los activos, es esencial disponer de capacidades de detección temprana. Por eso desarrollamos en el capítulo 8 las medidas y soluciones existentes que posibilitan dicha detección y la correlación de eventos. A pesar de las medidas que puedan desplegarse para incrementar la seguridad de los entornos industriales y críticos, desafortunadamente los incidentes ocurren más a menudo de lo que pensamos. Por eso es esencial disponer de una estrategia de continuidad de negocio que incluya planes de respuesta y recuperación ante incidentes. En el capítulo 9 abordamos este punto de forma exhaustiva. No podemos finalizar un libro como este, sin atrevernos a reflexionar sobre qué tipo de amenazas aparecerán en los próximos años o sobre qué tipo de contramedidas serán las más adecuadas para desplegar en una organización que presta servicios esenciales o que gestiona activos industriales.

Para desarrollar todos estos contenidos, hemos tenido el privilegio de trabajar con un grupo de excepcionales profesionales dedicados a la ciberseguridad industrial. Desde sus posiciones como investigadores, consultores o directores de la seguridad de la operación (y de la información) han compartido sus conocimientos y experiencias. Mi agradecimiento por su tiempo, generosidad e involucración.

Espero que este libro ayude a todos los lectores a entender mejor el alcance de una ciberseguridad, la industrial, que vela porque podamos seguir consumiendo productos y servicios esenciales, a tiempo y de forma segura.

Fernando Sevillano

Madrid, Marzo 2021.

1

automatización, DIGITALIZACIÓN y CIBERSEGURIDAD INDUSTRIAL

Antonio Rodríguez Usallán

INTRODUCCIÓN

Los sectores industriales y de infraestructuras críticas están inmersos cada vez más en lo que la literatura denomina transformación digital. Este fenómeno no puede considerarse como un estado o un proyecto aislado que las organizaciones pertenecientes a estos sectores lleven a cabo. Se trata de un proceso evolutivo, una filosofía, la nueva mejora continua. Es también un proceso disruptivo, la innovación que genera nuevos modelos de negocio. Sea cual sea la aproximación, en ambos casos se utiliza masivamente la tecnología para que las organizaciones obtengan ventajas competitivas. Teniendo en cuenta esta definición, se puede convenir que la transformación digital del sector industrial está estrechamente relacionada con lo que se denomina Industria 4.0, mientras que en la transformación digital del sector de infraestructuras el paradigma conocido como Internet of Things (IoT) asume un papel relevante.

Bajo este contexto de adopción masiva de tecnología, los activos que facilitan la ejecución de los procesos de producción y el suministro de servicios esenciales son cada vez más, objetivos claros de amenazas cibernéticas que pueden ser materializadas por distintos tipos de adversarios. Es por ello por lo que surge la necesidad de desplegar sistemas específicos de seguridad, de diseñar y comunicar políticas y procedimientos que tengan en cuenta la idiosincrasia de los sectores industriales y de formar al personal asociado a este tipo de entornos.

Comenzaremos este capítulo haciendo un recorrido por las diferentes revoluciones industriales que han hecho posible transformar las industrias y las infraestructuras críticas hasta tal y como las conocemos hoy. Tras ello analizaremos en detalle los diferentes activos, medios de comunicación y protocolos específicos que convergen en este tipo de entornos. Por último, introduciremos el concepto de ciberseguridad industrial. Este tipo de activos (y de entorno) requieren de una aproximación diferente para protegerlos de amenazas y adversarios.

LA automatización y la digitalización DE LOS ENTORNOS INDUSTRIALES Y DE LAS INFRAESTRUCTURAS CRÍTICAS

Concepto de automatización industrial y sus r(e)voluciones

Desde el origen del ser humano, este ha tenido la necesidad de transformar los elementos de la naturaleza para poder aprovecharse de ellos. Inicialmente esta transformación se hacía de forma manual e individual, siendo esta la representación más básica y elemental de un proceso industrial. Un proceso que permitía transformar un determinado material (materia prima) en un producto final, que cumplía las expectativas y cubría las necesidades de la persona.

Cuando estas necesidades coinciden y son demandadas por grupos de personas, surgen profesiones (y profesionales) cuyo cometido es realizar este proceso de transformación de forma masiva. Además, los productos finales demandados son cada vez más sofisticados y deben satisfacer la demanda comercial de los consumidores. Es necesario realizar una producción por etapas, involucrando a diferentes agentes. Aparece también la variable temporal. Los productos deben estar disponibles en cortos plazos de tiempo para su consumo o utilización. Es entonces cuando aparece el concepto de industrialización. La industrialización se caracteriza por permitir la producción de productos y servicios a gran escala, por disminuir el tiempo de trabajo necesario para transformar un recurso en un producto útil y por utilizar para ello equipos y tecnología.

Además de la revolución social que supuso el migrar de una economía basada en la agricultura (individual y básica) a otra fundamentada en el desarrollo industrial (global y masiva), es necesario mencionar las diferentes revoluciones industriales que han supuesto que el sector industrial haya ido evolucionando hasta cómo lo conocemos hoy.

El término revolución se refiere al cambio fundamental y profundo que se producen en estructuras de poder, sociales y económicas de un país, sector, organización o grupo de personas. Si unimos el concepto revolución con industrial nos referimos a cómo este sector ha ido evolucionando como consecuencia de la utilización e incursión de la tecnología desde el siglo XVIII hasta nuestros días.

La primera revolución industrial, tuvo una duración de 100 años (desde 1780 hasta 1870 aproximadamente) y la principal innovación fue la introducción de la máquina de vapor utilizada para mecanizar los procesos, pasando de los procesos artesanales y manuales a los industriales.

La segunda revolución industrial, también tuvo una duración cercana al siglo, durando desde 1870 hasta finales de los años 70. El hito más importante es la incorporación de la electricidad a los procesos de fabricación, que permite actuar en mecanismos simples que automatizan tareas sencillas y repetitivas de fabricación. La industria introduce las cadenas de producción, y la consiguiente masificación y uniformidad de los productos. Fue la industria del automóvil, una de las primeras en adoptar las cadenas de montaje. En concreto la Compañía Ford fue pionera en incluir el concepto de cadena de montaje para fabricar el modelo Ford T en su planta de Detroit. Esto supuso un profundo cambio en la organización del trabajo, que además fue acompañado de cambios en el modelo social y económico.

La incorporación de nuevas fuentes de energía, como el gas o el petróleo, así como el desarrollo de nuevos sistemas de transporte (avión, coche) y de comunicaciones (teléfono, radio, televisión) fueron también facilitadores del cambio y parte de la segunda revolución industrial.

Durante la segunda mitad del siglo XX, se inicia la tercera revolución industrial. Los entornos industriales y críticos incorporan los sistemas de información y comunicación para facilitar la automatización y la digitalización de los procesos de fabricación. Es entonces cuando desaparecen las limitaciones físicas basadas en cuadros eléctricos de relés, para realizar la supervisión y control de los procesos, mediante un mero intercambio de ceros y unos.

Por último, a finales del siglo XX, se inició lo que se conoce como la cuarta revolución industrial. La aparición de las comunicaciones inalámbricas y nuevos medios de comunicación, la conectividad integral de los dispositivos, el incremento de los anchos de banda de las redes, la robótica colaborativa, la inteligencia artificial, paradigmas como Big Data, Blockchain o IoT (Internet de las Cosas) han auspiciado una nueva forma de gestionar los procesos industriales. Esta cuarta revolución ha habilitado la verdadera transformación digital de los entornos industriales y de las infraestructuras críticas.

En la siguiente figura resumimos los factores clave que han facilitado las cuatro revoluciones industriales. Como puede observarse, es entre la tercera y la cuarta revolución, cuando aparecen los principales conceptos, paradigmas y activos digitales que dan soporte a los procesos de automatización y digitalización de los entornos industriales y de las infraestructuras críticas. En las próximas secciones los analizaremos en profundidad.

Automatización y digitalización industrial. Principales activos

Se puede definir la automatización industrial como el uso de la tecnología (sistemas electromecánicos, sistemas de información, sistemas de comunicación, robots, etc.) con el fin de que los procesos de fabricación se lleven a cabo de forma automática y autónoma. En contraposición con la forma tradicional de realizarlos, que se basaba en la operación manual. Los procesos de automatización industrial permiten mejorar los tiempos de ciclo, la productividad, la calidad del proceso y la competitividad de las organizaciones.

Asociado a estos procesos de automatización (o digitalización industrial o de infraestructuras críticas) se vinculan un conjunto de activos, dispositivos y sistemas de información específicos. Como podrás imaginar, teniendo en cuenta que en este libro vamos a hablar de ciberseguridad industrial, se trata de los activos que debemos proteger, con el propósito de que un adversario no los pueda comprometer o vulnerar, modificando el proceso de producción, dejándolos no disponibles, etc. Es por ello por lo que es necesario entender cuáles son sus características más importantes y qué funcionalidades proporcionan.

Para ello, vamos a basarnos en la clasificación de activos industriales que proporciona la organización ISA (International Society of Automation) en la normativa ISA95 (concretamente en el documento ISA-95.01 Enterprise-Control System Integration: Models & Terminology). En esta normativa se define una pirámide en la que se identifican cinco niveles de automatización y asociados a cada uno de estos niveles, se mapean los dispositivos y/o sistemas de información que normalmente son utilizados en cada uno de ellos. Además, este estándar facilita la integración de los sistemas de información transaccionales con los sistemas de control o de tiempo real. Para ello, la norma ha diseñado una serie de modelos de datos y esquemas (o estructuras) basadas en el lenguaje XML. Estos datos y esquemas reciben el nombre de B2MML (Business To Manufacturing Mark-Up Language). Como su propio nombre indica, ayudan a integrar datos sobre equipos, gestión de