Históricamente, los sistemas OT (Operational Technology) han sido el resultado de la inserción de funcionalidades de IT (Information Technology) en los sistemas existentes, reemplazando o complementando mecanismos de control manual para lograr la automatización de los procesos.
Inicialmente, OT se parecía poco a los sistemas tradicionales de IT en el sentido de que los sistemas OT estaban aislados, ejecutaban protocolos de control propietarios y usaban hardware y software especializado.
A medida que los sistemas de tecnología de operación han ido adoptando soluciones de IT para promover la conectividad con los sistemas comerciales y corporativos, obteniendo mejoras competitivas, y se han añadido capacidades de acceso remoto para lograr mayor rapidez y eficiencia en los procesos de mantenimiento, estos comienzan a parecerse cada vez más a los sistemas IT.
Esta evolución ha dado como resultado muchas de las tecnologías “smart” conocidas hoy en día, como “smart electric grid”, “smart transportation”, “smart buildings”, “smart manufacturing”, e IoT (Internet of Things).
Dentro del mundo OT, podemos encontrar los Sistemas de Control Industrial ICS (Industrial Control Systems), compuestos por SCADA y DCS; y los Sistemas de Gestión de Edificios BMS (Building Managements Systems).
ICS (Industrial Control Systems) abarca todos los sistemas usados para monitorizar y controlar los procesos industriales.
El diseño de los ICS, incluyendo SCADA, DCS, PLC y Controladores, depende de muchos factores, y se adapta a las necesidades de cada tipo de industria. Por ejemplo:
SCADA (Supervisory Control And Data Acquisition): Están orientados a eventos y adquisición de datos. Puede cubrir zonas geográficas extensas y continúan operando aunque haya un fallo en las comunicaciones. Se aplica principalmente en procesos de fabricación, procesamiento de alimentos, farmacéutico, distribución de energía.
Ejemplo de una topología SCADA
DCS (Distributed Control System): Están orientados a estados y procesos, operaciones locales. Un “shutdown” es necesario si se pierde la visión del proceso debido a la pérdida de comunicación. Se aplica principalmente en minería, gas, petróleo y los procesos químicos.
Ejemplo de un sistema DCS
BMS o BAS son sistemas de automatización de edificios usados para controlar la calefacción, el aire acondicionado, el sistema de control de incendios, la energía/electricidad, iluminación, el control de acceso físico y la seguridad física.
Ejemplo de un sistema BAS
Ciberseguridad en entornos industriales
La ciberseguridad en entornos industriales, también conocida como Cybersecurity OT, se refiere a la securización de los sistemas y redes utilizados para gestionar operaciones en entornos industriales.
A medida que se incrementa la conectividad y la criticidad de estos sistemas, se ha ido incrementando la necesidad de adaptabilidad, resiliencia, seguridad y protección.
Si bien las soluciones de seguridad se han diseñado para abordar estos problemas en los sistemas IT, se deben tomar medidas especiales al introducir estas mismas soluciones en los entornos de tecnología de operación.
Aunque algunos elementos son similares, OT tiene características que difieren de los sistemas tradicionales de procesamiento de información. Muchas de estas diferencias se derivan del hecho de que la lógica que se ejecuta en OT tiene un efecto directo en el mundo físico.
Algunas de estas características incluyen un riesgo significativo para la salud y la seguridad de las vidas humanas, y un daño grave al medio ambiente, así como impacto financiero derivado de la pérdida de producción.
Las consecuencias de eventos de seguridad en el mundo OT se pueden agrupar en 3 áreas:
- Seguridad de las personas: Exponer a las personas a condiciones peligrosas.
Impacto Físico - Lesiones personales y pérdida de vidas
- Pérdida de propiedad (incluidos datos)
- Medio Ambiente: Daño potencial al medio ambiente.
Impacto Social - Reputación: Comunicados de prensa que destacan la negligencia de las empresas. Pérdida de la confianza pública o nacional en una organización.
Impacto Económico - Financiero: Los impactos económicos son una derivada de los impactos físicos resultantes de un incidente OT. Los impactos físicos tienen repercusiones en la interrupción de operaciones del sistema, lo que a su vez inflige una pérdida económica cuantificable.
OT = The business network; Downtime = Money lost
Los sistemas OT son especialmente sensibles al impacto económico derivado de la parada en la producción. Este factor es especialmente relevante al afectar a industrias consideradas como críticas, con posible impacto negativo en la economía local, regional, nacional o posiblemente mundial.
En los últimos años se han producido infinidad de incidentes (1); algunos de ellos con impacto económico, otros llegando a provocar la alarma y reacción de gobiernos y organismos a nivel internacional. Esto ha generado como resultado diferentes regulaciones y normativas.
Ver listas incidentes en el anexo:
- Directiva Europea, NIS 1 (2016/1148) Network and Information Security. 6 julio 2016. Se transpone en el Real Decreto-ley 12/2018, 7 de septiembre.
- Directiva Europea, NIS 2 (2022/2555). 14 diciembre de 2022. Pendiente Transposición (a más tardar el 17 de octubre de 2024).
- Se incluyen sectores de Alta Criticidad y otros Sectores Críticos.
- Se crearán a nivel nacional varios CSIRT (Equipos de respuesta a incidentes de seguridad informática)
- A más tardar 17 enero de 2025, se establecerán procedimientos de supervisión y ejecución (auditorías, inspecciones y sanciones)
Afectando “Sectores de Alta Criticidad y Otros Sectores Críticos” : Energía (Electricidad; Gas; calor / frío; Petróleo; Gas; Hidrógeno); Banca; Infraestructuras del sector Financiero; Sector Sanitario; Agua potable; Aguas residuales; Infraestructura digital; Gestión de servicios de TIC (proveedores de servicios de seguridad gestionados); administración pública (con exclusiones); Espacio; Servicios Postales y de mensajería; Gestión de residuos; Fabricación, producción y distribución de sustancias químicas; Producción, transformación y distribución de alimentos; Fabricación (incluye 6 subsectores); Proveedores de servicios digitales; Investigación.
Sectores críticos que incorporan tecnología OT:
- ISA/IEC 62443, ISA99 purdue model (constituye un marco de referencia internacional para la ciberseguridad de sistemas OT)
- NIST 800-82 (Guía PDF que provee la hoja de ruta para asegurar los ICS)
- CIS Controls (Center for Internet Security; Critical Security Controls)
- NIST CSF (Instituto Nacional de Estándares y Tecnología; Cybersecurity Framework)
- NIST 800-53 (Special Publication 800-53 PDF; Security and Privacy Controls for Information Systems and Organizations)
- ISO 27001/27002 (proteger la Confidencialidad, Disponibilidad e Integridad de la información; CAI en inglés; DRP)
- NERC CIP (Empresas eléctricas en EEUU - producción y gestión de las redes eléctricas; North America Electric Reliability Corporation; Critical Infrastructure Protection)
- CMMC (U.S. Department of Defense – DoD program that applies to Defense Industrial Base - DIB contractors)
En cualquier caso, es mejor no esperar a que una normativa obligue a implantar medidas de seguridad OT.
Tecnología en operación de ciberseguridad, ¿cómo blindarse?
Para mitigar el riesgo en los sistemas OT, las organizaciones deben desarrollar e implementar un plan de ciberseguridad OT, integrado con la ciberseguridad IT existente, teniendo en cuenta los requisitos y características específicas de los sistemas industriales.
Esto incluye definir los objetivos y el alcance del plan, establecer un equipo multifuncional que comprenda OT y ciberseguridad, definir políticas y procedimientos, e identificar las amenazas y vulnerabilidades potenciales.
A3Sec propone una estrategia de ciberseguridad OT “as a service”, centrada en 4 ejes:
El objetivo es el de la reducción de vulnerabilidades en los entornos OT.
1. Identificar: Conocer y Evaluar la Infraestructura.
Identificar todos los Activos, incluyendo personas, instalaciones, sistemas (IT - OT), dispositivos ocultos “Shadow OT”, así como mecanismos de acceso a la red.
A través de servicios de consultoría, análisis técnico y servicios.
- Inventario de Activos: Identificación automática de activos digitales de la red OT, procesos de autorización y aprobación de nuevos activos, detección de accesos no autorizados.
- Análisis de vulnerabilidades: Verificación continua del estado y la configuración de los activos digitales de la red OT.
- CyberEjercicios: Simulación de amenazas en el entorno OT para el análisis de la fortaleza de los controles (políticas, procedimientos, personal o controles técnicos).
- GAP análisis:
- Informe ejecutivo (Controles OT Ministerio del Interior, Metodología CCI)
- Plan de Seguridad del Operador y Plan de Protección Específico
2.- Asegurar: Arquitectura de una Red Segura.
Mitigar el nivel de riesgo y asegurar los activos a través de la definición de la arquitectura y mecanismos de administración y control:
- Análisis de Vulnerabilidades y Mitigación de Riesgos.
- Control de Acceso (Local y Remoto).
- Segregación y segmentación de redes, analizando posible evolución de la arquitectura “journey to cloud”.
Una buena práctica para la definición de la arquitectura de red segura es segmentar y aislar los dispositivos de IT y OT.
Se puede considerar el uso de modelos reconocidos por la industria, como el modelo Purdue, ISA-95 Levels [IEC62264], arquitectura de sistema IIoT de tres niveles [IIRA19], o una combinación de estos para organizar la segmentación tecnología de operación de ciberseguridad.
Ejemplo de alto nivel del modelo Purdue y el modelo IIoT para la segmentación de redes con segmentos DMZ
Se debe comenzar este proceso considerando la forma de caracterizar los dispositivos. Por ejemplo, los dispositivos pueden segmentarse según los gestores autorizados, el nivel de confianza, la criticidad funcional, el flujo de datos, la ubicación u otras combinaciones lógicas.
Implementar la segmentación de red utilizando Niveles y/o Zonas permite controlar el acceso a información y componentes confidenciales, al mismo tiempo que se tiene en cuenta el rendimiento operativo y la seguridad.
El concepto de Zonas de seguridad [IEC62443-1] (grupo físico o lógico de información, activos, aplicaciones que comparten un mismo requerimiento de seguridad) y Conductos (flujos de información entre zonas seguras) permite adaptar los requerimientos de seguridad.
El uso de Zona Desmilitarizada (DMZ) en conjunción con las Zonas de seguridad permite lograr una reducción significativa del nivel de riesgo.
Los dispositivos de red, como routers, switches y firewalls, son usados para implementar la segmentación y el aislamiento de la red.
Los firewalls se utilizan para respaldar el aislamiento de la red y, por lo general, se emplean como dispositivos de protección para controlar las conexiones y los flujos de información entre los segmentos de la red.
Ejemplo de arquitectura de seguridad para un SCADA
Ejemplo de arquitectura de seguridad para DCS con dispositivos IIoT
- Separación de redes en zonas o regiones
- Dispositivos de separación (Firewalls) entre regiones para controlar el flujo de comunicaciones
- Internet6/WAN: Uso de conexiones seguras (VPN) entre centros de control primario y regionales separadas geográficamente
- Cloud: En caso del uso de servicios IIoT en Cloud, se recomienda enrutar las comunicaciones a través de un Firewall
Más detalle en Anexo II: Segregación y Segmentación IT y OT.
3.- Monitorizar: Detección y Respuesta.
Detectar, Analizar, Contener, Erradicar.
OT Cybersecurity as a service.
Brindando valor agregado a través de la analítica avanzada y reducción de falsos positivos, basados en modelos predictivos de seguridad y machine learning. Unión de las capacidades de IT, Procesos y Personas para la gestión de Incidentes.
Servicio de monitorización de plataformas de ciberseguridad IT y OT.
- MDR (Managed Detection & Response)
- XDR Analytics (Extended Detection and Response)
- EDR (Endpoint Detection and Response)
- NDR (Network Detection and Response)
4.- Recuperación: Desarrollar capacidad de recuperación y restauración.
La recuperación oportuna de las operaciones normales después de un incidente de ciberseguridad es fundamental. La función de recuperación aborda el desarrollo y la implementación de actividades para mantener la resiliencia de los sistemas y garantizar la restauración oportuna de las capacidades y los servicios afectados por un incidente de seguridad digital.
Hemos de ser capaces de responder a la pregunta ¿cuándo volveremos a producir?
La organización debe establecer la capacidad de recuperarse de los incidentes de ciberseguridad y restaurar los activos y servicios que se vieron afectados por el incidente de seguridad digital al estado anterior al incidente, a través de las siguientes tareas:
- Definir objetivos de recuperación. Por ejemplo, la capacidad de recuperación priorizará la seguridad humana y la seguridad ambiental antes de reiniciar la operación OT que se vio afectada por el evento de seguridad.
- Desarrollar un plan de recuperación ante desastres (DRP).
- Establecer sistemas y procesos para respaldar y restaurar el estado, los datos, los archivos de configuración y los programas de los sistemas OT.
- Establecer planes de comunicación para gestionar las relaciones públicas.
Anexo 1. Lista de Incidentes Ciberseguridad OT.
Año |
Tipo |
Nombre |
Descripción |
2000 |
Attack |
Maroochy Water |
Un ataque cibernético por parte de un empleado desorientado provocó la liberación de aguas residuales sin tratar. |
2008 |
Attack |
Turkey Pipeline Explosion |
Manipulación física de equipos ICS. |
2010 |
Malware |
Stuxnet |
Gusano sofisticado introducido a través de unidades extraíbles en los sistemas SCADA de Siemens e inyectando lógica de relés en los PLC. |
2010 |
Malware |
Night Dragon |
Ataque de ingeniería social que utiliza malware sofisticado para atacar a empresas mundiales de petróleo, energía y petroquímica. Ataque de exfiltración de datos. |
2011 |
Malware |
Duqu/Flame/Gauss |
Malware avanzado y complejo utilizado para atacar organizaciones específicas, incluidos los fabricantes de ICS. Ataque de exfiltración de datos. |
2012 |
Campaign |
Gas Pipeline Cyber Intrusion |
Ciberintrusiones dirigidas al sector de gasoductos de gas natural. |
2012 |
Malware |
Shamoon |
Malware para infectar los sistemas SCADA MBR, utilizado para atacar a grandes empresas de energía en el Medio Oriente. |
2013 |
Attack |
Target Stores |
Los piratas informáticos obtuvieron acceso a los sistemas financieros confidenciales de Target a través de un tercero que mantenía us ICS (HVAC - Heating, Ventilation and Air Conditiong). |
2013 |
Attack |
New York Dam |
Ciberataque a la Presa Bowman tomando el control del sistema SCADA. |
2013 |
Malware |
Havex |
Una campaña de malware centrada en ICS para recopilar información de dispositivos ICS (sistemas OPC). |
2014 |
Attack |
German Steel Mill |
Una planta siderúrgica en Alemania sufrió un ciberataque que provocó daños masivos en el sistema. |
2014 |
Malware |
Black Energy |
Malware dirigido a interfaces hombre-máquina (HMI) en ICS. |
2014 |
Campaign |
Dragonfly/Energetic Bear No. 1 |
Campaña de ciberespionaje dirigida principalmente al sector energético. |
2015 |
Attack |
Ukraine Power Grid No. 1 |
Ciberataque a la red eléctrica de un país. El equipo SCADA quedó inoperable y la restauración de energía tuvo que completarse manualmente. |
2016 |
Attack |
Kemuri water company |
Los atacantes obtuvieron acceso a cientos de circuitos lógicos programables (PLC) utilizados para manipular aplicaciones de control y productos químicos de tratamiento de agua. |
2016 |
Malware |
Return of Shamoon |
Ataque a miles de computadoras en la agencia de aviación civil de Arabia Saudita y otras organizaciones del Estado del Golfo. |
2016 |
Attack |
Ukraine Power Grid No. 2 |
Los atacantes cibernéticos dispararon los interruptores en 30 subestaciones, cortando la electricidad a 225,000 clientes. |
2017 |
Malware |
CRASHOVERRIDE |
El malware utilizado para causar el corte de energía en Ucrania finalmente se identificó con módulos específicos para protocolos ICS, incluidos DNP3, IEC 101, IEC 104, IEC 61850 y OPC. |
2017 |
Group |
APT33 |
Un grupo de ciberespionaje dirigido a los sectores de la aviación y la energía. |
2017 |
Attack |
NotPetya |
Malware que se dirigió a Ucrania haciéndose pasar por ransomware, pero sin forma de pagar un rescate para descifrar archivos alterados (Mondelez en Claremont, Tasmania se vio afectado por este ataque). |
2017 |
Campaign |
Dragonfly/Energetic Bear No. 2 |
Campaña de ciberespionaje en curso dirigida principalmente al sector energético. |
2017 |
Malware |
TRITON/Trisis/HatMan |
Sistemas de seguridad industrial en Oriente Medio atacados por malware sofisticado. |
2018 |
Attack |
Saudi Petrochemical Plant |
Víctima de un ciberataque que tenía como objetivo impactar su proceso físico, interactuando y controlando su sistema de seguridad. |
2021 |
Ransonware |
KASEYA |
El desarrollador de soluciones se convirtió en víctima de un ataque de ransomware, poniendo en riesgo a miles de clientes. |
2021 |
Attack |
JBS S.A., Brazil-based meat processing company |
Sufrió un ciberataque, inutilizando sus mataderos de res y cerdo. Estados Unidos, Canadá, Australia. |
2022 |
Attack |
Oil India |
El ciberataque que interrumpe sus operaciones en Assam, ha recibido una demanda de rescate. |
Anexo 2. Segregación y segmentación. IT y OT
Fortaleciendo la Industria: El Papel Vital de la Ciberseguridad OT
El desarrollo de sistemas industriales impulsados por la ciberseguridad OT es fundamental para afrontar los retos emergentes en el sector industrial. La convergencia de las tecnologías de TI y OT ha mejorado la conectividad, la eficiencia y la competitividad de las operaciones, pero también ha expuesto las infraestructuras industriales a amenazas cibernéticas nuevas y sofisticadas.
Es imperativo que las empresas y organizaciones adopten un enfoque proactivo en la implementación de medidas de ciberseguridad OT. La protección de la infraestructura industrial debe ser una prioridad para evitar posibles daños a la producción, la seguridad humana, el medio ambiente y la reputación de la empresa.
Con la segmentación de la red, el monitoreo avanzado y la planificación de la recuperación ante desastres, se puede desarrollar resiliencia y garantizar la continuidad de las operaciones críticas.