El pasado mes de enero, el CCN-CERT publicó el informe de amenazas y análisis de riesgos en Sistemas de Control Industrial (CCN-CERT IA-04/16) que ha sido elaborado de manera conjunta por el propio CCN y S2 Grupo. El objetivo de este informe es establecer un catálogo realista de amenazas o escenarios de riesgo al que están expuestos los sistemas de control industrial en la actualidad.

El documento está dirigido a dos tipos de perfiles:

• El experto en seguridad sin conocimiento de procesos industriales
• El experto en explotación de procesos industriales sin conocimientos en seguridad de la información

Por esta razón, se trata de un documento que, sin dejar de ser completo y detallado, pretende ser comprensible sin necesidad de que el lector cuente con elevados conocimientos técnicos en una u otra área. De este modo, trata de ser una guía práctica y útil para personal de organizaciones que cuentan con sistemas de control industrial.
[Read more…]

En las dos entregas anteriores (primera) (segunda) hemos ido viendo algunas pinceladas a nivel teórico sobre laboratorios de ciberseguridad industrial: contexto, necesidades y recursos. En esta entrada se incluye una pequeña selección de laboratorios de ciberseguridad industrial que se encuentran en funcionamiento en la actualidad y que muestran diferentes tipologías posibles.

1. NIST (Reconfigurable Industrial Control Systems Cyber-Security Testbed)

NIST es una agencia federal de EEUU, y por lo tanto de carácter público, perteneciente al departamento de comercio que trabaja en el desarrollo y aplicación de tecnologías y estándares para la industria.

El principal objetivo de este laboratorio es proporcionar orientación a la industria en materia de ciberseguridad de los ICS. Su intención es mostrarlo de manera aplicada en una serie de procesos de distintos sectores: una planta química, montaje automático con robots, sistemas de supervisión y control distribuidos (como la distribución de gas), sistemas de distribución de agua y sistemas de transporte inteligente.

[Read more…]

En la primera entrega de esta serie se introdujo el contexto en el que se enmarcan los laboratorios de ciberseguridad industrial: vimos las características específicas del sector y dimos unas pinceladas sobre los laboratorios industriales clásicos. En el artículo de hoy hablaremos de los distintos enfoques de laboratorio y los recursos con los que podría ser necesario contar.

Laboratorios de ciberseguridad… ¿por dónde empezar? Necesidades, tipologías organizativas y objetivos

Existe una gran diversidad de enfoques a la hora de plantear un laboratorio de ciberseguridad industrial en función de:

• A qué necesidades quiere darse respuesta
• La tipología organizativa impulsora del laboratorio
• Los objetivos específicos que se quieren marcar

[Read more…]

En los últimos años la sociedad está experimentando cambios constantes en el ámbito te las tecnologías. La integración de las TIC (tecnologías de la información y las comunicaciones) en nuestro día a día es más que evidente. En el entorno industrial también está ocurriendo y sus características específicas hacen que aparezcan ciertos problemas difíciles de salvar.

Óscar, en su post “Cuestión de garantía”, abría un interesante debate sobre la posible responsabilidad de los fabricantes frente a perjuicios causados por vulnerabilidades conocidas no parcheadas. Una de las cuestiones que planteaba es si sería posible crear un sistema paralelo de acreditaciones y certificaciones de seguridad. En ese caso hipotético, los laboratorios de ciberseguridad industrial podrían desempeñar un rol importante. A lo largo de esta serie de tres entregas compartiremos algunas ideas y reflexiones sobre dichos laboratorios, sus funciones y recursos que necesitan.

[Read more…]

Las referencias a CERT o CSIRT dentro del mundo de la seguridad informática son frecuentes. Todo (o casi todo) el mundo dentro de este ámbito sabe lo que son y cuál es su función.

Sin embargo, en el tiempo que pasé estudiando Ingeniería Industrial jamás, ni una sola vez, escuché ninguna de estas palabras. Y parece razonable que así sea. Al fin y al cabo los “Equipos de Respuesta ante Incidencias de Seguridad Informática” (que eso es lo que son los CERT/CSIRT por si algún lector anda despistado) son, a todas luces, cosa de los informáticos, no de los industriales. Su nombre no da lugar a dudas: “Seguridad Informática”.

No obstante, un día, el que aquí escribe se encontró con otro de esos maravillosos acrónimos que tanto gustan en el mundo TI: ICS-CERT. Y… ¡un momento! Parece que los industriales ya no podemos escurrir el bulto. Porque los ICS son (por sus siglas en inglés) los Sistemas de Control Industrial. Y eso nos toca de lleno. Para aquellos que en este momento no sepan muy bien de qué estoy hablando o que estén preguntándose qué pintan los Sistemas de Control Industrial en un blog de seguridad informática les recomiendo encarecidamente que echen un vistazo a la sección de Ciberseguridad Industrial de esta bitácora.

El ICS-CERT opera dentro del National Cybersecurity and Integration Center (NCCIC) que es una división del Departamento de Seguridad Nacional de los EEUU. Como ocurre con los CERT clásicos, este organismo se encarga de, entre otras cosas, gestionar la publicación de vulnerabilidades y de recopilar las soluciones que los fabricantes dan para las mismas pero, en este caso, en el área de los sistemas de control industrial.

[Read more…]

Un mundo donde estamos vigilados por un juez supremo que controla cada uno de nuestros movimientos. Podemos ser localizados en todo momento. Se puede predecir de manera estadística el futuro. Prevenir crímenes o actos terroristas es factible. Todo está controlado por una suerte de Gran Hermano, sólo que éste no es de carne y hueso. Es una máquina. Una máquina que recoge toda la información de internet, telefonía, imágenes de vigilancia, etc., la procesa y es capaz de entenderla y tomar decisiones.

Hablamos de la historia que nos cuenta “Person of Interest” (“Vigilados” en su versión para España), una serie en emisión desde septiembre de 2011 producida por el conocido J.J. Abrams. Aunque el argumento principal es ficticio e introduce elementos que se podrían calificar de ornamentales para darle ritmo y hacerla más atractiva, la serie juega con componentes del mundo real que hacen verosímil la historia.

[Read more…]

Como todos a estas alturas ya sabemos, del 5 al 7 del pasado diciembre, el Instituto Nacional de Ciberseguridad (INCIBE) organizó la primera edición de Cybercamp, un congreso de ciberseguridad orientado a todo tipo de público: desde expertos en seguridad informática hasta familias con niños pequeños. Junto con algunos compañeros de S2 Grupo, tuve la oportunidad de participar y tratar de compartir con personas con perfiles muy dispares nuestra visión e inquietudes sobre ciberseguridad industrial.

[Read more…]