Ciberseguridad

Industrial

Eduardo Pérez – Intermark IT

22 de marzo de 2017
Ciberseguridad Industrial

Estado del Arte

Definiciones
Convergencia TI/TO
Desafíos
Riesgos
Impactos
Casos de Éxito
Stuxnet
DragonFly
Cómo protegernos
Definiciones
Tecnologías de la Información: Término de
uso común para todo el espectro de tecnologías usadas
para el procesamiento de información, incluyendo
software, hardware y tecnologías de comunicaciones.

Tecnologías de la Operación: Es el hardware y

software que detecta o provoca un cambio a través de la
supervisión directa y/o control de dispositivos físicos,
procesos y eventos en la organización

Fuente: Gartner
Convergencia TI/TO

Fuente: CCI
Convergencia TI/TO

Fuente: ISA
Desafíos
La seguridad no era una prioridad cuando los
sistemas de control industrial fueron diseñados, al
contrario que en el mundo IT donde hay un “Diseño
desde la Seguridad”
Los ciclos de vida para los sistemas de control
industrial son de al menos 20 años, contra los 5 años de
vida de los sistemas IT
Los sistemas de control industrial están incorporando
tecnologías del mundo IT (ethernet, SO Windows,
etc…)
Falta de experiencia de los perfiles de seguridad IT en
el mundo OT
Normalmente, los equipos (humanos) IT no tienen
comunicación con los responsables de los servicios
OT
¿Por qué los ICS son objetivo?

Competencia (hacking y sabotaje), con el

fin de generar dudas y confiabilidad

Grupos de acción (ciberactivismo),

etc… como protesta por acciones que no creen
adecuadas por parte de la propietaria de la infraestructura

Estados (ciberguerra), con el fin de impactar en

infraestructuras críticas del país
¿De qué impactos hablamos?

Disrupción de servicio productivo causando,

aparte de la no producción del bien de manera temporal o
indefinida, pérdida de reputación y confiabilidad de mercado
(clientes e inversores) y posible impacto sobre vidas
humanas.

Sabotaje de bajo impacto, modificaciones en las

infraestructuras OT/IT con el fin de inyectar cambios que
generen menor productividad o efectos nocivos sin que se
llegue a identificar claramente como sabotaje sino como
“malfuncionamiento” dentro de los estándares

Robo de información industrial clasificada

del entorno productivo, con el fin de generar
sabotajes posteriores (disrupción de servicio) o clonación de
procesos.
Shodan: imposible encontrarnos!
Casos de Éxito (de ciberataques)
Stuxnet:
Primer ataque conocido contra sistemas de control industrial
(mundo físico)
Estimación de 5 o 6 personas desarrollándolo durante 1 año
Gran capacidad económica para su puesta en marcha (zero-
day vulnerabilities)

DragonFly:
Ciclos de uso y EOL largo (+ 4 años)
Impacto en energéticas y farmacéuticas
Más del 20% de infectados mundiales en España
¿Cómo protegernos?
Normativa y Compliance
Construcción de Políticas y Procedimientos basados en
estándares (SGSI –ISO 27000-, SGR –ISO 31000-, COBIT,
etc…)
Adecuación a disposición legal (infraestructuras críticas)
Auditorías periódicas (hakings éticos)

A nivel técnico
Políticas de Privilegios Mínimos (RBAC)
Firewalls con inspección de capa 7 para protocolos
industriales
Diodos
Servicio de monitorización de eventos y análisis de patrones
Análisis Forenses Industriales
Construcción de protecciones transversales (honeypots,
etc…)
Muchas gracias!
eperez@grupointermark.com