SEGURIDAD INFORMÁTICA PARA SISTEMAS DE CONTROL INDUSTRIAL EN

INSTALACIONES NUCLEARES

Nikolic, A., Drexler J.

INVAP S. E. - Av. Luis Piedrabuena 4950, San Carlos de Bariloche, Río Negro,
Argentina
anikolic@invap.com.ar, jdrexler@invap.com.ar

Objetivos
Los sistemas de control industrial son cada vez más propensos a ataques
informáticos de diversa índole. Se describe la implementación de un programa para
aplicar criterios de ciberseguridad en los procesos de diseño y desarrollo de sistemas
de control industrial para instalaciones nucleares. Este programa tiene el objetivo de
morigerar el impacto de un potencial ataque informático.

Procedimientos
A nivel mundial hay muchas iniciativas tendientes a mitigar los riesgos
relacionados con la seguridad informática de los sistemas de control industrial. Estas
iniciativas surgieron por la necesidad de proteger la infraestructura crítica de las
naciones, tales como la producción y distribución de energía, la provisión de agua y
de combustibles, comunicaciones y defensa, entre otros. Los organismos normativos
y los organismos reguladores han generado una cantidad importante de normas,
procedimientos, prácticas y recomendaciones que están disponibles para adaptar y
aplicar a las necesidades puntuales de los sistemas de control.
En la división de I&C de la empresa se ha desarrollado un programa para
aplicar los conceptos y principios de ciberseguridad en todos los procesos de diseño,
desarrollo y provisión de sistemas de control para instalaciones nucleares.

Resultados
La inclusión de requerimientos de seguridad en la etapa de diseño, se efectúa
en base a normas, estándares y recomendaciones, además de procedimientos
internos. Los requerimientos de seguridad se alcanzan como resultado de varios
procesos que se llevan a cabo y que incluyen, entre otros, categorización de
seguridad, evaluación de riesgos y análisis de vulnerabilidades.
Este trabajo describe al programa desarrollado en la empresa y puesto en
operación para los proyectos en curso y para los futuros. Se discuten las etapas del
ciclo de vida del proyecto y las actividades que se llevan a cabo en cada una de
dichas etapas.

Conclusiones
La implementación del programa en diferentes proyectos ha demostrado que
el programa mencionado es adecuado y efectivo en las distintas fases del proyecto,
y se juzga como una herramienta esencial para adoptar en todos los proyectos.
 CYBER SECURITY FOR INDUSTRIAL CONTROL SYSTEMS IN NUCLEAR
FACILITIES

Nikolic, A., Drexler J.

INVAP S. E. - Av. Luis Piedrabuena 4950, San Carlos de Bariloche, Río Negro,
Argentina
anikolic@invap.com.ar, jdrexler@invap.com.ar

Objectives
Industrial control systems are increasingly prone to cyber-attacks of different
nature. The implementation of a program to apply cyber-security criteria in the design
and developing processes of industrial control systems in nuclear facilities is
described. The intent of this program is to mitigate the impact of a potential cyber-
attack.

Procedures
Worldwide, there are many initiatives towards the diminishment of the risks
related to cyber-security of industrial control systems. These initiatives came up
because of the need to protect the critical infrastructure of the nations, such as
energy production and distribution, water and fuel supply, communications and
defense, among others. The standard-setting and the regulatory agencies produce a
vast amount of standards, procedures, practices and recommendations which are
available for adapting and applying to the needs of the control systems.
In the I&C division of the company, a program was developed to apply the
cyber-security concepts and principles in all the design, development and
procurement processes of control systems for nuclear facilities.

Results
The inclusion of security requirements in the design stage is done taking into
account norms, standards and recommendations, in addition to internal procedures.
Security requirements are achieved as a result of several processes carried out,
which include, among others, security categorization, risk assessment and
vulnerability analysis.
This paper describes the program developed by the company and set in
operation for current projects, along with future ones. The stages of the project life
cycle are discussed, as well as the activities carried out in each of the
aforementioned stages.

Conclusions
The application of the program in different projects showed that such program
is appropriate and successful for the different project stages and is evaluated as an
essential tool to be adopted in all projects.
SEGURIDAD INFORMÁTICA PARA SISTEMAS DE CONTROL INDUSTRIAL EN
INSTALACIONES NUCLEARES

Introducción
Los sistemas de control industrial son cada vez más propensos a ataques
informáticos de diversa índole. Se describe la implementación de un programa para
aplicar criterios de ciberseguridad en los procesos de diseño y desarrollo de sistemas
de control industrial para instalaciones nucleares. Este programa se ha desarrollado
en la división de I&C de INVAP SE, y se ha puesto en ejecución en los proyectos
que se llevan a cabo en la empresa y que incluyen a un sistema de control.

Antecedentes
Un sistema de control es un conjunto de dispositivos interconectados que es
utilizado para manejar, monitorear y comandar a otro conjunto de elementos físicos o
sistemas. Un sistema de control industrial es un sistema de control aplicado a un
ambiente industrial. Estos sistemas tienen, en general, períodos de operación muy
prolongados y se modifican, salvo fallas, cuando requieren una actualización
tecnológica o modernización, o necesitan incorporar modificaciones para ampliar sus
prestaciones.

Evolución tecnológica
Los sistemas de control industrial evolucionaron de implementaciones con
componentes discretos y cableados hacia dispositivos inteligentes distribuidos
geográficamente, de gran capacidad de configuración, comunicados con módulos y
protocolos estándar. Esta evolución, que pasó de implementaciones, en general
propietarias y cerradas, a implementaciones de arquitectura abierta, basada en
tecnológica digital con estándares de tecnología de información (TI) de dominio
público, hizo que un conjunto de vulnerabilidades, presentes en la plataforma de TI,
apareciera en los sistemas de control. Estas vulnerabilidades, si fueran
aprovechadas por algún atacante, podrían generar consecuencias muy graves.

Seguridad informática
La seguridad informática en la plataforma de TI ha ido evolucionando a la par
de la evolución tecnológica de TI. Esto se debe fundamentalmente a la popularidad
de los medios de TI y porque hay cada vez mayor dependencia de las sociedades
en esa plataforma. Sin embargo, muchos de los criterios de seguridad desarrollados
en el ambiente de TI no son inmediatamente aplicables a los ambientes industriales.
Esto se debe a varias razones, pero dos de ellas son clave:
 Los sistemas de control operan sobre procesos físicos, donde el concepto de
tiempo real es de crucial importancia. Un servidor de correo electrónico puede
quedar fuera de línea por algunos minutos sin mayores consecuencias, mientras
que, en un sistema de control, si un evento no es informado a tiempo, podría
llegar a impactar negativamente en el proceso que se está controlando.
 De las tres características a proteger con respecto a la información:
confidencialidad, disponibilidad e integridad, el ambiente de TI privilegia la
confidencialidad, mientras que el ambiente de control requiere la disponibilidad,
por lo que los métodos de protección son distintos.
 Infraestructura crítica
La infraestructura crítica es la que los estados consideran indispensable para
el funcionamiento de su sociedad y economía. Algunos de los componentes de la
infraestructura crítica son: la producción y distribución de energía, la provisión de
agua y de combustibles, comunicaciones y defensa, entre otros. Gran parte de esta
infraestructura se mantiene operativa gracias a los sistemas de control. Dado que un
ataque informático al sistema de control de un elemento de la infraestructura crítica
puede llegar a tener consecuencias adversas para la población y el medio ambiente,
es de vital importancia proteger al sistema de control de este tipo de ataques.

Requerimientos nucleares
La actividad nuclear, al estar estrictamente regulada, agrega un conjunto de
requerimientos de seguridad que impactan en los requerimientos de los sistemas de
control. En efecto, cumplir con el objetivo general de seguridad nuclear y los
objetivos de protección radiológica y de seguridad técnica [1], no sólo agrega nuevos
requerimientos a los sistemas de control, sino que aumenta sus requerimientos de
seguridad.

Características de un Programa de Ciberseguridad

Teniendo en cuenta todos los puntos desarrollados más arriba, se pueden
mencionar las siguientes características para la implementación de un programa de
ciberseguridad para los sistemas de control industrial:
 Es necesario: los sistemas de control, no sólo que no están aislados, sino que
además se conforman con equipamiento estándar. Esto hace que sean más
vulnerables. Algunas prácticas de seguridad en TI son aplicables, mientras que
se deben implementar otras como consecuencia de las diferencias entre los
ambientes de aplicación.
 Es dinámico: el proceso de ciberseguridad es un proceso continuo, no sólo por la
evolución tecnológica de los componentes sino también por los eventuales
cambios en los procesos y sistemas. La evolución de las amenazas externas, en
distintas formas, y los potenciales riesgos internos, hace que el proceso de
prevención sea evolutivo y permanente.
 Está regulado / es obligatorio: en algunas naciones, una instalación nuclear
puede estar incluida en la infraestructura crítica, por lo que existirá legislación al
respecto. Por otro lado, el Organismo Internacional de Energía Atómica o los
organismos nacionales de regulación de la actividad nuclear, estipulan también
reglamentación en temas de ciberseguridad.

Amenazas y Riesgo
Las amenazas que pueden poner en peligro un sistema de control de una
instalación nuclear pueden provenir de distintos orígenes, entre ellos, gobiernos
hostiles, grupos terroristas, espías industriales, empleados disconformes, intrusos
maliciosos o bien de orígenes naturales, tales como la complejidad intrínseca del
sistema, errores o accidentes humanos, fallas en los equipos o suministros, o
desastres naturales [2]. Por otro lado, la tendencia observada con respecto a los
ataques a la plataforma informática en general es que los ataques son cada vez más
sofisticados y complejos, pero la habilidad o conocimiento que necesita el atacante
es cada vez menor [3] por la disponibilidad pública de herramientas de ataque. En
particular, los incidentes declarados en sistemas de control tuvieron un notable
aumento luego del año 2000, con blancos cada vez más específicos: planta de
enriquecimiento en Irán (2010) o fundición de acero en Alemania (2014) [4] en los
que, además, se produjeron daños materiales.

Vulnerabilidades
Los atacantes explotan, en general, las vulnerabilidades conocidas de los
sistemas informáticos que componen la infraestructura de un sistema de control. Sin
embargo, las vulnerabilidades pueden provenir de otros aspectos que no sean
puramente tecnológicos. En efecto, en un ambiente en el que no se han dictado
políticas de seguridad, si no se han implementado procedimientos acordes, si no se
efectúan acciones para detectar comportamientos anómalos dentro del sistema, y no
hay planes de respuesta a las contingencias, no puede considerarse un ambiente
seguro. Las vulnerabilidades pueden clasificarse de acuerdo a los siguientes
criterios:
 De políticas y procedimientos: estas vulnerabilidades dependen de acciones que
debe generar la organización: políticas, planes, procedimientos, capacitación,
controles, etc.
 De plataforma: incluye a las vulnerabilidades introducidas por la plataforma de
hardware, la de software, de la configuración de cada una de ellas y de su
entorno operativo.
 De red: estas vulnerabilidades son generadas por la implementación de
comunicaciones entre componentes e incluye aspectos de diseño de red, de los
componentes de hardware y su configuración, de los modos y medios de
conexión hacia el exterior, etc.

Plataforma de seguridad
Integrar seguridad en un sistema de control requiere definir y ejecutar un
programa detallado que tenga en cuenta todos los aspectos de seguridad, desde la
identificación de objetivos de alto nivel hasta los detalles de operación cotidiana. Las
etapas que se deben llevar a cabo incluyen [2]:
 la postulación de una política general de seguridad, basada en aspectos legales y
regulatorios, aprobada y apoyada por la alta dirección de la empresa u organismo
 un análisis de riesgos detallado y su correspondiente plan de mitigación,
 la implementación de procedimientos y prácticas que tengan en cuenta a todas
las etapas del ciclo de vida de un sistema de control,
 la capacitación de todos los actores involucrados y
 la implementación de controles que permitan tener visibilidad del estado de
seguridad del sistema.
Una vez postulada la plataforma, las actividades que están relacionadas con
el diseño de un sistema de control, están fuertemente vinculadas al tercer punto
enumerado en el párrafo anterior.
Implementación
Una vez implementada la plataforma de seguridad, es posible incluir en los
diseños, en forma controlada y auditable, los requerimientos que surgen de aplicar
los procedimientos y prácticas postuladas. Se describe en esta sección el proceso
que se ha desarrollado en el departamento de I&C de INVAP para ese fin.

Antecedentes
El programa de ciberseguridad está fuertemente basado en lineamientos de
dos guías internacionales que, si bien en un principio ofrecen ópticas distintas, se las
ha utilizado en forma cooperativa. Estas guías son: la norma IEEE 1012 [5] y la
recomendación NIST 800-64 [6]. La primera, que trata del proceso de verificación y
validación en un desarrollo de software, aporta los mecanismos para demostrar que
todos los requerimientos están satisfechos y que son pertinentes, mientras que la
segunda indica los puntos críticos en el ciclo de vida que deben ser atendidos con
actividades de ciberseguridad.

Proceso
Se describe a continuación el proceso utilizado para incluir criterios de
ciberseguridad en el diseño, implementación y mantenimiento de sistemas de control
industrial para instalaciones nucleares desarrollados en la empresa.
El proceso de implementación de criterios de ciberseguridad en el diseño de
un sistema de control se inicia en una etapa temprana de la gestión de un proyecto
de diseño o construcción de una instalación nuclear, adhiriendo a la recomendación
NIST 800-64. En términos de la categorización de seguridad, nivel de calidad y otros
parámetros definidos por la administración del proyecto, se efectúa un análisis de
riesgos del sistema de control. Del resultado de este análisis se pueden tomar
distintas acciones. Si el resultado de la calificación del riesgo para algún parámetro
es “ninguno”, el parámetro se descarta. Para el resto de las calificaciones (“alto”,
“medio” o “bajo”) se analiza el costo técnico/económico de la mitigación para cada
parámetro. En los casos en que el costo técnico/económico es aceptable, para la
implementación de los criterios de mitigación se generan requerimientos específicos
para el sistema. Estos requerimientos se incorporan al conjunto de requerimientos
generales del sistema. Si el costo de mitigación no es aceptable, se replantean las
bases de diseño del sistema para lograr la mitigación de los riesgos remanentes.
Una vez que los requerimientos de ciberseguridad están incorporados en el
proceso de diseño, se genera un plan de pruebas general del sistema, y planes de
prueba de aceptación de fábrica (PAF) y de sitio (PAS). De estos planes se generan
los procedimientos de prueba específicos del sistema, PAF y PAS. De este modo, se
incluyen los criterios de verificación y validación, postulados por IEEE 1012, para los
requerimientos específicos de ciberseguridad.
Las pruebas de ciberseguridad del sistema se ejecutan al finalizar la
integración, previo a la ejecución de las pruebas de integración. De esta manera, no
sólo se desacoplan las pruebas de ciberseguridad (CS) de las pruebas funcionales,
sino que además, las pruebas funcionales no se pueden ejecutar si no se ha
superado la prueba de CS. Del mismo modo, las pruebas de ciberseguridad de
aceptación en fábrica y de aceptación en el sitio, se efectúan con anterioridad a las
pruebas funcionales PAF y PAS. Los informes de los resultados de la ejecución de
las pruebas, podrían ser integradas a la documentación de calidad asociada a las
pruebas formales. La ejecución de estas pruebas puede ser llevada a cabo por
personal de seguridad, por auditores externos o por el cliente, dependiendo de los
niveles de calidad y procedimientos acordados entre la administración del proyecto y
el cliente.
Durante la ejecución del proyecto, se mantienen en vigencia las políticas y
procedimientos de ciberseguridad. Para cada proyecto se generan dos documentos
de procedimientos específicos: el procedimiento de ciberseguridad para el desarrollo
del proyecto, que es aplicable a todas las etapas del ciclo de vida del proyecto,
previos a la instalación en el sitio, y el procedimiento de ciberseguridad para la
instalación en el sitio. Dado que la ciberseguridad es un proceso continuo, los
procedimientos que son aplicables a la etapa de operación del sistema, son incluidos
en un capítulo específico del manual de operación de la planta. De este modo se
transfiere al cliente la plataforma de ciberseguridad y la responsabilidad de operarla y
mantenerla.
En la Tabla 1 se resumen las actividades de ciberseguridad durante las fases
de desarrollo de un sistema de control. La estructura de la tabla contiene:
 El nombre de la etapa o fase: Se adoptan las siguientes fases para el ciclo de
vida:
 Preparación: Luego del lanzamiento del proyecto, esta etapa incluye la
preparación de los documentos del plan de ciberseguridad adaptado
particularmente al proyecto en cuestión
 Ingeniería básica: En esta etapa se plantean la descripción y los
requerimientos del sistema
 Ingeniería de detalle: En esta fase se definen detalladamente la arquitectura y
todos los componentes del sistema
 Obtención: En esta etapa el sistema (o partes de él) es o bien adquirido o bien
construido en la empresa. Esta etapa incluye la integración del sistema y la
ejecución de las pruebas de integración
 Instalación: En esta fase el sistema es instalado en el sitio final
 Pre operacional: En esta etapa se evalúa que el sistema se comporte, dentro
de su ambiente operativo, de acuerdo a la documentación contractual
 Puesta en marcha de la instalación nuclear: En esta fase se ejecutan las
actividades de puesta en marcha de la instalación junto con terceras partes u
organismos de regulación
 Operación: Luego de la autorización de puesta en marcha, esta es la etapa de
producción de la instalación
 Disposición: Esta fase incluye el desmantelamiento y disposición final de la
instalación
 Las actividades: Se describen las tareas o acciones inherentes a ciberseguridad
llevadas a cabo en la etapa
 El responsable: Se describe a la organización, posición o persona que debe
llevar a cabo la actividad
 Métodos / Herramientas: Se describe información auxiliar para la ejecución de las
actividades
 Las entradas: Se enumera al conjunto de documentos necesarios para la
ejecución de las actividades en la etapa
 Las salidas: Se detalla el conjunto de documentos que se deben producir al
finalizar la etapa
 Tabla 1 – Actividades de ciberseguridad durante las fases de desarrollo de un sistema de control

Etapa / Fase Actividad Descripción Resp. Métodos / Herramientas Entradas Salidas

Proceso exhaustivo de análisis de RCS • Plan de CS

Evaluación de riesgos • Normas, estándares y
vulnerabilidades y riesgo asociado DP • Evaluación de riesgos de CS
recomendaciones
Preparación e Revisión y generación de
ingeniería básica Generación de los procedimientos de CS documentos • Procedimientos internos • Requerimientos de CS
Desarrollo de
para ser aplicados durante el ciclo de vida RCS • Procedimiento de desarrollo
procedimientos • Categorización de seguridad
del sistema de CS
Programa de concientización de nuevos
Imposición de los
procedimientos, impartido desde la RI&C
procedimientos
conducción • Documento de diseño del • Informe de evaluación de CS
Ingeniería de Revisión y generación de proyecto en el diseño
detalle Análisis de diseño de CS Evaluación de los requerimientos de CS RCS documentos
• Requerimientos de CS • Planes de pruebas de CS
Plan de pruebas de CS
Generación del plan de pruebas de CS RCS
del sistema

Obtención
Procedimiento de prueba Generación del procedimiento de pruebas Generación de • Procedimientos de pruebas
Compra y RCS • Plan de pruebas de CS
CS del sistema de CS del sistema documentos de CS
Fabricación

RCS
Obtención Prueba CS del sistema Ejecución de pruebas • Informe de pruebas de CS
DP • Procedimientos de pruebas de
Integración y Revisión y generación de CS • Procedimiento de CS para
pruebas Procedimiento CS de Generación del procedimiento CS de documentos instalación
RSC
instalación instalación
Imposición de los
RI&C
procedimientos Ejecución de pruebas • Informe de pruebas de CS
• Procedimientos de pruebas de
Instalación Prueba CS a/d Revisión y generación de • Capítulo de CS del manual de
CS
Generación del capítulo de CS del manual documentos operación
Capítulo de CS RCS
de operación

Pre-Operacional Notas RI&C Responsable de Instrumentación y Control

Puesta en marcha No se ejecutan actividades en estas RCS Responsable de Ciberseguridad
No aplicable
Operación etapas, salvo acuerdo con el cliente DP Desarrollador del proyecto

Disposición a/d A definir, de acuerdo a nivel de auditoría

Conclusiones
La ciberseguridad es una actividad crucial que surge como respuesta a las
crecientes amenazas que sufren los sistemas de control industrial. Las instalaciones
nucleares, además de ser infraestructuras críticas de una nación, tienen la
particularidad ser un blanco muy deseado para los ataques cibernéticos por el gran
impacto que puede producir en la conciencia pública y generar una gran
desconfianza en este tipo de instalaciones. Para hacer frente a estos riegos se ha
generado una cantidad importante de normas, procedimientos, prácticas y
recomendaciones por parte de los organismos normativos y reguladores que tienen
injerencia en la infraestructura crítica de las naciones.
Para atender esta necesidad de tendencia mundial y respetar las normativas
internacionales, el departamento de I&C de INVA SE ha incorporado un programa de
ciberseguridad específico en los sistemas de control.
El desarrollo de este programa tuvo en cuenta múltiples procedimientos y
normas y ha incorporado en su postulación diferentes aspectos conceptuales
planteados por dichas normas. Se ha logrado, de este modo, un programa que ha
demostrado ser adecuado y efectivo para incluir los aspectos de seguridad
informática en las distintas fases de un proyecto y se juzga como una herramienta
esencial para adoptar en todos los proyectos.

Referencias
[1] Seguridad de los reactores de investigación. Requisitos de seguridad NS-R-4.
Viena: OIEA, 2010
[2] Guide to Industrial Control Systems (ICS) Security. Special Publication 800-82.
Revision 2. USA: Natl. Inst. Stand. Technol. Spec, 2015.
[3] Lipson, Howard. Tracking and Tracing Cyber-Attacks: Technical Challenges
and Global Policy Issues CMU/SEI-2002-SR-009. Pittsburgh: Carnegie Mellon
University, 2002.
[4] http://www.risidata.com/ - Repository of Industrial Security Incidents
[5] Standard for Software Verification and Validation IEEE 1012. USA IEEE, 2004
[6] Security Considerations in the Information System Development Life Cycle.
Special Publication 800-64 REV. 1. USA: Natl. Inst. Stand. Technol. Spec, 2004

Bibliografía
Computer Security at Nuclear Facilities. IAEA Nuclear Security Series No. 17.
Viena: OIEA, 2011
Recommended Security Controls for Federal Information Systems. Special
Publication 800-53 Revision 4. USA: Natl. Inst. Stand. Technol. Spec, 2013
Applying NIST SP 800-53 to Industrial Control Systems, Katzke, S. W., Stouffer,
K. A., Abrams, M., Norton, D., Weiss, J.. ISO EXPO 2006
http://energy.gov/sites/prod/files/oeprod/DocumentsandMedia/21_Steps_-
_SCADA.pdf
https://ics.sans.org/media/ICS-CPPE-case-Study-2-German-
Steelworks_Facility.pdf
http://www.symantec.com/content/en/us/enterprise/media/security_response/w
hitepapers/w32_stuxnet_dossier.pdf