Está en la página 1de 24

CENTRO DE CIBERSEGURIDAD INDUSTRIAL

Serie EPC. Número 1

SEGURIDAD OPERACIONAL
Y SU CIBERSEGURIDAD
EDICIÓN 2020
Seguridad operacional y su ciberseguridad

Edición: 2020

ISBN: 978-84-947727-9-5

Cualquier forma de reproducción, distribución, comunicación


pública o transformación de esta obra queda rigurosamente
prohibida y estará sometida a las sanciones establecidas por
la ley. Solamente el autor (Centro de Ciberseguridad Industrial,
www.cci-es.org), puede autorizar la fotocopia o el escanea-
do de algún fragmento a las personas que estén interesa-
das en ello.
Seguridad operacional y su ciberseguridad

El Centro de Ciberseguridad Industrial (CCI) es una or- CCI es, hoy, el ecosistema y el punto de encuentro de las
ganización independiente, sin ánimo de lucro, cuya misión entidades -privadas y públicas- y de los profesionales
es impulsar y contribuir a la mejora de la Ciberseguridad afectados, preocupados u ocupados de la Ciberseguridad
Industrial, en un contexto en el que las organizaciones de Industrial; y es, asimismo, la referencia hispanohablante
sectores como el de fabricación o el energético juegan un para el intercambio de experiencias y la dinamización de
papel crítico en la construcción de la Sociedad actual, como los sectores involucrados en este ámbito
puntales del estado del bienestar.

CCI afronta ese reto mediante el desarrollo de actividades


de investigación y análisis, generación de opinión, elabo-
ración y publicación de estudios y herramientas, e inter-
cambio de información y conocimiento, sobre la influencia,
tanto de las tecnologías, incluidos sus procesos y prácticas,
como de los individuos, en lo relativo a los riesgos -y su
gestión- derivados de la integración de los procesos e
infraestructuras industriales en el Ciberespacio.

 Paseo de las Delicias, 30 · 2º piso


28045 MADRID
 +34 910 910 751
 info@CCI-es.org
 www.CCI-es.org
 blog.CCI-es.org
 @info_CCI

3
Seguridad operacional y su ciberseguridad

Consejos
Alt+flecha izquierda para volver a la vista anterior después de ir a un hipervínculo
Haz click en nuestro icono y visita nuestra web
Haciendo click en la banderas de la portada podrás ver la actividad de CCI en cada uno de esos países
Haciendo click en el título de la cabecera volverás al índice
Seguridad operacional y su ciberseguridad

PATROCINADORES DE CCI
Platinum

Gold

Silver

Bronze
Seguridad operacional y su ciberseguridad

TABLA DE CONTENIDOS
› INTRODUCCIÓN 7

› CONTEXTO 8

› CAPAS DE PROTECCIÓN 11
› 1.- EL PROCESO 12
› 2.- LOS SISTEMAS BÁSICOS DE CONTROL DE PROCESOS (SBCP) 12
› 3.- LA INTERVENCIÓN DEL OPERADOR. 12
› 4.- LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD (SIS) 12
› 5.- DISPOSITIVOS MECÁNICOS ACTIVOS (DISPOSITIVOS DE CONTENCIÓN) 13
› 6.- LOS SISTEMAS MECÁNICOS PASIVOS (MITIGACIÓN). 13
› 7.- LA RESPUESTA DE EMERGENCIA DE LA PLANTA. 13
› 8.- LA RESPUESTA DE EMERGENCIA DE LA COMUNIDAD 13

› SISTEMAS INSTRUMENTADOS DE SEGURIDAD (SIS) 15


› SISTEMAS NEUMÁTICOS 15
› SISTEMA DE RELÉ 15
› SISTEMAS DE ESTADO SÓLIDO 15
› SISTEMAS BASADOS EN PLC’S O DCS’S 16
› Puntos de acceso en Sistemas interconectados 19
› Puntos de acceso - Sistemas integrados 19

› INTEGRANDO LA CIBERSEGURIDAD EN LOS NIVELES


DE PROTECCIÓN DE LA SEGURIDAD OPERACIONAL 20
› ALGUNOS ESCENARIOS DE RIESGOS TECNOLÓGICOS SOBRE LA SEGURIDAD OPERACIONAL 20
› Parada del proceso productivo industrial, como consecuencia del sabotaje del equipamiento SIS 20
› Reprogramación y alteración del comportamiento del dispositivo SIS 20
› Anulación de funcionalidad del dispositivo SIS con daños físicos patentes 20
› ESTABLECIENDO UNA LÍNEA BASE DE CIBERSEGURIDAD 21

› REFERENCIAS Y DIRECCIONES DE INTERÉS 22

› AUTORES+COLABORADORES 23

6
Seguridad operacional y su ciberseguridad

INTRODUCCIÓN
En este documento se describe el proceso y los sistemas necesarios para proteger las plantas de situaciones peligrosas
que podrían afectar a las personas, el medio ambiente o las instalaciones, conocidos como SIS (Sistemas Instrumentados
de Seguridad). Una vez presentados los sistemas de seguridad operacional se exponen algunos de los riesgos tecnológicos
que podrían sufrir estos, donde determinados fallos o alteraciones intencionadas podrían generar consecuencias físicas muy
graves, y es por ello, que deberían adoptarse medidas de ciberseguridad como las que se presentan en este documento.

7
Seguridad operacional y su ciberseguridad

CONTEXTO
Los responsables de procesos industriales muestran cada Un sistema instrumentado de seguridad (SIS) puede reducir
vez una mayor preocupación por los incidentes potenciales significativamente el riesgo de accidentes en su planta. Las
que pueden afectar a las personas, los activos y el medio normas funcionales de seguridad basadas en los estánda-
ambiente dentro y fuera de la planta. res internacionales (ANSI/ISA84 e IEC) son ampliamente
utilizadas para implementar sistemas instrumentados de
La seguridad operacional o de procesos tiene como objetivo seguridad y son buenas prácticas de ingeniería en relación
principal proteger los procesos industriales para evitar los ac- con la administración del Proceso de Seguridad.
cidentes derivados del tratamiento de materias peligrosas en
los establecimientos (incluyendo las máquinas) que podrían En determinadas instalaciones industriales, según el Real
afectar a las personas, el medio ambiente o las instalaciones. Decreto 840/20151, deberán aplicarse medidas para con-
trolar los riesgos inherentes a los accidentes graves en los
Para mantener una planta industrial con este tipo de riesgos que intervengan sustancias peligrosas. Norma que obliga a
en un estado seguro, o llevarla a un estado seguro, cuan- los países europeos a identificar las zonas industriales con
do se presente una situación peligrosa, se emplea como riesgos, y a adoptar un sistema de gestión de la segu-
medida, entre otras, tecnologías de protección operacional, ridad basado en capas de protección para prevenir y
normalmente conocidas como Sistemas Instrumentados de reducir sus consecuencias.
Seguridad (SIS), que tiene la capacidad de ejecutar accio-
nes automáticas para proteger la planta de las graves con-
secuencias de una operación imprevista.

Figura 1. Capas de protección – Seguridad operacional o de procesos.

1
Real Decreto 840/2015, https://www.boe.es/diario_boe/txt.php?id=BOE-A-2015-11268

8
Seguridad operacional y su ciberseguridad

Un SIS recibe diferentes nombres, como sistema de parada › Un controlador lógico que recibe las señales de los sen-
de emergencia, dispositivo de bloqueo de seguridad, siste- sores y determina si la condición es peligrosa, y si lo es, en-
ma crítico de seguridad o enclavamiento. En la mayoría de vía una señal para ejecutar la acción. Por ejemplo, un PLC
los casos un SIS está formado por tres componentes: que está programado para actuar en estas condiciones.

› Sensores que miden el proceso para detectar condicio- › Un dispositivo final de control o actuador que recibe la
nes peligrosas o anormales. Por ejemplo, un sensor de señal del controlador lógico y ejecuta la acción apropiada.
presión que envía la señal de estado. Por ejemplo, parando una bomba o cerrando una válvula.

Alarma

Alta presión
PT Inicar parada

Variable = presión Presión > 100 Ib/pulg2 Se cierra Válvula

Controlador
Sensor de campo Dispositivo Final
Lógico programable

Sistema Instrumentado de Seguridad

Figura 2. Componentes de un Sistema Instrumentado de Seguridad.

Los SIS se diseñan a diferentes niveles de integridad de medida de cumplimiento más rigurosa sería una revisión
Seguridad (denominados niveles SIL), siguiendo la norma independiente a cargo de un organismo acreditado o con-
internacional IEC 615082 que divide las clasificaciones SIL sultor externo, que no solo considere la probabilidad de fa-
en cuatro niveles, donde cada uno representa un orden de llo, sino que tenga un alcance más amplio para revisar los
magnitud de reducción del riesgo (probabilidad de fallo) que procesos empleados por un fabricante para el diseño de
presenta el proceso. Por ejemplo, en un proceso dado que equipos relacionados con la seguridad.
tiene una probabilidad residual de un evento catastrófico de
1 en 200, una función de seguridad SIL-1 reduciría esa pro- La norma IEC 61508-4 divide los fallos en dos categorías:
babilidad a 1 en 2000; una función SIL-2 lo reduciría aún aleatorios o sistemáticos. Los fallos aleatorios se definen
más a 1 en 20 000. Una clasificación SIL representa una como aquellos “que se producen en un momento aleatorio,
cuantificación de la reducción del riesgo para una función como consecuencia de uno o más de los posibles mecanis-
de seguridad en términos de orden de magnitud. Cuanto mos de degradación en los equipos”. Por su parte, los fallos
más alto es el nivel SIL, más probable será la utilización de sistemáticos son los “relacionados, de un modo determi-
componentes múltiples y redundantes. nista con una cierta causa que solo se puede eliminar con
la modificación del diseño o del proceso de fabricación, los
La norma IEC 61508 permite la autocertificación hasta el procedimientos operativos, la documentación u otros facto-
nivel SIL-2. Esto significa que un fabricante puede alegar res pertinentes”.
cumplimiento basado en su propia revisión interna. Una

2
IEC 61508, https://www.iec.ch/functionalsafety/

9
Seguridad operacional y su ciberseguridad

Fallo

Aleatorio Sistemático

Fallo de operación
Fallo de software Fallo de instalación
Fallo de · Válvula en posición
envejecimiento · Error de progamación · Localización
incorrecta
· Error de compilación incorrecta de sensor
Fallos naturales debido · Fallo en calibración de
· Error de actualización · Válvula instalada en
a factores naturales sensor
de software posición incorrecta
· Detector modo anulado

Fallo de hardware
Fallo de estrés
· Especificación excesivo
incorrecta
· Escesiva vibración
· Implementación
· Producto imprevisto
incorrecta
· Temperatura muy alta
· Diseño no adeduado

Figura 3. Tipología de fallos en Sistemas Instrumentados de Seguridad.

La mayoría de los fallos son de naturaleza sistemática, in- Infrastructure”, publicado por la empresa especializada
herentes al dispositivo y se materializan antes de su puesta en ciberseguridad FireEye, el pasado 14 de diciembre de
en marcha definitiva. Así lo atestiguan distintos estudios, 2017, tras la investigación forense encargada a los espe-
como el informe “Common Cause Failures in Safety Instru- cialistas de la firma Mandiant, subsidiaria de FireEye.
mented Systems”. Estos fallos derivan del proceso que rige
el diseño del dispositivo, tanto de su hardware, como de su Durante la segunda quincena del citado mes de diciembre
software (particularmente, de este último). se publicaron diversos informes que han tratado de analizar
este código informático dañino. Así, el documento “MAR-
Los fallos sistemáticos en los SIS no habían sido, hasta 17-352-01 HATMAN—SAFETY SYSTEM TARGETED
ahora, aprovechados para causar un daño deliberado. Al MALWARE” publicado el día 18 de diciembre de 2017 por
menos no se habían descubierto evidencias de ello. Esta el Centro Nacional para la Integración de las Comunicacio-
situación ha cambiado con la llegada de “El hombre del nes y la Ciberseguridad (NCCIC, por sus siglas en inglés),
sombrero”, denominación (del inglés “HatMan”) que ha perteneciente al Departamento de Seguridad Nacional de
recibido el código informático dañino que recientemente ha los Estados Unidos, detalla cómo “El hombre del Sombrero”
afectado a los controladores Triconex del fabricante Schnei- consta de dos partes: un primer componente, o módulo,
der Electric. Unos controladores diseñados como solución ejecutable en plataforma informática personal -ordenador
de seguridad instrumentada y cuyo sabotaje ha provocado personal-, que sirve para comunicarse con el controlador
la interrupción de las operaciones en, al menos, una insta- de seguridad operacional; y un segundo componente, que
lación petrolífera de Oriente Medio. Así se recoge en el in- constituye el verdadero código dañino que es descargado
forme “Attackers Deploy New ICS Attack Framework en el referido controlador.
TRITON and Cause Operational Disruption to Critical

10
Seguridad operacional y su ciberseguridad

CAPAS DE PROTECCIÓN
La defensa en profundidad consiste en la utilización de múl- 3. La intervención del operador
tiples capas de seguridad para proteger los activos, en este
caso de un proceso industrial. De esta manera, aún si es su- 4. Los sistemas instrumentados de seguridad (SIS)
perada una capa de defensa, existen capas adicionales para
mantener la seguridad de las áreas críticas de su entorno. 5. Los dispositivos mecánicos activos (Dispositivo de con-
tención)
Los niveles de protección y contención de riesgos del pro-
ceso industrial son los siguientes: 6. Los sistemas mecánicos pasivos (Mitigación)

1. El Proceso 7. La respuesta de emergencia de la planta

2. Los sistemas Básicos de control de procesos (SBCP) 8. La respuesta de emergencia de la comunidad.

Respuesta a Emergencias Comunidad

Plan de respuesta a Emergencias

Protección Física (Diques)

Protecciónes Físicas (Dispositivos de Alivio)

Sistema Instrumentado de Seguridad

Alarmas, Intervención Operador

Control Básico de Proceso

Proceso

Figura 4. Niveles de contención y protección.

11
Seguridad operacional y su ciberseguridad

1. EL PROCESO constituye por la intervención del operador humano que ac-


túa en situaciones donde las variables del proceso exceden
los valores límite (valores de alarma) durante la operación
El proceso por sí mismo debe ser seguro. normal de la planta de procesos y los equipos bajo control.

El operador manipula bajo prácticas y conocimientos ob-


tenidos de su capacitación y adiestramiento continuos, las
2. LOS SISTEMAS BÁSICOS variables del proceso que pueden quedar fuera de con-
trol ante la presencia de desviaciones y de situaciones de
DE CONTROL DE emergencia. Entre estas situaciones se encuentran los cor-
tes inesperados de energía eléctrica, agua de enfriamiento,
PROCESOS (SBCP) aire de instrumentos, el descontrol de la operación de la
planta, el fallo de algún equipo, etc.

La función de los sistemas básicos de control de procesos El operador ejecuta las acciones necesarias para llevar la
en la regulación y control de las variables en la planta de operación de su planta de proceso a condiciones seguras
procesos, dentro de valores necesarios para obtener pro- ante fallos en un estado de riesgo remanente aceptado.
ductos de máxima calidad, en procesos de fabricación es-
tables, continuos y optimizados. Estas actividades del operador están documentadas en los
procedimientos operativos de arranque y procedimientos de
Y aunque los sistemas básicos de control se diseñan para paro normal y de emergencia de la planta de proceso y sus
que las variables del proceso se mantengan dentro de pará- equipos.
metros de control, de manera inherente conforma el primer
nivel de protección de contención de riesgos en la industria Estos procedimientos operativos son elementos esenciales
brindando por tanto la seguridad a través del diseño apro- de formación del operador.
piado del control del proceso.
procesos, dentro de valores necesarios para obtener pro-
La filosofía de los sistemas básicos de control de procesos ductos de máxima calidad, en procesos de fabricación es-
se basa en la operación de lazos de control para cada va- tables, continuos y optimizados.
riable del proceso. Los lazos de control están constituidos
por sensores de la magnitud de las variables, controladores
de desviación y elementos finales de control.
4. LOS SISTEMAS
Complementan a estos lazos de control, las estrategias ló-
gicas de control (software) los valores límites establecidos INSTRUMENTADOS DE
para las variables, los medios de comunicación, sistemas
de diagnóstico de fallos, valores de referencia, métodos de SEGURIDAD (SIS)
redundancia para incrementar la disponibilidad, entrelaza-
mientos, algoritmos de cálculo y entre otros.
El tercer nivel de protección de contención de riesgos está
conformado por los Sistemas Instrumentado de Seguridad
(SIS). Los Sistemas Instrumentados de Seguridad son sis-
3. LA INTERVENCIÓN temas automatizados, diseñados a prueba de fallos, con
requerimientos de confiabilidad y disponibilidad certificada
DEL OPERADOR por laboratorios especializados. Están constituidos por lazos
de seguridad conformados por sensores, controladores ló-
gicos y elementos finales de seguridad, independientes de
El segundo nivel de protección de contención de riesgos se los utilizados por los Sistemas Básicos de Control.

12
Seguridad operacional y su ciberseguridad

Los Sistemas Instrumentados de Seguridad se aplican nor- diques de acumulación, muros cortafuego, materiales de
malmente a variables críticas y situadas cuyo descontrol no construcción no combustibles, barreras físicas, sismas de
puede ser atendido por el operador debido a su compleji- drenaje aceitoso, drenajes químicos, de fosas de captación y
dad, velocidad de desarrollo, y que requieren detectarse de tratamiento, sistemas de quemado e incineración, sistemas de
manera temprana y oportuna. recolección y tratamiento de residuos peligrosos, contaminan-
tes de suelo, agua y aire, etc. En la práctica son sistemas de
Los Sistemas Instrumentados de Seguridad son sistemas protección al medio ambiente y de la salud de los trabajadores
paralelos diseñados para actuar por seguridad, por lo que y de los habitantes en las comunidades aledañas o regionales.
se impone la independencia de estos sistemas de segu-
ridad de los sistemas de regulación y control. Y en caso
de situaciones de emergencia, operaran automáticamente
para llevar a la planta de proceso y sus equipos a un esta- 7. LA RESPUESTA DE
do de riesgo remanente aceptado. Estos sistemas pondrán
fuera de servicio los equipos, áreas del proceso y la planta EMERGENCIA DE LA PLANTA
misma si es requerido dentro de su estrategia de seguridad.

Lo conforman los cuerpos de bomberos, de rescate y de


atención médica en planta, y de otros cuerpos especializa-
5. DISPOSITIVOS MECÁNICOS dos de contención de riesgos. Se consideran aquí también
los sistemas contraincendios conformados por las redes
ACTIVOS (DISPOSITIVOS DE de agua contraincendios y su equipamiento, así como la
situación estratégica de equipos manuales de extinción de
CONTENCIÓN) incendio (extinguidores fijos y portátiles).

Se incluyen también los sistemas de aviso de evacuación


El cuarto nivel protección de contención de riesgos está del personal, métodos de aislamiento y avisos de trabajos
conformado por los dispositivos mecánicos activos de pro- peligrosos, establecimiento de vías de escape, puntos de
tección, o dispositivos de relevo. reunión seguros y todos aquellos planes y programas de
salud y seguridad en el trabajo.
Los dispositivos mecánicos activos y/o dispositivos de re-
levo, están diseñados para proteger la integridad mecánica
de equipos, tuberías y recipientes. Entre estos dispositivos
encontramos las válvulas de seguridad y relevo por sobre- 8. LA RESPUESTA DE
presión. Su función primordial es la de proteger la integridad
mecánica de tuberías y recipientes, y del medio ambiente EMERGENCIA DE LA
ante riesgos de alto impacto.
COMUNIDAD
6. LOS SISTEMAS Lo forman los comités locales de ayuda mutua, sistemas de
vías de escape, sistemas para la evacuación general de la
MECÁNICOS PASIVOS población, intervención de ejército, policía, cuerpos de bom-
beros y de rescate de la comunidad, cuerpos especializados
(MITIGACIÓN) externos a la planta y de todos aquellos planes y programas
de salud general y de mantenimiento del entorno ambiental.

Son todos aquellos sistemas diseñados para la detección de En la siguiente figura, se muestra un ejemplo de cómo las
gas o fuego, canalización de fugas, desfogues, derrames, capas de protección deberían de actuar.

13
Seguridad operacional y su ciberseguridad

Alivio

SIS
Presión

Alarmas

BPCS

Tiempo

Figura 5. Ejemplo de funcionamiento de las capas de protección.

14
Seguridad operacional y su ciberseguridad

SISTEMAS INSTRUMENTADOS
DE SEGURIDAD (SIS)
Existen varias plataformas de desarrollo/tecnologías dispo- Sin embargo, son propensos a disparos fastidiosos, y pue-
nibles para implementar un sistema instrumentado seguro. den llegar a ser difíciles de manejar cunado los sistemas
Estas no son excluyentes y cada una posee sus propias ven- son grandes. Adicionalmente cualquier cambio en la lógica
tajas y desventajas, dependiendo la decisión para adoptar supone un cambio en el cableado y diseños deben ser ac-
una de ellas de las propiedades del proceso y factores parti- tualizados. Sistemas se basan en señales discretas de lógi-
culares (presupuesto, tamaños, riesgo, niveles, entre otros). ca de relés (encendido/apagado). Solamente se usan para
sistemas muy pequeños, típicamente aquellos con menos
Podemos distinguir los siguientes tipos: de 15 entradas y salidas (E/S).

SISTEMAS NEUMÁTICOS SISTEMAS DE


ESTADO SÓLIDO
Los sistemas neumáticos están aún en uso y son perfec-
tamente adecuados en determinadas circunstancias, por
ejemplo, en operaciones “offshore” donde se requiere se- Los sistemas basados en estado sólido, sin software, son
guridad intrínseca o simplemente la energía eléctrica no útiles y se construyen exclusivamente para propósitos de
está disponible. Los sistemas neumáticos son relativamen- seguridad; en otras palabras, son hechos "a medida". En
te simples y seguros ante fallos. algunos casos, incluyen pruebas, "by-pass", redundancia y
comunicación, y se aplican en soluciones simples y de alto
La aplicación más común es utilizar un controlador neu- nivel de seguridad SIL. Un sistema típico de este tipo tiene
mático, normalmente montado en campo, para comparar una etapa de procesamiento de la señal y la lógica resuelve
una variable de proceso con un punto de ajuste. La señal a través de funciones electrónicas estandarizadas princi-
de salida va a un interruptor de presión que impulsa a un palmente puertas AND y puertas OR, inversores de lógica
elemento final a ejecutar un disparo. y temporizadores.

Los sistemas basados en relés son simples, baratos, in- Teniendo en cuenta los pros y los contras de los sistemas
munes a varios efectos (como interferencias EMI/RFI), usan de estado sólido estos tienen esencialmente las mismas
diferentes niveles de tensión y sólo se usan en aplicaciones características que los sistemas basados en relé, pero con
pequeñas o muy necesarias. la ventaja de que usan tarjetas que procesan señales de
entrada multicanal. Los módulos deben conectarse a la
configuración lógica que se requiere para el sistema.

SISTEMAS DE RELÉ Normalmente la detección de una unidad de fallo dará lugar


a una alarma y a veces un disparo de la planta.

Sistemas basados en relés son relativamente simples (al menos Los sistemas de estado sólido ofrecen varias ventajas signi-
cuando son pequeños). Son relativamente baratos y son inmu- ficativas sobre los sistemas basados en PLC. El más obvio
nes a la mayoría de las interferencias electromagnética (EMI) y es que no usan software. El cableado es relativamente fácil
se pueden construir para rangos de voltaje muy diversos. de probar y comprobar. Estos sistemas también pueden res-

15
Seguridad operacional y su ciberseguridad

ponder más rápido que los sistemas basados en software.


Como los sistemas de relés los cambios realizados a la lógi-
ca del sistema requieren cambios en el cableado y actualiza-
ciones del diseño. Estos sistemas también son caros.

SISTEMAS BASADOS
EN PLC’S O DCS’S
En el caso de los Autómatas Programables, son soluciones
para grandes aplicaciones, basados en software y son de
propósito general: ofrecen gran flexibilidad, auto documen-
tación, procesamiento, comunicación y diferentes posibili-
dades de SIL y análisis del riesgo.

En este ámbito, existen autómatas programables de pro-


pósito general para desarrollar un SIS, pero también hay
disposiciones de tipo "Hot Backup" (con CPUs redundan-
tes, pero sólo una en línea a la vez). Otra disposición usada
es con Redundancia Dual, donde existe redundancia tanto
en la CPU como en las entradas/salidas de la instalación y
también en su programación.

Otra disposición que puede ser implementada ya sea con


PLC, DCS u otra tecnología de similares prestaciones es la
Redundancia Modular Triple (TMR), donde se triplica todo.
Las industrias químicas, petrolera, celulosa (calderas de
alto rendimiento y presión), nuclear, de defensa y otras, son
usuarias de esta técnica, donde pueden encontrarse un SIL
3 o más.

En el anexo A de ISA-TR84.00.09-2013 se incluyen una


serie de arquitecturas de seguridad de ejemplo. Estas ar-
quitecturas son conceptuales y no están diseñadas para
servir como una plantilla para cada sistema. Por el contra-
rio, el objetivo es representar diferentes enfoques de que un
usuario final puede elegir implementar un SIS.

Cuatro ejemplos se presentan en este documento que re-


presentan diferentes niveles de gestión en base a diferen-
tes grados de interconexión entre la zona SIS y otras zonas
de la arquitectura.

Cada ejemplo representa diferentes desafíos en cuanto al


diseño y mantenimiento de la seguridad.

16
Seguridad operacional y su ciberseguridad

Ejemplo 1: Air-Gapped SIS. Ejemplo2: Con SIS interconectado.

En el ejemplo 1, Air-Gapped SIS, observamos la completa laces diseñados con protocolos abiertos industriales. Por lo
separación a nivel de red de el área SIS del BPCS de control general, los firewalls u otro hardware y software de seguri-
básico, pero la infraestructura con esta separación del SIS críti- dad restringen el tráfico entre el BPCS y el SIS.
co para permitir capas de seguridad de defensa en profundidad
en dos sistemas diferentes agrega mantenimiento adicional e Debido a que el SIS central y el SIS extendido están físi-
incluso los sistemas separados no son inmunes a los cobera- camente separados de los periféricos, los sistemas inter-
taques. Los usuarios eventualmente requerirán acceso exter- conectados ofrecen una protección adecuada para cumplir
no al sistema para tareas como extraer registros de eventos o con estándares como ISA3 o NAMUR4. Sin embargo, al igual
realizar cambios de configuración y aplicar actualizaciones de que en sistemas separados, el hardware y el software SIS
seguridad. Las unidades USB, que a menudo se emplean para deben protegerse. Los usuarios deben asegurarse de que el
implementar estas actualizaciones, no son fáciles de proteger. SIS central no se vea comprometido a través de conexiones
al SIS extendido.
La dependencia de los medios externos es una de las princi-
pales razones por las que un SIS separado todavía necesita Para lograr esta protección, los sistemas interconectados
capas adicionales de protección como las que se utilizan para requieren que las capas de seguridad de defensa en pro-
proteger el BPCS. La robustez del sistema deja a los usua- fundidad se dupliquen en múltiples sistemas. En algunos
rios dos conjuntos separados de arquitecturas de defensa en casos, las múltiples instancias de ciberseguridad que se
profundidad. Esto supondrá más horas de trabajo, tiempos de deben monitorizar pueden aumentar la carga de trabajo ne-
inactividad más largos y áreas adicionales donde los descui- cesaria para mantener una seguridad adecuada. También
dos pueden dejar agujeros en las capas de protección. depende del usuario final asegurarse de que el enlace entre
el BPCS y el SIS esté configurado para que el sistema no
En el ejemplo 2, SIS interconectado, los elementos BPCS esté expuesto a riesgos.
y las funciones centrales del SIS se conectan mediante en-

3
ISA (International Society of Automation) https://www.isa.org/
4
NAMUR (User Association of Automation Technology in Process Industries) https://www.namur.net/en/index.html

17
Seguridad operacional y su ciberseguridad

Ejemplo 3: Integrado en 2 zonas. Ejemplo 4: Con zona 1 integrada.

En el ejemplo 3, Integrado en 2 zonas, observamos otra Considerar el diseño de las capas de defensa en profundi-
opción para diseñar sistemas SIS. En este enfoque, el SIS dad es fundamental para entregar un SIS con cibersegu-
está integrado al BPCS, pero existe una separación lógica y ridad, pero no es suficiente. Para mejorar la seguridad en
física entre el SIS central y el SIS extendido. Por lo general, una red SIS, las organizaciones también deben limitar los
esta separación viene con protocolos patentados que utili- puntos de acceso a las funciones críticas de seguridad y
zan ciberseguridad integrada. Esto elimina muchos de los proporcionar mitigaciones para cualquier riesgo que afecte
riesgos de seguridad que surgen de diseñar manualmente dichos puntos de entrada.
una conexión entre el SIS y el BPCS.
Cuantos más puntos de acceso estén disponibles para las
Otra opción para la ingeniería de sistemas separados es el funciones críticas de seguridad de un SIS, más oportuni-
SIS integrado del ejemplo 4. Eliminar las complicadas dades existen para que un ataque pueda aprovechar las
interfaces de ingeniería entre el SIS central y extendido con posibles vulnerabilidades en las capas de seguridad.
un entorno integrado puede conducir a pruebas de acepta-
ción de fábrica (FAT) más simples y rápidas, lo que ayuda
a poner los proyectos en línea más rápido y con menos
trabajo adicional.

18
Seguridad operacional y su ciberseguridad

PUNTOS DE ACCESO PUNTOS DE ACCESO -


EN SISTEMAS SISTEMAS INTEGRADOS
INTERCONECTADOS
Las arquitecturas SIS integradas pueden ofrecer un diseño que
limita los puntos de acceso. Los mejores sistemas instrumenta-
NAMUR ofrece una guía clara para la arquitectura SIS zoni- dos de seguridad integrados cuentan con un componente que
ficada en un formato de interfaz. En el diagrama, el SIS cen- actúa como un filtro / proxy para todo el tráfico que va y viene de
tral, el SIS extendido y la arquitectura del sistema de control las funciones críticas de seguridad. El resultado es un punto de
están aislados adecuadamente en sus propias zonas. Las entrada que necesita ser protegido, probablemente usando las
conexiones de ingeniería entre elementos de arquitectura mismas capas de defensa en profundidad que protegen el BPCS
en las tres zonas (estaciones de ingeniería, BPCS, sistemas y algunas capas de protección adicionales más específicas para
de gestión de información de la planta, sistemas de gestión el SIS central. Tal diseño puede reducir el mantenimiento y la
de activos y más) pueden crear múltiples puntos de cone- supervisión al tiempo que proporciona el mismo nivel o incluso
xión potenciales para el SIS central. mayor de separación estándar SIS que otras arquitecturas.

Estos puntos de conexión no presentan inherentemente un ries- A menudo se supone que una mayor separación física entre SIS
go de seguridad; se supone que estarán protegidos con una y BPCS significa más seguridad inherente. Sin embargo, como
defensa adecuada en profundidad. Cada acceso debe estar en el caso de los sistemas con airgap, una mayor separación
asegurado, lo que puede dar como resultado cinco o más con- física puede conducir a un mayor mantenimiento y monitori-
juntos de hardware y software de seguridad para administrar. zación para lograr una defensa adecuada en profundidad. La
sobrecarga adicional limita el valor de la brecha de aire para las
organizaciones que buscan optimizar el rendimiento y la pro-
ducción mientras intentan estar alineados con los estándares
de ciberseguridad.

Los sistemas integrados e interconectados pueden lograr altos


niveles de conectividad, a la vez que ofrecen flexibilidad en la
implementación de estructuras de ciberseguridad de defensa
en profundidad.

19
Seguridad operacional y su ciberseguridad

INTEGRANDO LA
CIBERSEGURIDAD EN LOS
NIVELES DE PROTECCIÓN DE
LA SEGURIDAD OPERACIONAL
ALGUNOS ESCENARIOS DE Impactos: pérdidas financieras por parada no programada
y complejidad del proceso de recuperación, tras la parada
RIESGOS TECNOLÓGICOS que pueden llegar a suponer días o semanas para su ope-
ración normal.
SOBRE LA SEGURIDAD
OPERACIONAL Reprogramación y alteración del comportamiento
del dispositivo SIS

Los controladores de seguridad operacional se emplean En este escenario se introducen variables o parámetros que
en muchos entornos industriales, principalmente con pro- alteran (sin detenerla) la operación de las instalaciones, de-
cesos que manejan materiales peligrosos. La capacidad jando el sistema en unas condiciones que entrañan peligro
de inhabilitar o modificar un proceso de estas caracterís- para personas y el patrimonio.
ticas para que falle podría generar consecuencias físicas
muy graves. Impactos: Aumenta el riesgo de que una situación peligro-
sa origine consecuencias físicas (al equipo, al producto, al
En el ataque dirigido “HatMan” cuyo código informático medioambiente o a las personas) debido al deterioro indu-
dañino afectó a los controladores Triconex, del fabricante cido a la funcionalidad del SIS.
Schneider Electric, diseñados como solución de seguridad
instrumentada no parece que tuviesen un objetivo económico
claro y, sin embargo, los recursos técnicos necesarios para Anulación de funcionalidad del dispositivo SIS
crear el marco del ataque han tenido que ser muy elevados. con daños físicos patentes

La existencia de todas esas incógnitas ha llevado a plantear Este sería el escenario más peligroso, puesto que se altera
distintos escenarios, que permitieran obtener cierta luz a el comportamiento del SIS anulando su funcionalidad; pero
partir de las posibles consecuencias identificadas en cada sin detener el proceso.
uno de ellos:
Impactos: Sin la capacidad de parar la actividad en caso
necesario, la maquinaria o sistemas no interrumpirían su
Parada del proceso productivo industrial, como funcionamiento y por consiguiente el correspondiente daño,
consecuencia del sabotaje del equipamiento SIS cuya extensión dependerá de las restricciones del proceso
y del diseño de la planta.
Son provocados distintos cambios no autorizados que harán
que los equipos detengan su funcionamiento, y con ellos el El carácter novedoso de este tipo de ataque cibernético ha
proceso, en previsión de consecuencias mayores. de poner aún más en alerta a los propietarios y operado-

20
Seguridad operacional y su ciberseguridad

res de instalaciones industriales, tanto del sector petrole- control de dispositivos USB, , etc.;
ro y gasista, máxime si cuentan en sus instalaciones con
elementos de protección operativa como los afectados por › Protección del puesto estableciendo medidas de seguri-
incidentes equivalentes a los descritos. dad, adaptadas a las necesidades del puesto de trabajo,
tanto de carácter organizativo (política interna de seguri-
dad) como técnico.

ESTABLECIENDO UNA LÍNEA › Establecimiento de un plan de formación y concienciación


de los empleados y personal de la cadena de suministro
BASE DE CIBERSEGURIDAD basado en procedimientos de buen uso de los sistemas que
ayude a los operadores y administradores a proteger de
manera adecuada los sistemas de seguridad operacional.
Las organizaciones con infraestructuras con riesgo ope-
racional deberían adoptar unas medidas o controles mí- › Adoptar medidas técnicas de protección que contemplen
nimos sobre los sistemas instrumentados de seguridad la configuración adecuada del sistema operativo, su segu-
que permita defenderse de ataques como los descritos ridad y versión actualizada, el control de acceso lógico con
anteriormente; y evitar tanto la infección, como la pro- uso de una política de contraseñas adecuada, implantar
pagación y posterior ejecución de códigos informáticos y configurar software antivirus y/o whitelisting, configurar
dañinos. Entre esas medidas, cabe destacar: los sistemas de actualización, restringir el uso de puertos
USB, canales de comunicación, control de navegación y
› la segregación física de las redes de comunicaciones que limitar la utilización de usos genéricos.
albergan a los sistemas instrumentados de seguridad (SIS)
-incluidas las consolas empleadas para su administración/ › Aplicación de diodos de datos (cortafuegos o puertas de
mantenimiento; usualmente, plataformas informáticas per- enlace unidireccionales) que impida la comunicación bi-
sonales (PC)-, de aquellas otras donde se encuentran los direccional en aquellas aplicaciones que reciban datos
sistemas de control industrial (SCI) y, a su vez, de las que proporcionados por el SIS; y,
conectan los sistemas de información (SSII) corporativos;
› Supervisión del tráfico de la red industrial para detectar
› la segregación y el aislamiento, mediante los controles de flujos de comunicación inesperados y otras actividades
acceso físico pertinentes, de las distintas salas técnicas/ anómalas, mediante el análisis de los registros y eventos
salas eléctricas, cabinas, armarios, etc., que albergan a ligados a cada intervención que se realice sobre el SIS.
tales sistemas (SIS, SCI, SSII);
› Definición y aplicación de planes de prueba que permitan
› los equipos como los referenciados más arriba en este tex- verificar la eficacia de las medidas adoptadas y la prepa-
to -serie Triconex de Schneider-Electric- están dotados de ración del personal interno y externo, permitiendo estable-
mecanismos físicos -interruptores con llave- que ajustan o cer lecciones aprendidas.
bloquean diferentes modos de funcionamiento. Resultaría
altamente conveniente aprovechar esta circunstancia para, › Establecimiento de mecanismos de respuesta ante cibe-
verificando la posición correcta de los conmutadores físicos, rincidentes, estableciendo planes de recuperación y de
restringir la capacidad de programación de un controlador SIS comunicación adecuados para recuperar el servicio de
a los períodos estipulados para ello. Sería oportuno adoptar estos sistemas de la forma más adecuada.
una práctica de gestión de cambios/supervisión del estado de
los conmutadores “REMOTE”, “RUN”, “PROGRAM”, “STOP”; Todas estás medidas se encuentran desarrolladas en el
documento “Ciberseguridad en el Ciclo de Vida de un
› la adopción de estrictos controles de acceso lógico (sólo proyecto de automatización industrial” publicado por el
usuarios con permisos específicos), listas de aplicaciones, Centro de Ciberseguridad Industrial.

3
Documento “Ciberseguridad en el Ciclo de Vida de un proyecto de automatización industrial” https://www.cci-es.org/informes-y-analisis-estategicos

21
Seguridad operacional y su ciberseguridad

REFERENCIAS Y
DIRECCIONES DE INTERÉS
› IEC 61508

http://www.iec.ch/functionalsafety

› Common Cause failures in Safety Instrumented Systems

https://www.sintef.no/globalassets/project/pds/reports/sintef-a26922-common-cause-failures-in-safety-instrumented-
systems--beta....pdf

› Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure

https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

› Triton: New Malware Threatens Industrial Safety Systems

https://www.symantec.com/blogs/threat-intelligence/triton-malware-ics

› TRISIS

https://dragos.com/blog/trisis/

› MAR-17-352-01 HatMan—Safety System Targeted Malware

https://ics-cert.us-cert.gov/MAR-17-352-01-HatMan%E2%80%94Safety-System-Targeted-Malware

› Triton/Trisis/Hatman; un malware para SIS

https://enredandoconredes.com/2017/12/25/triton-trisis-hatman-un-malware-para-sis/

› Security Notification-Malware Discovered Affecting Triconex Safety Controllers

https://www.schneider-electric.com/en/download/document/SEVD-2017-347-01/

› Using Operational Security (OPSEC) to Support a Cyber Security Culture in Control Systems Environments

https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/RP_Using%20OpSec_v1_Draft.pdf

22
Seguridad operacional y su ciberseguridad

AUTORES

› Susana Asensio CCI

› Ignacio Álvarez CCI

› José Valiente Pérez CCI

COLABORADORES

› Arturo Díaz EDP Energía

› Enrique Domínguez Entelgy Innotec Security

› Gerardo González YPF

› Ernesto Landa COGA

› Jesús Mérida Técnicas Reunidas

› María Prado Lacroix Sofrel

› Javier Larrañeta Tecnalia

› Manuel Marcos Rodríguez EDP Energía

23
 Paseo de las Delicias, 30 · 2º piso
28045 MADRID
 +34 910 910 751
 info@CCI-es.org
 www.CCI-es.org
 blog.CCI-es.org
 @info_CCI