Caso Práctico

Aplicando
ciberseguridad en un
entorno industrial

everis Aeroespacial, Defensa y Seguridad

Expectativa
Realidad
2016 - 2017 Hechos relevantes

Fuente: SANS Institute. Securing Industrial Control Systems 2017

Incidentes más comunes

1 Denegaciones de servicio de sistemas críticos

2 Manipulación de parámetros, alertas o instrucciones

3 Incidentes causados por falta de concienciación

4 Malware y APTs

5 Incumplimiento legislativo
2016 - 2017 Hechos relevantes

Fuente: The Hacker News. 27 – 01 - 16

“Hemos identificamos uno de los mayores ataques cibernéticos

que hemos experimentado“
Yuval Steinitz Ministro de Energía Israelí
2016 - 2017 Hechos relevantes

Fuente: El confidencial 21 – 01- 2016

“Es el primero en la historia –que conozcamos- involucrado en un

apagón eléctrico generalizado“
Gobierno Ucraniano
2016 - 2017 Hechos relevantes

Fuente: El economista
Fuente: El confidencial 21 – 01- 2016

Afectó las operaciones de bancos, compañías navieras,

aeropuertos, hospitales e otras infraestructuras crítica.
2016 - 2017 Hechos relevantes

•  Ataques dirigidos contra la industrial como BlackEnergy o Operation Ghoul, además de

WannaCry y Petya que fueron mas genéricos.

•  Aumentan los ataques de ransonware con un objetivo específico: los Sistemas de Control
Industrial.

•  España es el quinto país del mundo con más sistemas de control industrial conectados a
Internet.

•  Se detectaron 479 incidentes de ciberseguridad en Operadores Críticos (Fuente: CNPIC).

•  La Comisión Europea presentó el pasado 18 de septiembre una nueva estrategia de política

industrial para reforzar la ciberseguridad en el sector, y establecer en 2018 un foro de alto nivel
para debatir con la industria las iniciativas y acciones de Bruselas en ese campo.
 Cómo
evaluamos la
madurez
Evaluación Diferentes fases

Evaluación del nivel de madurez del programa de ciberseguridad industrial.

Evaluación de vulnerabilidades y pruebas de hacking ético sobre redes de control y

sistemas de control industrial (PLCs, RTUs, HMI, SCADAs, Smart Grids, etc.

Evaluación del riesgo de ciberseguridad en entornos industriales.

 Evaluación del nivel de madurez

La evaluación de la madurez la realizamos analizando al cliente frente a las normativas vigentes (ISA/IEC 62443,
NERC, etc) además de posibles normativas locales que puedan afectarles. (Normativas Latam).

Este tipo de evaluación la realizamos con sesiones de trabajo con el cliente y de esa manera tener una aproximación
de las fortalezas y deficiencias que en una primera aproximación se encuentra nuestro cliente.
 Evaluación de vulnerabilidades y pruebas de Hacking ético

Mediante una metodología pasiva se realizan técnicas y herramientas de hacking para identificar y evaluar las
vulnerabilidades presente en las redes y sistemas de control. Además de realizar test de intrusión y penetración para
identificar el nivel de madurez en el que se encuentra. (PLCs, RTUs, HMI, SCADAs, Smart Grids, IoT, etc.)

Debemos tener en cuenta que tanto la disponibilidad de los servicios como la integridad y la confidencialidad de la
información que se dispone en una red de control industrial son muy importantes y los daños pueden ser muy
elevados.
 Evaluación del riesgo de ciberseguridad

Tras la realización de las fases anteriores y la obtención de un mapa de situación de nuestro cliente, tenemos que
tener en cuenta que riesgos tenemos y el impacto que puede causar en la organización.

El análisis de riesgos lo evaluamos con las siguientes fases:

Fase 1: Entendimiento de procesos y de la red de control industrial.

Fase 2: Evaluación de seguridad sobre:

•  Gobierno de seguridad ICS

•  Seguridad de las plataformas ICS
•  Seguridad de la Red de control

Fase 3: Análisis de riesgos y vulnerabilidades

Fase 4: Generación de informes

Fase 5: Apoyo en el cierre de brechas de ciberseguridad.

 Nuestra
experiencia
 Caso Real

País: Colombia

Sector Industrial: Oil & Gas

Que necesitaban: Nos plantearon que querían mejorar sus procesos de

negocio, su estructura organizacional, su ciberseguridad industrial,
adecuarse a las normativas vigentes, etc. y en consecuencia aumentar su
nivel de madurez. Se plantea un plan estratégico para ejecutarse durante
2017- 2021.

Principales problemas encontrados:

•  No tenían un sistema de seguridad robusto.

•  No hacían pruebas sobre sus propias aplicaciones.
•  No tenían plan de continuidad de negocio.
•  Falta de comunicación.
•  Falta de concienciación en los empleados y en la dirección.
Expectativa
Antes de presentarle los resultados al cliente, le dimos la posibilidad de realizar una
autoevaluación de como creía que se encontraba su industria con los diferentes dominios que
habíamos analizado.

Los resultados fueron muy positivos.

Complicaciones
En todos los proyectos surgen complicaciones que hay que lidiar con el cliente:

•  Las áreas que teníamos que entrevistar no estaban identificadas y en la

mayoría de los casos no se sentían aludidos.

“Yo no soy de seguridad, esto no tiene que ver conmigo”

•  La terminología no es conocida, por lo que no fue sencillo responder a las

preguntas.

•  Se temían reprimendas si encontrábamos una deficiencia y la asociaban a

“no se esta haciendo el trabajo de manera correcta” por lo que teníamos
que tener mucho cuidado en como transmitir los mensajes.

•  Aversión a los cambios. Cuando creen que habrá algún cambio en el

procedimiento de su trabajo muestra aversión e intentan justificarse.
Realidad
Sin embargo la realidad era diferente, en algunos dominios si que coincidió con la imagen que
nuestro cliente tenía pero en la gran mayoría vio y comprendió que necesitaba ayuda y ponerse a
trabajar en mejorar empezando por los dominios que se encontraban más críticos.
Conclusiones
•  El sector industrial es claramente un objetivo de ser atacado.

•  Las amenazas cada vez son más sofisticadas y están orientadas al sector industrial.

•  El nivel de madurez hay que mejorarlo y concienciar a las industrias del riesgo que corren.

•  Debemos ser “realistas” en materia de ciberseguridad industrial.

Mientras sigamos teniendo IC y SCI conectados a Internet sin las actualizaciones

necesarias, con configuraciones por defecto, y dejando al descubierto nuestros sistemas,
la industria seguirá siendo cada vez más un objetivo con mucho potencial para cualquier
atacante.

Auditorías de Seguridad Continuidad de Negocio SGSI

•  Identificación de Vulnerabilidades •  Diseño de pruebas DRP •  Implementación de SGSI y LOPD

•  Test de intrusión •  Definición e implementación de BCP •  Almacenamiento de la información
•  Pruebas en entornos simulados •  Campañas de concienciación •  Generación de procedimientos
•  Cumplimiento de los sistemas ante
los estándares de seguridad.
 RADAR
MAGAZINE DEL CENTRO HACKING

RADAR es el boletín mensual, elaborado por nuestro centro hacking, que se ha convertido
en una publicación de aspectos técnicos sobre la seguridad de la información, ofreciendo
mediante un formato sencillo y variado un repaso de la actualidad con las últimas noticias
del sector, un artículo de carácter técnico elaborado cada mes por un área diferente
centrándose en aspectos de la ciberseguridad además de tendencias, vulnerabilidades,
parches y eventos.

Español English
Thank you

Francisco J. García Lorente

everis.com