evaluación de riesgos para tomarmedia.arpel2011.clk.com.uy/ciber18/02.pdf · zona field 20 20 6...
TRANSCRIPT
1
Evaluación de Riesgos para tomar buenas decisiones y seleccionar tecnologías adecuadas para la Seguridad Cibernética IndustrialIng. Maximillian G. KońManaging DirectorWisePlant.com/mkon
1. Normas, Regulaciones, Leyes, Mejores prácticas,…
Gestión de Riesgo Cibernético sobre Infraestructuras Críticas y Sistemas Industriales
• NIST SP 800‐39: Integrated Enterprise Risk Management
• NIST SP 800‐37: RiskManagement Framework
• ANSI/ISA99/IEC‐62443: CyberSecurity Management System
Normas, Leyes, Regulaciones, Guías, Mejores Practicas, Métodos, Técnicas, Políticas, Controles, Tecnologías, etc.• NIST SP 800‐53: Recommended Security Controls for Federal
Information Systems
• NIST SP 800‐82: Guide to Industrial Control Systems (ICS) Security
• NIST CyberSecurity Framework
• ANSI/IEC‐62443‐X‐X: Security Technologies for Industrial Automation and Control Systems
• NERC: Critical Infrastructure Protection (CIP) Cyber Security Standards
• DHS: Catalog of Control Systems Security Recommendations for Standards Developers
• AMI‐SEC‐ Task Force: AMI Systems Security Requirements
• IEEE 1686: Standard Intelligent Electronic Devices Cyber Security
• 6 CFR part 27: Chemical Facility Anti‐terrorism Standard (CFATS)
• TSA Pipeline Security Guidelines, April 2011
• Guidance for Adressing CyberSecurity in theChemical Industryversión 3.0
• API Standard 1164 –SCADA Security
• ….…. y muchos más!
ABB Automation & Power WorldMietek Glinkowski, Dir. Tech.
Everything you wanted to know but afraid to ask about standards
IEEE, ANSI, IEC, UL, NEMA,…
2
2. Comité ISA99: ¿Cómo trabajamos?
• ISA/IEC‐62443 es una serie de estándares internacionales desarrollados por dos grupos
• ISA99 ANSI/IEC‐62443• IEC TC65/WG10 IEC‐62443
• En consulta con• ISO/IEC JTC1/SC27 ISO/IEC 2700x
En el comité ISA99 somos unos 900 miembros de sectores industriales, usuarios finales, fabricantes, proveedores, gobierno, organizaciones (ISO, IEC,..), Receptores de Riesgo,…
ANSI/ISA99/IEC‐62443• 7 Estándares (SP)• 7 Referencias Técnicas (TR)
3. Incidentes a la Ciberseguridad Industrial
4. Los ataques son cada vez más sofisticados
Tri ton/Itris/HatManSis tema Instrumentado de Seguridad
Spectre‐MeltdownVulnerabilidad en Microprocesadores
Malware desarrollado en los 5 lenguajes de programación IEC‐61131‐3
Wireless HART es vulnerable a los ciberataques ‐ Hacked
Seguridad de Procesos
Seguridad de las Personas
Seguridad del Medio Ambiente
Disponibilidad
Integridad
Confidencialidad
CRITICIDAD RECEPTORES DEL RIESGO
Seguridad de la Información
IMPACTOS
Sectores de la Comunidad
3
5. The Eastland Disaster
• Tres años después del hundimiento del Titanic las autoridades …
• … fallecieron más personas que en el Titanic y Lusitania juntos en tan solo unos pocos minutos y en un lago.
“Este desastre ejemplifica la importancia que tiene
el “diseño” en la seguridad”.
6. Algunas Disciplinas de Riesgos Industriales
Confidencialidad
SEGURIDAD FUNCIONAL SEGURIDAD INTRÍNSECACIBERSEGURIDAD IND.
• ¿Qué tienen en Común?• Consecuencias• Seguridad por Diseño• Son los mismos Equipos
• ¿En qué difieren?• Las Causas
4
6. Evaluación de Riesgos Cibernéticos Industriales
• Tolerancia al Riesgo: Diferentes personas perciben al riesgo de forma distinta.
• Es responsabilidad de la Alta Dirección definir los objetivos de CiberSeguridad Industrial, políticas, tolerancias, etc.
• Incidentes como (The EastlandDisaster), Sistema interconectado eléctrico de Ukrania, y tantos otros. ¿En qué fallan las organizaciones?
(1) No conocen las normas/estándares
(2) Fallan en la implementación
(3) No consideran necesarias a las normas
Riesgo = f(Vulnerabilidad, Amenaza, Consecuencia)
Seguridad de Procesos ….
Seguridad de las Personas
Seguridad del Medio Ambiente
Seguridad de la Información
Continuidad OperativaContinuidad del Negocio
HS&E = Health, Safety and Environmental
7. Alcanzando la SeguridadZona/Conducto en
EvaluaciónRiesgo Máximo
Riesgo Actual
Riesgo por Diseño
Zona Field 20 20 6
Zona Safety 16 16 5
Conducto Safety 20 12 5
Zona PCS 25 15 4
Zona Historian 15 9 3
Zona Business 9 5 3
Zona Remote 15 10 5
Solamente algunos receptores de riesgos son evaluados
Todos los receptores de riesgos son evaluados con conocimiento de los sistemas y de procesos industriales
Situación de Riesgo Máximo (Peor Caso)
BPCS
BPCS HMI
Equ ipm ent Room
Fi el d
Control R oom
Plant Admi nBuilding
SIS
MaintLaptop
Internet
Corp HQ
Remote Control System
User
BUSINESS ZONE
EMPLOYEEREMOTEACCESS
Z ONE
VENDOR REMOTE ACCESS
ZONESAFETY
ZONE
WIRELESS ZONE
Dial-upModem
DCS Server B
DCS Server A
Remote Cont rol System
U ser
IT DomainController
DataHist orian
Supervis or
BusinessServers
PROCESSCONTROL
ZO NE
BusinessWorkst ations
Operat or Consoles
Operator Consoles
RAS
C orporat eW AN
Comm Room
`
EngineeringWorkstation
Router
R outer
Sistemas Existentes o Nuevos
La metodología desarrollada en la ANSI/ISA99/IEC‐62443 se llama
Cyber‐PHA (Cyber Process HazardousAnalysis) la cual cumple con los requerimientos RAGAGEP/OSHARAGAGEP = Recognized And Generaly Accepted Good Engineering Practice
5
8. ¿Cómo se llega a cumplir con los requerimientos?CiberSeguridad Intrínseca,
Nativa o EmbebidaCiberSeguridad
agregada a los sistemas convencionales
creando arquitecturas Seguras
9. Tecnologías de Seguridad CiberSeguridad por HardwareSistemas de Monitoreo 7x24x365 (SIEM/SOC‐OT)
• Gestión de Ciberactivos• Análisis de Vulnerabilidades
• Detección de Intrusiones• Detección de Anomalías• Gestión de Cambios
y muchas más
10. ¿Y qué sucede con los Proveedores?
Niveles de Certificación basados en requerimientos para hardware, software, diseño, fabricación, tecnologías, etc.
Tres Certificaciones con 4 Niveles:
• IEC 62443 ‐ EDSA Certification• IEC 62443 ‐ SSA Certification• IEC 62443 ‐ SDLA Certification
6
¡Muchas Gracias!Maximillian George Koń[email protected]
COMPANY
WisePlant.comWiseCourses.comNews.WisePlant.comXNCompany.com