Ciberseguridad en las infraestructuras críticas
Concepto de infraestructura crítica y principales amenazas existentes
No hay mejor introducción a este tema que la siguiente entrevista con Erik de Pablo, uno de los mayores expertos nacionales en infraestructuras críticas.
Características de las infraestructuras críticas y la gestión de dependencias
Como se ha mencionado en el vídeo, la protección de las infraestructuras de información críticas persigue incrementar la seguridad de aquellas grandes infraestructuras cuya degradación, interrupción o destrucción causaría un serio impacto en la salud, seguridad o bienestar de los ciudadanos o en el correcto funcionamiento de las estructuras gubernamentales. Se suelen considerar críticas las infraestructuras para el suministro de electricidad, energía, combustible y agua; los sistemas de comunicaciones y transporte; las estructuras para el suministro de alimentos y la gestión de residuos; las infraestructuras económicas y financieras; las redes de telecomunicaciones (telefonía, Internet, satélites); los sistemas relacionados con la defensa y la seguridad nacional; los sistemas de emergencias, rescate y protección civil, el sistema sanitario, el sistema de justicia y en general, las agencias y administraciones públicas.
Si realizamos un análisis de cuáles son los rasgos esenciales asociadas a las infraestructuras críticas, podemos determinar que se caracterizan por:
- Haber adoptado un alto nivel de automatización para su operación control: Esto ha motivado la aparición de unas infraestructuras de información críticas que son la base para la gestión y correcto funcionamiento de todas las infraestructuras críticas. Y en la mayor parte de los casos estas infraestructuras de información son soportadas por proveedores de telecomunicaciones comerciales, por lo que no sólo es imprescindible una efectiva colaboración internacional, sino también una estrecha colaboración entre el sector público y el privado.
- Existir una gran interrelación entre todas ellas: Es imposible analizar de forma adecuada y comprender el comportamiento de una determinada infraestructura de forma aislada respecto a su entorno o a otras infraestructuras. Se debe plantear un análisis holístico que considere múltiples infraestructuras interconectadas y sus interconexiones como un sistema único. Lo que le suceda a una infraestructura puede afectar directamente o indirectamente a otras infraestructuras, impactar a grandes regiones geográficas y repercutir en la economía nacional o, incluso, global. La no comprensión de estas interdependencias llevará a la realización de respuestas no efectivas, y a la falta de coordinación entre las organizaciones y los grupos responsables de los rescates, la recuperación y la restauración en una emergencia. También puede causar la mala administración de recursos, provisiones y protección a la vida humana.
- Estar en la mayor parte de los casos distribuidas geográficamente incluso en diferentes naciones: La distribución física de estas infraestructuras hace que su gestión sea más compleja si cabe. En cuanto a la seguridad física, requiere el diseño de procedimientos de seguridad que sean adaptados por todas las localizaciones que se consideren críticas, así como el despliegue de medidas específicas que aseguren entre otras una correcta protección perimetral, control de accesos, planes de contingencia ante catástrofes, planes de evacuación, etc. Por otro lado, desde el punto de vista de la seguridad lógica, es frecuente que existan sistemas de adquisición de datos y de información distribuidos conectados por redes WAN. Esta dispersión tecnológica hace mucho más vulnerables estas infraestructuras, haciéndolos objetivo fácil de ataques. Por otro lado, es muy común que en estos entornos se creen centros de control que ayuden a centralizar toda la información y a tomar decisiones en tiempo real. Esta medida que en principio puede ser tremendamente útil para salvar distancias y barreras geográficas, puede volverse en contra de la infraestructura crítica si no se crea con las medidas de seguridad adecuadas.
En este contexto, ya de por sí heterogéneo y multidimensional, las infraestructuras de información críticas pueden verse amenazadas por catástrofes naturales, fallos técnicos, errores humanos, crimen internacional, terrorismo, etc. Por lo que es necesaria una aproximación holística y colaborativa para su protección, centrándose en tres objetivos fundamentales:
- Prevenir los ataques informáticos contra las infraestructuras de información críticas.
- Reducir la vulnerabilidad nacional a los ciberataques.
- Reducir al mínimo los daños y el tiempo de recuperación cuando estos ataques se producen.
Para alcanzar estos objetivos se han desarrollado diferentes normativas, estándares y grupos especializados que proporcionan mejores prácticas en el ámbito de la seguridad de infraestructuras críticas, tanto a nivel internacional como nacional, que persiguen ayudar a alcanzarlos.
Marcos y planes aplicables y mejores prácticas asociadas a las infraestructuras críticas
Se han propuesto diferentes marcos, planes, mejores prácticas, metodologías, modelos y herramientas para la protección de las infraestructuras críticas. Países como Estados Unidos o Canadá han sido pioneros en la propuesta de estas normativas y mejores prácticas. A partir de ellos, diferentes miembros de la Unión Europea han seguido la estela dejada por estos países.
El desarrollo de estas normativas y mejores prácticas se ha realizado a través de agencias gubernamentales. Se tratan de organizaciones verticales estructuradas en el ámbito de las infraestructuras críticas, que son dirigidas desde el más alto nivel en todos los gobiernos. En muchos casos, los gobiernos han confiado a la protección de infraestructuras críticas tanto a propietarios y operadores de los sistemas y redes. Esta tarea se realiza siempre a través de una estrecha relación entre las autoridades civiles y militares, con el fin de garantizar la protección de los activos y las redes que componen la infraestructura. Explicamos a continuación algunos de los marcos o estándares desarrollados por diferentes países:
- En Estados Unidos destaca el National Infrastructure Protection Plan 2013 (NIPP). La versión del 2013 se trata de una evolución de las iniciativas desarrolladas durante los años 2006 y 2009. En el NIPP se identifican tres áreas específicas de interés: Las interdependencias entre los sectores, la seguridad cibernética y el carácter internacional de las amenazas sobre las infraestructuras críticas. Cabe mencionar que dentro de este plan se han desarrollado 16 planes sectoriales específicos vinculados a infraestructuras críticas. La agencia gubernamental que lidera este plan es el U.S. Department of Homeland Security.
- También en Estados Unidos, hemos de mencionar el plan desarrollado por la agencia denominada North American Electric Reliability Corporation (NERC) con el programa CIP (Critical Infraestructure Protection). Aunque es un marco muy orientado a incrementar la seguridad de los activos vinculados a los BES (Bulk Electric System) de EEUU, se está utilizando en otros sectores y ámbitos por su completitud y fácil adaptación. Se han desarrollado hasta 9 estándares y 45 requerimientos asociados al NERC CIP.
- En Canadá se ha desarrollado el plan denominado Strategy for the Protection of National Critical Infrastructure. En este plan se hace hincapié en inventariar y detectar los diferentes componentes físicos y virtuales aplicados tanto al sector público como al privado, que pueden ser susceptibles de amenazas. Se habla en particular de la mejora de la resiliencia de las infraestructuras críticas. De hecho, se está realizando en estrecha colaboración del “Canadian Security Intelligence Service” con el NERC.
- En Europa existe una iniciativa parecida al NIPP denominada Programa Europeo para la Protección de Infraestructura (PEPIC). Este programa proporciona un procedimiento de identificación y designación de las infraestructuras críticas europeas y un enfoque común para evaluar la necesidad de mejorar su seguridad. Además, facilita medidas destinadas a facilitar la aplicación del PEPIC, entre las que figuran un plan de acción, una red de alerta relativa a las infraestructuras críticas (CIWIN), la creación de grupos de expertos de Protección de las Infraestructuras Críticas, procedimientos para compartir información acerca de las infraestructuras y una definición y análisis de interdependencias.
- De forma más específica, en Europa podemos destacar otras iniciativas como la desarrollada en Alemania por la agencia Federal Office for Information Security, denominada Equipo CERT-Federal (CERT-Bund); en Francia con el Libro Blanco para la seguridad y defensa nacional, desarrollado por la Secrétariat general de la défense nationale; o en Reino Unido, donde se ha desarrollado la Iniciativa para los sectores de infraestructura crítica, liderado por el Centre for the Protection of National Infrastructure.
- Por último, para acabar este apartado, destacamos el Plan Nacional de Protección de Infraestructuras Críticas desarrollado por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas) en España. Esta plan se desarrolla bajo la ley 8/2011 de Protección de Infraestructuras Críticas complementada por el Real Decreto 704/2011. Los dos grandes objetivos de esta norma son los de catalogar el conjunto de infraestructuras que prestan servicios esenciales a nuestra sociedad y diseñar un planeamiento que contenga medidas de prevención y protección eficaces contra las posibles amenazas hacia tales infraestructuras, tanto en el plano de la seguridad física como en el de la seguridad de las tecnologías de la información y las comunicaciones. Los sectores categorizados como críticos son los siguientes: administración, agua, alimentación, energía, espacio, industria química, industria nuclear, instalaciones de investigación, salud, sistema financiero y tributario, tecnologías de la información y las comunicaciones y transporte. Entre las principales aportaciones de esta ley destacamos las siguientes:
- Crear el Sistema Nacional de Protección de Infraestructuras Críticas que contiene aquellas instituciones, órganos y empresas, procedentes tanto del sector público como del privado, con responsabilidades en el correcto funcionamiento de los servicios esenciales o en la seguridad de los ciudadanos. Estos son: los operadores críticos, el CNPIC (Centro Nacional para la Protección de Infraestructuras Críticas), ministerios, CCAA, corporaciones locales, grupos de trabajo sectoriales, etc.
- Poner las bases para el Sistema de Planificación PIC. Se trata de un conjunto de textos normativos que definen una serie de medidas para la protección de las infraestructuras críticas que se concretan en actuaciones que deben llevar a cabo los integrantes del Sistema de Protección de Infraestructuras Críticas. Teniendo en cuenta lo establecido por la Ley PIC, se desarrollarán tantos PES (Planes Estratégicos Sectoriales) como sectores se hayan definido. A su vez, las empresas que sean designadas como operadores críticos deberán presentar un PSO (Plan de Seguridad del Operador) y un PPE (Plan de Protección Específico) respecto a todas sus infraestructuras clasificadas como críticas. Por último, la administración competente, apoyada por el cuerpo policial, deberá desarrollar un PAO (Plan de Apoyo Operativo).
- Generar el Catálogo Nacional de Infraestructuras Estratégicas que contiene la información completa, actualizada, contrastada e informáticamente sistematizada relativa a las características específicas de cada una de las infraestructuras estratégicas existentes en el territorio nacional. Para facilitar esta información se ha desarrollado el sistema HERMES, a través del cual los operadores críticos podrán dar de alta, acceder y modificar la información relativa a aquellas infraestructuras que gestionen.
- Establecer el CERT (Cyber Emergency Response Team) para la gestión de incidentes de ciberseguridad. Apoyando al CNPIC, INCIBE (Instituto Nacional de Ciberseguridad) se convierte en el CERT especializado en la gestión de incidentes relacionados con las infraestructuras críticas a nivel nacional. La misión del CERT es dar respuesta a incidentes de seguridad especializado en el análisis y gestión de problemas e incidencias de seguridad tecnológica.
En la figura siguiente resumimos las iniciativas llevadas a cabo por diferentes países.
Contramedidas específicas para proteger el puesto del operador en las infraestructuras críticas
Como hemos comentado ya una de las características de las infraestructuras críticas es su distribución geográfica. Para eliminar estas barreras físicas, es muy habitual desarrollar centros de control en los que existen sistemas HMI o SCADA que permiten supervisar y/o controlar dichas infraestructuras distribuidas. Como podéis intuir, estos sistemas son lo que denominamos puesto de operador y su protección y fortificación son claves para incrementar la seguridad de las infraestructuras críticas.
En el documento El puesto del operador. Guía básica de protección de Infraestructuras Críticas publicado en noviembre de 2013, por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas) de España en colaboración con el INTECO (CERT), ahora INCIBE (Instituto Nacional de Ciberseguridad de España) se recogen “los elementos esenciales para establecer una serie de controles mínimos que garanticen la seguridad relativa a los puestos del operador soportados por PCs o servidores, así como las diferentes herramientas y técnicas que permitan identificar y/o mitigar los posibles ataques”.
En esta actividad te proponemos que descargues este documento público, accediendo a este enlace, y contestes a las siguientes cuatro preguntas (tienes cinco oportunidades). Te proporcionamos el criterio de corrección para cada pregunta en particular.
Descarga el documento en:
Francisco Javier Cervigon Ruckauer
No hay comentarios:
Publicar un comentario