Camino hacia el cumplimiento del Estándar de Ciberseguridad para el sector eléctrico.

Episodio3: ¿Cómo evitar el acceso de intrusos en la industria OT?

La comunicación entre los Ciber Activos SEN que conforman nuestra infraestructura OT, se basa a diferentes protocolos de comunicación que definen como dichos Ciber Activos pueden enviar y recibir información por medio de su red.

Las insuficientes de medidas de seguridad en las redes de comunicación OT es un problema que está quedando en evidencia, debido al incremento de ataques exitosos sobre la infraestructura OT. Los ciber ataques ocurridos actualmente, se deben a que el intruso tiene las capacidades y habilidades para realizar una intrusión a través del perímetro de seguridad electrónica establecido, aprovechando una vulnerabilidad en el control de acceso.

Por ello las buenas prácticas internacionales y particularmente el Coordinador Eléctrico Nacional (CEN), ha establecido un conjunto de requisitos mínimos para el resguardo de la Ciberseguridad que aplican a la infraestructura eléctrica nacional de forma de hacer frente a amenazas que pongan en riesgo la seguridad y continuidad del servicio de energía eléctrico.

Dicho esto, el Estándar de Ciberseguridad para el sector eléctrico, establece los requisitos para los Perímetros de Seguridad Electrónica y Perímetros de Seguridad Física de los Ciber Activos SEN.

Problemática actual

Existen organizaciones que no tienen visibilidad respecto de los accesos a sus Ciber Activos SEN como, credenciales validas actualmente, credenciales que deberían estar revocadas, permisos sobre cada Ciber Activos SEN que tiene cada profesional, accesos remotos que tienen, registro y monitoreo actividades de administración sobre sus Ciber activos SEN, comportamiento inusual dando como resultado la existencia de riesgos que puedan afectar la continuidad de las operaciones. 

Por esta razón, el estándar CEN planea una serie de requisitos a cumplir en el capítulo CIP-005 junto a sus requerimientos 1 – perímetro de seguridad electrónica y 2 – administración de acceso remoto interactivo y el capítulo CIP-006 junto con sus requerimientos 1 – plan de seguridad física, 2 – programa de control de visitas, 3 – programa de prueba y mantenimiento de SCAF. 

¿Como deben ser los procedimientos que aseguren los accesos físicos y lógicos?

El estándar eléctrico describe dos conceptos fundamentales a tener en consideración al momento de la elaboración de procedimientos que ayuden con la gestión de accesos, autenticación, autorización y elementos de protección física.

• Perímetro de Seguridad Electrónica (PSE): Borde o limite lógico alrededor de una red a la cual los Ciber Sistemas SEN están conectados utilizando un protocolo enrutable.
• Perímetro de Seguridad Física (PSF): Borde o limite físico alrededor de espacios en donde residen Ciber Activos SEN, Ciber Sistemas SEN, o Sistemas de Monitoreo o Control de Acceso Electrónico (SMCAE), y en los cuales el acceso es controlado.

Con lo antes mencionado el propósito que busca el capítulo CIP-005-R1 y CIP-006-R1 es administrar los accesos tanto físicos como lógicos a los Ciber Sistemas y Ciber Activos SEN contra eventos o actos que pudrían conducir a una mala operación o inestabilidad. 

Ahora bien, se pueden enumerar los procedimientos que debería de contar el SEN para asegurar sus accesos tales como:

1. Contar con un sistema de control de accesos físico que limite y rastree a los usuarios que tienen acceso a un espacio físico.
2. Describir el proceso formal de autorización y cancelación de accesos para permitir la asignación de determinados privilegios.
3. Contar con un registro de acceso lógico que permita el rastreo de actividades de usuario.
4. Estar alineado con una política de control de acceso que defina los roles, responsabilidades, flujos, manejo de excepciones, así como las medidas de protección y auditoria. 
5. Permitir mitigar los riesgos de acceso indebido a los Ciber Sistemas SEN, estableciendo requisitos mínimos como segmentación de acceso, generación de logs y alertas. 

Buenas prácticas que describen las normas internacionales con relación a la seguridad física y lógica. 

Las normas de seguridad física y lógica son aquellas que buscan proteger los dispositivos, equipos, datos y sistemas que utilizamos para acceder y gestionar nuestra información. 

Algunas medidas de seguridad física:

• Definir al menos 3 tipos de áreas como publica, segura y restringida.
• Asegurar que el acceso a las áreas sensibles solo está disponible a personal autorizado.
• Definir un perímetro de seguridad que permita segmentar áreas por sensibilidad.
• Instalar controles de acceso para cada zona sensible
• Implantar medidas contra inundaciones e incendios. 
• Controlar y registrar cada una de las visitas.
• Circuito cerrado de televisión.
• Detección de alarmas y extinción de incendios. 
• Alarmas contra intrusos.
• Sistemas de detección de contaminación y limpieza de los ambientes interiores.
• Sistema de protección contra inundaciones.
• Protección contra descargas eléctricas.

Algunas medidas de seguridad lógica:

• Segmentar zonas por sensibilidad de los Ciber Activos SEN.
• Gestionar cada uno de las credenciales otorgadas y servicios expuestos que permiten el acceso, lo que implica: inventarios de credenciales/servicios expuestos, generación y revisión de Logs.
• Pruebas y auditorias periódicas.
• Procedimientos de auditoría y recuperación en caso de incidentes.
• Implementar soluciones y servicios de protección, detección y respuesta bajo un modelo de defensa en profundidad.

Tipos de intrusos que podemos identificar

Antes de conocer los tipos de intrusos a nivel del sector eléctrico, debemos de comprender el concepto del término Riesgo el cuál se describe como la exposición a una situación donde hay una posibilidad de sufrir un daño o de estar en peligro. 

Estos daños pueden ser causados de forma consciente o inconsciente, por los siguientes tipos de intrusos que se pueden aprovechar vulnerabilidades en los accesos:

1. Fraudulento: Atacantes que acceden de manera ilegal a recursos de la organización obteniendo accesos que realizan bypass de los controles de acceso.
2. Suplantador: Atacantes que obtienen las credenciales de acceso oficial de colaboradores de nuestra organización, actuando bajo los privilegios del usuario suplantado.
3. Insider: Colaborador que posee credenciales oficiales y que realiza acciones maliciosas. 

Con lo antes mencionado y analizando los capítulos CIP-005 y CIP00-6 podemos comprender que los riesgos relacionas a los accesos por intrusión, vienen definidos en tres niveles que pueden impactar los Ciber Activos y Ciber Sistemas SEN que interactúan de forma interna o externa con los perímetros de seguridad electrónica y perímetros de seguridad física establecido por el SEN y que puedan contribuir con la indisponibilidad de las operaciones. 

Recomendaciones generales

Mantener una gestión constante de accesos ya que estos son el principal vector de entrada para incidentes de Ciberseguridad. 

Las organizaciones y en especial las del sector eléctrico no están exentas a este tipo de riesgos, derivado del perímetro de seguridad electrónica o del perímetro de seguridad física.  La diferencia radicara en que tan preparados se encuentren para remediar una vulnerabilidad de esta índole y la capacidad de poder contener este evento según los controles implementados. 

Por ello juega valor fundamental tener políticas y procedimientos que describan la periodicidad con que se deben de realizar los seguimientos relacionados a los accesos otorgados al personal, con la finalidad de evitar tener accesos habilitados de personal que ya no labora en la organización o por el contrario personal activo que no usa sus cuentas de acceso. Todo esto ayudara a poder tener una mayor visibilidad de este tipo de eventos para que puedan ser atendidos al momento y no luego de presentarse un incidente que deteriore las operaciones.