Episodio3: ¿Cómo evitar el acceso de intrusos en la industria OT?
La comunicación entre los Ciber Activos SEN que conforman nuestra infraestructura OT, se basa a diferentes protocolos de comunicación que definen como dichos Ciber Activos pueden enviar y recibir información por medio de su red.
Las insuficientes de medidas de seguridad en las redes de comunicación OT es un problema que está quedando en evidencia, debido al incremento de ataques exitosos sobre la infraestructura OT. Los ciber ataques ocurridos actualmente, se deben a que el intruso tiene las capacidades y habilidades para realizar una intrusión a través del perímetro de seguridad electrónica establecido, aprovechando una vulnerabilidad en el control de acceso.
Por ello las buenas prácticas internacionales y particularmente el Coordinador Eléctrico Nacional (CEN), ha establecido un conjunto de requisitos mínimos para el resguardo de la Ciberseguridad que aplican a la infraestructura eléctrica nacional de forma de hacer frente a amenazas que pongan en riesgo la seguridad y continuidad del servicio de energía eléctrico.
Dicho esto, el Estándar de Ciberseguridad para el sector eléctrico, establece los requisitos para los Perímetros de Seguridad Electrónica y Perímetros de Seguridad Física de los Ciber Activos SEN.
Problemática actual
Existen organizaciones que no tienen visibilidad respecto de los accesos a sus Ciber Activos SEN como, credenciales validas actualmente, credenciales que deberían estar revocadas, permisos sobre cada Ciber Activos SEN que tiene cada profesional, accesos remotos que tienen, registro y monitoreo actividades de administración sobre sus Ciber activos SEN, comportamiento inusual dando como resultado la existencia de riesgos que puedan afectar la continuidad de las operaciones.
Por esta razón, el estándar CEN planea una serie de requisitos a cumplir en el capítulo CIP-005 junto a sus requerimientos 1 – perímetro de seguridad electrónica y 2 – administración de acceso remoto interactivo y el capítulo CIP-006 junto con sus requerimientos 1 – plan de seguridad física, 2 – programa de control de visitas, 3 – programa de prueba y mantenimiento de SCAF.
¿Como deben ser los procedimientos que aseguren los accesos físicos y lógicos?
El estándar eléctrico describe dos conceptos fundamentales a tener en consideración al momento de la elaboración de procedimientos que ayuden con la gestión de accesos, autenticación, autorización y elementos de protección física.
Con lo antes mencionado el propósito que busca el capítulo CIP-005-R1 y CIP-006-R1 es administrar los accesos tanto físicos como lógicos a los Ciber Sistemas y Ciber Activos SEN contra eventos o actos que pudrían conducir a una mala operación o inestabilidad.
Ahora bien, se pueden enumerar los procedimientos que debería de contar el SEN para asegurar sus accesos tales como:
Buenas prácticas que describen las normas internacionales con relación a la seguridad física y lógica.
Las normas de seguridad física y lógica son aquellas que buscan proteger los dispositivos, equipos, datos y sistemas que utilizamos para acceder y gestionar nuestra información.
Algunas medidas de seguridad física:
Algunas medidas de seguridad lógica:
Tipos de intrusos que podemos identificar
Antes de conocer los tipos de intrusos a nivel del sector eléctrico, debemos de comprender el concepto del término Riesgo el cuál se describe como la exposición a una situación donde hay una posibilidad de sufrir un daño o de estar en peligro.
Estos daños pueden ser causados de forma consciente o inconsciente, por los siguientes tipos de intrusos que se pueden aprovechar vulnerabilidades en los accesos:
Con lo antes mencionado y analizando los capítulos CIP-005 y CIP00-6 podemos comprender que los riesgos relacionas a los accesos por intrusión, vienen definidos en tres niveles que pueden impactar los Ciber Activos y Ciber Sistemas SEN que interactúan de forma interna o externa con los perímetros de seguridad electrónica y perímetros de seguridad física establecido por el SEN y que puedan contribuir con la indisponibilidad de las operaciones.
Recomendaciones generales
Mantener una gestión constante de accesos ya que estos son el principal vector de entrada para incidentes de Ciberseguridad.
Las organizaciones y en especial las del sector eléctrico no están exentas a este tipo de riesgos, derivado del perímetro de seguridad electrónica o del perímetro de seguridad física. La diferencia radicara en que tan preparados se encuentren para remediar una vulnerabilidad de esta índole y la capacidad de poder contener este evento según los controles implementados.
Por ello juega valor fundamental tener políticas y procedimientos que describan la periodicidad con que se deben de realizar los seguimientos relacionados a los accesos otorgados al personal, con la finalidad de evitar tener accesos habilitados de personal que ya no labora en la organización o por el contrario personal activo que no usa sus cuentas de acceso. Todo esto ayudara a poder tener una mayor visibilidad de este tipo de eventos para que puedan ser atendidos al momento y no luego de presentarse un incidente que deteriore las operaciones.