1

Manejando el ciber riesgo operacional

IEC 62443 – CIBERSEGURIDAD EN TO, ES NECESARIO?

IngIngIngIng. Gabriel Faifman. Gabriel Faifman. Gabriel Faifman. Gabriel Faifman

Gabriel es Director de Programas Estratégicos de Wurldtech. Es uno de los expertos que representa a Canadá en el desarrollo del estándar de ciberseguridad para Sistemas de Control Industrial IEC 62443-2-4 (TC65 WG10 / WG3). Miembro con derecho a voto en el comité ISA99.

Por mas de 25 años ha diseñado, instalado y operado soluciones de automatización y protección de infraestructuras criticas incluyendo energía, petróleo, bebidas y alimentos, y transporte. Planeo y opero la ciberseguridad del Aeropuerto Internacional de Vancouver durante los Juegos Olímpicos de Invierno 2010

Gabriel es Ingeniero Electrónico de la Universidad de Buenos Aires. Certificado por la National Security Agency (NSA) como Infosec Professional, ha participado en ejercicios defensivos con organismos de seguridad.

2

TIMELINE• Fundada en Septiembre de 2006; Adquirida por GE en 2014 como subsidiaria

independiente.

LOCATIONS• Vancouver, Canada; San Ramon, California; Netherlands

CUSTOMERS• Operadores, desarrolladores de dispositivos y proveedores de automatización; 5

de las 6 compañías top de oil & gas; 9 de 10 proveedores top de automatización

VERTICAL MARKETS• Distribuidoras de Energía eléctrica, oil & gas, transporte y salud (biomedicina)

SOLUTIONS• Productos, servicios, y certificaciones de seguridad para Tecnología Operational

AcercaAcercaAcercaAcerca de Wurldtechde Wurldtechde Wurldtechde Wurldtech

CiberseguridadCiberseguridadCiberseguridadCiberseguridad enenenen tecnologtecnologtecnologtecnologíííía a a a operacionaloperacionaloperacionaloperacional

� Ahora ciberseguridad, qué cambió?

� TI y TO – Similares o diferentes

� Ciclo de vida en ciberseguridad

� Reinventar la rueda ? – aprendiendo a usar IEC 62443

3

y el riesgo en las operaciones avanza en silencio

Las amenazas ciber están aumentando

UKRAINEGERMANYNEW YORK

201520142013

New York Dam German Steel Mill

Power Grid

4

CIBER SEGURIDAD EN NUMEROS

91%

SOURCES:1. Bayar, T. (2014, Oct. 14). Cybersecurity in the power sector. Power Engineering International, Vol. 22/#9.2.Barron-Lopez, L. (2014, Jul. 15). Cyber threats put energy sector on red alert. TheHill.com.3. Ponemon Institute. (2014, Oct. 30). 2014 Global Report on the Cost of Cyber Crime. Ponemon.org.Critical Infrastructure: Security Preparedness and Maturity (July 2014), Unisys and Ponemon

70% Cerca del 70% de ejecutivos de compañías distribuidoras, O&G, manufactura y energia reportaron por lo menos una violacion de seguridad en los últimos 12 meses

40%

78% Está a la espera de que un exploit exitoso sea alcance sus sistemas de automatización ICS/SCADA durante los próximos dos años

En 2013, 91% de organizaciones generadoras de potencia sufrieron un ciber ataque. 1

40% de todos los ciber ataques tienen como blanco el sector energético

66%de lasorganizaciones no están preparadaspara hacer frente a incidentes de seguridad de OT

2015 Global Megatrends in Cybersecurity, Raytheon and Ponemon

…Y LAS ORGANIZACIONESNO ESTAN PREPARADAS

5

AlgoAlgoAlgoAlgo estáestáestáestá cambiandocambiandocambiandocambiando…………

En los ’80+:OT Services

Engineering Services

IT Services

Component Supplier

6

En los ’90+:OT Services

Engineering Services

IT Services

Component Supplier

En el ’00+:OT Services

Engineering Services

IT Services

Component Supplier

7

En el ’10+:OT Services

Engineering Services

IT Services

Component Supplier

Hoy:

8

I

IT GRANCUAL ES LA

DIFERENCIA?

O

OT

ITSeguridad se refiere a

data

OTgenteambienteequipamiento

Riesgo y SAFETY

UPTIMEcalidad y performance

9

EnfoqueEnfoqueEnfoqueEnfoque: TI & OT: TI & OT: TI & OT: TI & OTSeguridad Ciber física Enfoque

Characteristic IT OT

Objetivo de proteccion CIA CAIC

Cobertura Tecnologica TI típico( MICROSFT, APPLE,

Linux)

IT + Embedded Real-time OT

Ciclo de patcheo Días o semanas Años, o generacional

Arquitectura y Protocolos

de Red

TI típico

algun ICS SCADA

OT, ICS, SCADA standards &

proprietario

Application Policy TI granular

No OT

Especifica para el dominio

OT granular

Objetivo de las Signatures Identificar Applicaciones y

controlar el rendimiento de la

red

Precisión y profundidad

operacional

Ambiente Rack de TI Rack de TI &

OT ambiente industrial

The CIA Triad

Confidentiality

AvailabilityIntegrity

IT

The CAIC DiamondOT

Availability Integrity

Confidentiality

Control

Prioridades diferentes afectan el impactoPrioridades diferentes afectan el impactoPrioridades diferentes afectan el impactoPrioridades diferentes afectan el impacto

No hay más “air gaps”Superficies de ataque complejas

Amenazas mutuas con consecuencias críticas

Tecnología de la Información Tecnología Operacional

Confiabilidad • Fallas ocacionales son tolerables

• Beta test durante implementación son aceptables

• Interrupciones no son tolerables

• Exhaustivo control de calidad y testeo de fallas es la expectativa

Impacto del riesgo • Pérdidad de datos • Pérdida de tiempo de ejecución($), equipmento, vidas

Gestión de riesgos • Recuperación reiniciando o reemplazando

• Safety no es un problema

• Tolerancia a las fallas es esencial

• Análisis explícito de riesgo es la expectativa

Seguridad • La mayoría de los sitios no son seguros

• Poca separación entre intranets

• Enfocado

• Centrado en asegurar recursos clave o centrales

• Estricta seguridad física en sistemas clave

• Separación entre redes Corporate y Control de Proceso

• Centrados en la estabilidad pero los dispositivos de frontera pueden

no estar controlados (TI vs OT)

Rendimiento • Demanda de Alto Rendimiento

• Alto retardo o variaciones en el retardo son aceptables

• Rendimiento modesto es aceptable

• Alto retardo o variaciones en el retardo son aceptables

• Integridad es fundamental

10

Consecuencias de ataques en infraestructura críticaConsecuencias de ataques en infraestructura críticaConsecuencias de ataques en infraestructura críticaConsecuencias de ataques en infraestructura crítica

Explosión de un oleoducto causado por un ataque remoto

Choque de un Prius a través de un teléfono celular

Planta de Tratamiento de aguas servidas se derramo en el río

Marcapasos hackeado causa un ataque al corazón

NUESTRO AMBIENTE YA TIENE SUS DESAFIOS…

Expectativa de producción24x7

No puedo controlaren forma directa mi ambiente

No veo misvulnerabilidadesimplica que tampocoveo las amenazas

Cualquier incidentepuede truncar toda la producción

11

IEC 62443: yendo en la dirección correctaIEC 62443: yendo en la dirección correctaIEC 62443: yendo en la dirección correctaIEC 62443: yendo en la dirección correcta

ISA99 ISA99 ISA99 ISA99 ---- el el el el alcancealcancealcancealcance de la de la de la de la organizacionorganizacionorganizacionorganizacion

Proveer soluciones para Sistemas industriales de automatización y control que si fueran comprometido podrían:

• Poner en peligro la seguridad publica o de los trabajadores

• Dañar el medio ambiente

• Provocar perdida de confianza del publico

• Violar regulaciones existentes

• Exponer información confidencial or propiedad intelectual

• Provocar una perdida económica

• Impactar instituciones publicas (municipales, provinciales y/o nacionales)

12

IEC 62443 SeriesIEC 62443 SeriesIEC 62443 SeriesIEC 62443 Series

• El estándar ISA/IEC 62443 es una serie de documentos que proveen guias acerca de como mejorar la seguridad de sistemasde control y automatización (IACS)

• El estándar está escrito para vendors, proveedores de serviciostales como integración, comisionado, mantenimiento y operadores.

• El estándar comprende 13 documentos individuales agrupadosen cuatro categorías como muestra la próxima diapositiva.

WIB 2.0 WIB 2.0 WIB 2.0 WIB 2.0 fuefuefuefue

integradointegradointegradointegrado

dentrodentrodentrodentro del del del del

estándarestándarestándarestándar IEC IEC IEC IEC

62443624436244362443

IECEE Conformance

Assessment expected

Early 2017

13

La La La La evoluciónevoluciónevoluciónevolución haciahaciahaciahacia el el el el EstándarEstándarEstándarEstándar InternacionalInternacionalInternacionalInternacional

IEC 62443IEC 62443IEC 62443IEC 62443----2222----4: el 4: el 4: el 4: el EstándarEstándarEstándarEstándar InternacionalInternacionalInternacionalInternacional ���� certificablecertificablecertificablecertificable

• El Estándar fue aprobado en Abril / 2014 con voto unánime y publicado por IEC en Julio / 2015

• Está basado en los ‘Requerimientos de Seguridad para Vendors del Dominio de Control de Procesos’ – originalmente WIB 2.0

• Los requerimientos están organizado en ‘Capability Groups’ pueden alinearse con típicas ofertas de servicios y soluciones.

• Wurldtech lidera la migración del programa APC (Achilles Practices Certification) tranformandolo en un programa de evaluación de conformidad del IECEE

• El programa de IECEE sera un programa internacional que cuenta con laboratorios de testeo alrededor del mundo que proveencertificaciones consistentes y recíprocas

14

ISA 62443ISA 62443ISA 62443ISA 62443----2222----4 4 4 4 –––– RequiremientosRequiremientosRequiremientosRequiremientos para para para para ProgramasProgramasProgramasProgramas de de de de SeguridadSeguridadSeguridadSeguridad

• ISA/IEC 62443-2-4 tiene 123 Requerimientos de Seguridadorganizados en 12 Areas Funcionales.

• Los Requiremientos abordan las areas de integración y mantenimiento, con referencias directas a requerimientosde seguridad para productos.

Value SP Req ID

Solution staffing SP.01.XX

Assurance SP.02.XX

Architecture SP.03.XX

Wireless SP.04.XX

SIS SP.05.XX

Configuration management SP.06.XX

Remote access SP.07.XX

Event management SP.08.XX

Account management SP.09.XX

Malware protection SP.10.XX

Patch Management SP.11.XX

Backup/Restore SP.12.XX

Maturity ModelMaturity ModelMaturity ModelMaturity ModelUsado para medir la madurez de las capacidades de seguridad

Ad-hoc, (sin proceso formal)

Definido(formal, proceso repetible)

Practicado(ejecutado en algunprojecto para un cliente)

e.g. Contrato; SOW

e.g. Procedimientos escritos, materiales de entrenamiento

e.g. Checklist completo

e.g. Procedimientos mejorados

Mejoramiento continuo(los procesos evolucionanbasados en experiencia)

15

DefiniendoDefiniendoDefiniendoDefiniendo el el el el alcancealcancealcancealcance del standarddel standarddel standarddel standard

Integrated Risk

Management

Framework

Product

Development

Solution

Integration

FAT/SAT

Commissioning

Maintenance

Services

OperationsAssessMonitor

Validate

baseline

Mitigate

AssessMonitor

Validate

baseline

Mitigate

AssessMonitor

Validate

baseline

Mitigate

AssessMonitor

Validate

baseline

Mitigate

CiclosCiclosCiclosCiclos de de de de vidavidavidavida entrelazadosentrelazadosentrelazadosentrelazados

• Security Docs

• Hardening Guide

• Security QA

• Security Product

Support

• Security Docs

• Updated

Security Profiles

• Security Tasks

Checklist

16

Purdue Model Purdue Model Purdue Model Purdue Model –––– ModeloModeloModeloModelo funcionalfuncionalfuncionalfuncional

Level 5

Level 4

Level 3

Level 2

Level 1

Level 0

Enterprise NetworkRouter

E-Mail, Intranet, etc… Site Business Planning and Logistic Network

Terminal Services

PatchManagement

AV Server

Historian Mirror

Web Services Operations

Application Server

Firewall

Firewall

WebE-Mail

CIP

Factory Talk Application Server

Factory Talk Directory

EngineeringWorkstation

Operations and ControlWorkstation

Factory Talk Client

Operator Interface

Factory Talk Client

Engineering Workstation

Operator Interface

Area Supervisory Control

BatchControl

DiscreteControl

DriveControl

Continuous Process Control

Safety Control

BasicControl

Sensors Drives Actuators Robots Process

Enterprise Zone

DMZ

Operations Zone

SCADA

Industrial

Control Systems

OperacionesOperacionesOperacionesOperaciones estaestaestaesta bajobajobajobajo

presiónpresiónpresiónpresión

• Mayores demandas de

eficiencia, más

producción y bajar costos

• Ataques nuevos y mas

sofisticados

• Cambios legales y

regulación

INFILTRACION A TRAVES

DE REDES DE TI

VULNERABLE,

EQUIPAMIENTO ANTICUADO

CONFORMAR NUEVOS

REQUERIMIENTOS

17

NuestraNuestraNuestraNuestra experienciaexperienciaexperienciaexperiencia

Soluciones de seguridad integrada en el ciclo de vidaSoluciones de seguridad integrada en el ciclo de vidaSoluciones de seguridad integrada en el ciclo de vidaSoluciones de seguridad integrada en el ciclo de vida

Evaluación de postura de seguridad

PPT (People, Process & Technology)

• Evaluación de Prácticas y

Servicios de Consultoría

• Evaluación de dispositivos

embebidos

• Evaluación de aplicaciones de

software

• Evaluación de cumplimiento de

NERC-CIP and ISO/IEC 62443

• Achilles Test Platform

Protección para SCADA &

infraestructura crítica

• Achilles Threat Intelligence Software

• Achilles Industrial Security Training

• OPShield

• Autolearning: creando una baseline del

dataflow

• Segmentando las redes aunque sean

planas evitando recableado.

• Inspecionando protocolos industriales a

nivel commando

• Utilizando inteligencia para identificar

amenazas cuyo blanco es equipamiento

industrial.Certificación de dispositivos y prácticas

• Achilles Communication Certification

• Achilles Practices Certification

18

INSPECCIONcomunicaciones y

comandoss

ENFORZARpoliticas para

todos lo procesos

PROTEGERsistemas de control

y equipamiento

LA SOLUCION IDEAL DEBEPROTEGER SUS SISTEMAS DE CONTROL

PARA PROTEGER SU EQUIPAMIENTO CRITICO

RESULTAProteger equipamento

critico sin interrupciones

Resumen y conclusiónResumen y conclusiónResumen y conclusiónResumen y conclusión

• Ir pensando en hacer un ejercicio y evaluar mi postura de seguridad, de mi sitio, las soluciones implementadas, de mi gente

• Entender mi instalacion, mi ecosistema y su ciclo de vida, desde SST laboral hasta obligaciones regulatorias

• Integrar prácticas de seguridad básicas

• Estrecho involucramiento de mis proveedores es clave

• Integrar seguridad en diseño general del sistema completo

• Una falla de la implementación tienen tanto impacto como una falla de diseño .

19

Por donde empezar?� Evaluaciones de Sitios

� Evaluaciones de Arquitecturas

� Evaluaciones de Equipamiento

� Desarrollo de estrategias de Seguridad

� OPShield

� Contacte Wurldtech

Gabriel Faifman: gfaifman@wurldtech.com

Contactenos:Contactenos:Contactenos:Contactenos:

Gracias!