InfoSecMan Blog

• Resumen de la pasada Jornada sobre Protección de Infraestructuras Críticas en Gijón: http://t.co/yeT5J2D #
• Good! RT @PatrickCMiller: DOE, NIST, NERC (and others) issue Risk Management Process Guideline for the electric sector http://t.co/rbqlWmF #
• RT @_joviann_ [New Scientist] Air traffic system vulnerable to cyber attack http://t.co/yk30RJv #tech #
• En el tren camino a Madrid trabajando… cuando llega el vino y la comida? 😉 #
• Buen resumen equipo! @equipom45: La Estrategia Española de Seguridad (EES): Declaración de intenciones
  http://t.co/9ATDLnc #
• Now at Madrid, tomorrow trip to Paris, next Barcelona, last Asturias. Such a busy week with different weathers isn't goot for my cold 😛 #
• Ho Ho! @Dennis_Boas: A Stuxnet Apocalypse?: http://t.co/FbtEpPp via Infosec Island #security #infosec #
• Mmm… interesting! RT @firetux: McAfee introduces anti-rootkit security beyond the OS http://t.co/VU2glIE #
• I've just arrived @ Paris. Now in train on my way to Massy-Palaiseau… long long day 😛 #
• +1 @jadedsecurity: Infosec has been taken over "Sell me a big box with blinky lights that protects everything" <- Blinky lights cost extra #
• @chusvega jejeje A ver si mañana me das la bienvenida en catalán 😉 in reply to chusvega #
• Interesting discussion about human factors in social decisions this morning @ Paris…. #
• I've just arrived @ Barcelona. Tomorrow interesting day in the ICS Security workshop of ENISA. See you? #
• Antivirus Protection for SCADA Security – A Silver Bullet? http://t.co/ZgIpeBFm via @tofinosecurity #
• @chusvega No esperaba menos de ti Chusin! 😉 Gracias! in reply to chusvega #
• Creative! @AusCERT: Australia’s first ever Cyber White Paper – have your say at http://t.co/YPjWXdNP #
• Cuando el spam duele: recibo emails periódicamente desde la dirección de un familiar recientemente fallecido 🙁 #
• Manel Medina (ENISA) presenting ENISA's Resilience and CIIP Program #ENISAICSSecurity #
• Smart grids as an important issue regarding ICS Security… #ENISAICSSecurity #
• Alejandro Pinto-Gonzalez (DG INFSO EU) presenting EU Policy Context #
• Public Private Partnership: a key issue in ICS Protection #ENISAICSSecurity #
• Zoltan Precsenyi (Symantec) presenting "Cyberthreats to Industrial Control Systems" #ENISAICSSecurity #
• Auke Huistra (CPNI NL) talking about "Public Private Partnerships in The Netherlands and Europe" #ENISAICSSecurity #
• Now introducing the E-SCSIE, their work, main topics and so on #ENISAICSSecurity #
• Ha! There is a National Roadmap to Secure Process Control Systems in The Netherlands. Well done! #ENISAICSSecurity #
• Really good work done by CPNI.NL, good initiatives, better staff, next publications, etc. Congratulations! #ENISAICSSecurity #
• Al menos un lustro 🙁 @EFOJONC: @InfosecManBlog Nos estamos quedando muy atras!!! #
• Really good work done by CPNI.NL, good initiatives, better staff, next publications, etc. Congrats! #ENISAICSSecurity @cybercrime_ie #
• Bart de Wijs (ABB) presenting the ABB view of ICS Security #ENISAICSSecurity #
• ABB is saying they stress importance of cybersecurity with clients that don't care about it… Really? #ENISAICSSecurity #
• "Compliance or certification shoud be natural step or a side effect of any sound security program" (ABB) #ENISAICSSecurity #
• ABB's device security assurance center. >120 tests performed in 2010 #ENISAICSSecurity #
• Now talking about the benefits of ABB-Industrial Defender partnering for end users… #ENISAICSSecurity #
• Good presentation os ABB as ano ICS Manufacturer. Good approaches! #ENISAICSSecurity #
• Rafal Leszczyna (ENISA) presenting "ENISA Recommendations on ICS Security" #ENISAICSSecurity #
• R1: Creation of National and Pan-European ICS Security Strategies #ENISAICSSecurity #
• R2: Developing Good Practices Guides for ICS Security #ENISAICSSecurity #
• R3: Developing ICS Security Plan Templates #ENISAICSSecurity #
• R4: Awareness and Training #ENISAICSSecurity #
• R5: Common Test Bed or ICS Security Certification Framework #
• R6: Creation of National ICS-CERTS #ENISAICSSecurity #
• R7: Research in ICS Security #ENISAICSSecurity #
• Elyoenai Egozcue (S21sec) explaining the ENISA ICS Security Study #ENISAICSSecurity #
• @lostinsecurity 🙂 Good professional and good guy! in reply to lostinsecurity #
• Now time for discussion by all participants moderated by ENISA #ENISAICSSecurity #
• Nice to see such a group of professionals from all over Europe discussing interesting topics about ICS Security #ENISAICSSecurity #
• Por qué no hacemos lo mismo a nivel nacional??? Somos competidores en muchas cosas pero seguro que colaboradores en muchas más! En fin… #
• My PERSONAL conclusions after a really interesting day: in ICS Security Europe is about 5 years from US, Spain is about 5 years from Europe #
• So Spain on ICS Security is about 10 years from US #ENISAICSSecurity #
• Anyway, really good work from ENISA and all stakeholders. Congratulations!! This is the way to improve! #ENISAICSSecurity #
• "Estudio sobre la Seguridad en los Sistemas de Control Industrial de ENISA" (Blog post, spanish): http://t.co/J5exmOLT #
• Boarding last flight of this week on my way to home. Yeah!! Every last nights in a different country. Crazy week 😛 #
• Department of Energy Releases New Roadmap to Guide Public-Private Initiatives: http://t.co/tCWjvqEr #

Powered by Twitter Tools

En fechas próximas ENISA publicará el Estudio “Protecting Industrial Control Systems: Recommendations for Europe and Member States” en el que he tenido la oportunidad de participar en calidad de experto.

Hoy se ha celebrado en Barcelona el workshop “Industrial Control Systems Security” en el que los participantes en el estudio hemos discutido el borrador del mismo y consensuado los contenidos que aparecerán en su versión final. El workshop ha sido todo un éxito, tanto en su organización como en su participación con más de 40 expertos de distintos países y organizaciones (usuarios finales, integradores, fabricantes, universidades, centros de investigación) discutiendo sobre este tema de tanto interés.

Aunque no quiero adelantar su contenido hasta su publicación oficial, sí podemos decir que el mismo se ha basado en el envío de encuestas a más de 100 expertos europeos, entrevistas personales con más de 20 (entre los que tengo el orgullo de encontrarme) y el estudio del estado del arte, publicaciones, estándares, etc. existentes a nivel no sólo europeo, sino también internacional.

El resultado, un entregable excelente con un contenido de mucho valor que resume fielmente la situación existente en este ámbito y una serie de recomendaciones para Europa y los Estados Miembros. Vayan desde aquí mis felicitaciones al equipo de ENISA y de S21Sec que lo han desarrollado y cómo no, también para todos los “stakeholders” que hemos participado en el mismo.

Mencionaré únicamente como adelanto la recomendaciones generales que hace el estudio en su actual estado de borrador (ya las he ido adelantando hoy en mi twitter):

– Recomendación 1: Creación de Estrategias Nacionales y Paneuropeas de Seguridad de los Sistemas de Control Indutrial (SCI en adelante)

– Recomendación 2: Creación de Guías de Buenas Prácticas para la Seguridad de los SCI

– Recomendación 3: Creación de Plantillas de Planes de Seguridad de SCI

– Recomendación 4: Aumentar la Concienciación y Formación

– Recomendación 5: Creación de un “test-bed” común, o alternativamente, una Certificación de Seguridad de SCI

– Recomendación 6: Creación de CERTs de SCI Nacionales

– Recomendación 7: Aumentar la Investigación en Seguridad de SCI, mejorando los Programas de Investigación existentes

Dicho esto, una de mis conclusiones personales es que, en este campo, en cuanto a iniciativas, política, organización, investigación, etc., Europa está al menos 5 años por detrás de Estados Unidos, y que España está al menos 5 años por detrás de Europa, y por tanto, mi impresión es que España está al menos 10 años por detrás de Estados Unidos. Una década es mucho tiempo, pero creo que no lograremos equipararnos al mismo nivel antes, sinceramente. Ojalá me equivoque…

En cualquier caso, creo que iniciativas como esta deben ser el comienzo de un largo camino hacia la mejora de la seguridad en este ámbito, tan necesaria si queremos contar con la competitividad que todos predicamos en los últimos tiempos.

Dejadme lanzar una pregunta al aire: ¿Por qué no se organiza en nuestro país un grupo de trabajo de especialistas en este ámbito de igual forma, aunque sea informalmente? Todos somos competidores, pero estoy seguro que podemos ser colaboradores en muchos casos…. ¿o vivo en el país de los pájaros y flores? 😛

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

• Comenzando una semana con mucho lio y viajes. Dentro de un poquito primera charla sobre Ciberseguridad Entorno Industrial tras vacaciones 🙂 #
• Mmm… El Húmedo seduce, pero aun no lo tengo claro, veremos @micazorla: @InfosecManBlog Espero que estés pensando ya en una para #5ENISE 😉 #
• Alicia Veira (Cluster TIC Asturias) presentando la Jornada de Protección de Infraestructuras Críticas #
• José Manuel García Diego (Caja Cantabria) hablando de la seguridad bancaria como precedente de la Prot. De Infr. Críticas… #
• José Manuel (Caja Cantabria) explicando de forma clara y sencilla el caso de Stuxnet #
• "La Seguridad es relativa, la Inseguridad es absoluta" #JornadaPICAsturias #
• Muy buena ponencia de José Manuel García (Caja Cantabria). Clara, sencilla, de fácil entendimiento. Enhorabuena. #
• "Se pueden hacer las cosas a prueba de bombas pero no a prueba de idiotas" Buena perla 😉 #JornadaPICAsturias #
• "Necesitamos Directores de Seguridad C-Suite (CSO, etc.), no Directores de Seguridad 3G (Gun, Guard, Gate)" #JornadaPICAsturias #
• Martin Pastrana (Garrigues) sobre Aspectos Jurídicos de la Normativa PIC #JornadaPICAsturias #
• Honorina Diaz (Start Up) sobre Adecuación Técnica de los Sistemas de Información en la Prot. de Infr. Críticas #JornadaPICAsturias #
• Gracias Bea! @beacandano: Samuel Linares AKA @InfosecManBlog contandonos los secretos de la CiberSeguridad en entornos industriales #
• Waiting to board to Brussels @ Barcelona Airport #
• Quién se quejaba en Asturias del tiempo? En Bruselas ya en "invierno": fresco, lluvia y viento. Asturias=Trópico 🙂 #
• DDOS: Delayed DOS 😉 @reversemode: I just planted a tree carefully placed below a recondite 345kV line. It's only a matter of years. #apt #
• "Ciberespacio, crimen organizado y seguridad nacional" http://t.co/qO6Tl96 Buen artículo! #
• Nueva Entrega Serie Prot. Infr. Críticas: "Tendencias Tecnológicas y Mercado Actual Ciberseg. Entornos Industriales" http://t.co/lQjI9dl #
• +1 @symantec: Cyber Security: A State of Digital Denial. Protecting critical information is of paramount concern: http://t.co/H5z4CFo #
• +Sec Requirements!! @SecurityWeek: Car Hacking: Researchers Highlight Emerging Risks and Lack of Security in Automobiles http://t.co/nJrQind #
• I love the access control for breakfast in hotels… 😉 Thanks sir! #
• Interesting presentations and workgroup today @ UK Research Office in Brussels #
• Researching other topics of global security regarding national borders and threats identification. Interesting day @ Brussels #
• Do the physical security devices that control our nations include cybersecurity requirements? What do you think?, "stuxnet"+border checks… #
• @jgago Thanks Javier! in reply to jgago #
• Felicidades en el Dia de Asturias a todos los "Asturianos por el Mundo" que, como yo, hoy lo celebran fuera de la "Tierrina" 🙂 #
• Today talking about ethics and privacy issues in security projects @ Research Executive Agency, Brussels #
• Exactly the same for Madrid-Gijón! @lostinsecurity: This is insane. Madrid-Valladolid 1:15. Madrid-San Sebastian 5:30 #
• Right! But from Leon (2+ hours) there's no signal at all @lostinsecurity 🙁 at least we have plenty of time to work in the train :p #
• Puxa! "@LorenaAlvrz: @pedro_agb @InfosecManBlog puxa asturies!Gracias @pedro_agb :-)" #
• Muy interesante! @DarkOperator: Cómo es el ecosistema del crimen cibernético en Latinoamérica http://t.co/3Cq81IX #
• Sure! @isssource: SCADA Security Alert:Mobile Workers.Security professionals need to think of all possible entry points. http://t.co/S7XHUdA #
• +1 🙂 @JoeBaguley: OH "The sole point of economic forecasting is to make astrology look credible" <- also most Security Metrics/Numerology #
• A lot of ethics codes don't allow me to show more, but there are main industrial control centers protected with obvious (& short) passwords #
• @mikkohypponen There are main industrial control centers protected with obvious (& short) passwords (personal experience) 😛 #
• Really good!! @niaf: [Publication] CPNI "Development and Implementation of Secure Web Applications": http://t.co/1oMfQBN (PDF) < good stuff #
• Mmmm…. @NachoRedondo: Gracias a EWON y talk2M los robots de ABB aportan servicio remoto a escala global – http://t.co/pBWgwWN #M2M #
• @NachoRedondo Podrías dar detalle (público) sobre ciberseguridad de la solución? Robots+acceso remoto+java+gprs no mola mucho a priori 😛 in reply to NachoRedondo #
• ABB offers remote access global service with eWon&Talk2M. Does anybody know about its solution cybersecurity details? http://t.co/X3mXST7 #
• Remote access+JAVA+GPRS+industrial robots scares me… #
• Leaving Brussels after an interesting work week, better colleagues and discovering new horizons in global security. Time to go back home! #
• @jgago I know, I know, that's one of the reasons of my question 🙂 … But there are much more 😉 in reply to jgago #
• @NachoRedondo Gracias Nacho! A ver si alguien internacional nos amplia información. Tiene consideraciones de seguridad importantísimas in reply to NachoRedondo #
• Really interesting! @PrivacyProf: Ghost town being built for energy experiments will test #smartgrid #security http://t.co/RJUPCTa #
• Qué bien, 3 horas de espera en el Aeropuerto de Barcelona y el aire acondicionado no funciona 😛 #
• CMOS error @ Barcelona Airport 🙂 http://t.co/rJU6lRJ #
• SCADA Malware Infection Demonstration (from the SCADASEC list): http://t.co/IKKZdHR #
• @NachoRedondo @ewonrouters Thanks Nacho!! in reply to NachoRedondo #

Powered by Twitter Tools

Como ya hemos comentado en las entregas anteriores, los sistemas de control industrial son cada vez más parecidos a los sistemas tradicionales de Tecnologías de la Información, obteniendo todo lo bueno de estos sistemas como el abaratamiento de costes, mayor flexibilidad, nuevas capacidades, menor necesidad de formación, etc. pero exponiéndose a su vez a todo lo malo como virus y malware, bugs y vulnerabilidades de software, actualizaciones continuas necesarias, etc.

¿Cuáles deberían ser los siguientes pasos ante este nuevo escenario? Es claro que los principales actores en el escenario (fabricantes de sistemas de control y de dispositivos de seguridad, empresas, asociaciones profesionales, ingenierías e integradores) deberían tomar las riendas de los cambios y adaptarse al nuevo entorno.

Los fabricantes de sistemas de control industrial deberían incorporar la seguridad como un requisito más en el diseño de sus productos y arquitecturas incluyendo autenticación fuerte, criptografía y las medidas de seguridad habituales que se incorporan ya de facto en la mayoría de sistemas de TI tradicionales.

La realidad es bien distinta. A día de hoy muy pocos fabricantes de sistemas de control industrial y SCADA están teniendo en cuenta la seguridad seriamente en el diseño de sus productos y soluciones y prueba de ello es la continua publicación desde la aparición de Stuxnet de numerosas vulnerabilidades de distintos fabricantes de conocida reputación en el ámbito industrial. Semanalmente el número de problemas de seguridad publicados en este tipo de sistemas está creciendo exponencialmente.

Los fabricantes de dispositivos de seguridad TIC, por su parte, deberían tener en cuenta las características y requisitos de los sistemas industriales incluyendo entre sus capacidades y funciones el manejo adecuado de los protocolos específicos en este ámbito, así como la incorporación de mecanismos de funcionamiento en tiempo real.

Lamentablemente los principales fabricantes de dispositivos de seguridad del mercado no reconocen a día de hoy la gran mayoría de los protocolos industriales con lo que para la mayoría de las soluciones de seguridad lógica tradicionales implantadas en las compañías,  la comunicación, vulnerabilidades y características de los sistemas industriales son “invisibles”. Sólo existen unos pocos fabricantes en el mercado internacional que han desarrollado productos “de nicho” ofreciendo unos dispositivos de seguridad pensados especialmente para el entorno industrial, que reconocen sus protocolos, características y vulnerabilidades, pero que tienen una cuota de mercado bajísima si lo comparamos con los fabricantes de dispositivos de seguridad tradicionales. En los últimos días precisamente hemos asistido a algunos movimientos en el mercado en este sentido con la reciente adquisición de Byres Security (fabricante de los dispositivos Tofino) por Belden-Hirschmann.

Por su parte, las empresas y usuarios finales tienen como principal gap la falta de concienciación y formación en esta área, además de la, inexistente en muchos casos y deficitaria en otros, comunicación entre las áreas de planta, producción, tecnologías de la información y seguridad. En la mayoría de los casos la organización no es siquiera consciente de los altos riesgos a los que están expuestos ni mucho menos como mitigarlos. Se hace necesaria una labor de divulgación, evangelización y formación importante entre los profesionales de las áreas industrial, de TI y Seguridad.

En este sentido las asociaciones profesionales, de estandarización y sectoriales deberían tomar cierto protagonismo. Existen estándares para la seguridad en los sistemas industriales como ISA 99, para la gestión de la seguridad como ISO 27001 o para la continuidad de negocio como BS 25999, pero, ¿podría tener sentido un estándar o marco de referencia que uniese al menos esos 3 estándares de forma coherente y consistente en el marco que estamos tratando? La respuesta afirmativa parece obvia. Este tipo de iniciativas, así como otras de concienciación y formación deberían ser lideradas por este tipo de asociaciones u organizaciones. A nivel internacional, especialmente en Estados Unidos esta área está mucho más madura y existen iniciativas sectoriales, grupos de trabajo y estudio, etc. mientras que en España únicamente se empiezan a ver tímidas iniciativas de algunas asociaciones como ISA (la Sociedad Internacional de Automatización) que ha incorporado la seguridad como uno de los temas a tratar en sus sesiones
técnicas durante 2011 o INTECO (el Instituto Nacional de Tecnologías de la Comunicación) que en el pasado Encuentro Internacional de la Seguridad de la Información estableció ya un track dedicado a la protección de infraestructuras críticas en el que se trataron también estos temas.

Finalmente uno de los actores con mayor relevancia para el cambio que estamos comentando son las ingenierías e integradores, que son los encargados de diseñar, construir, implantar y en muchos casos mantener las instalaciones industriales. La incorporación de la seguridad no sólo física sino también lógica o ciberseguridad como un requisito más a tener en cuenta dentro de los cuantiosos proyectos que llevan a cabo debe ser un paso imprescindible para conseguir los objetivos que se persiguen. El incremento en los costes globales de este tipo de proyectos por la inclusión de este requisito es mínimo respecto a las ventajas en la disminución de los riesgos asumidos por la organización y por ende, de la nación en muchos casos.

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

• +1 @jgfanjul: Último día de vacaciones. #CuatroPalabrasHorribles #
• No tengo ni mochila ni libros nuevos y sigo con las mismas libretas… algo va mal en este comienzo de curso 😛 😉 #
• "1st day of school" after holidays: same books, colleagues, news, articles and topics. Worried to see there's nothing new "under the sun"… #
• Anyone attending "Energy and Utility Cyber Security Summit" in Amsterdam , Netherlands, next 8th-9th November? http://t.co/HUJnPSR #
• 'Morto' worm tries weak passwds and default account names to spread using RDP: http://t.co/lnGmHsD Take a look at your def. acc. & passwds! #
• @reversemode Congrats friend!! in reply to reversemode #
• Wow! RT @tofinosecurity: Big news for Byres Security today, we have been acquired by Belden / Hirschmann http://ow.ly/6iRiR #SCADA #Security #
• @tofinosecurity Congrats Eric! in reply to tofinosecurity #
• +1 RT @EFOJONC: #masdelomismo Para cuando una estrategia nacional en materia de ciberseguridad? No sigamos mirando hacia otro lado. #
• Hard days coming back from my summer holidays. All messages answered. Ready to go! 🙂 #
• Anybody next week in Brussels for the Info Day on the FP7-SEC-2012-1 Security Research Call? See you there! #
• @jgago thx Javier! You're right! in reply to jgago #

Powered by Twitter Tools

• Sigue existiendo el mundo ahi? Qué tal la Ciberseguridad? Más brechas? Aun me queda más de una semana para volveerrr 🙂 lo lo lo… 😉 #
• #offtopic Hoy vuelta a Gijón tras unos fantásticos días en las montañas de Boal. Mañana actuación de JLBatá en la Plaza Ayto. de Avilés 😉 #

Powered by Twitter Tools

• Next stop, Boal's Mountains: a real natural paradise. Vacaciones/Holidays! 🙂 #
• Bienvenida al Paraiso 🙂 Si te acercas por el Occidente no dejes de avisar 🙂 @PalomaLLaneza: En Asturias. Viendo llover … #

Powered by Twitter Tools

• Gracias Pedro! RT @pedro_agb: Artículo sobre protección de infraestructuras críticas: http://bit.ly/pFPEKp (Artículo de @InfosecManBlog) #
• @EFOJONC Muchas gracias!! Podría ser podría ser… aunque podría ser un artículo algo controvertido… veremos 😉 in reply to EFOJONC #
• Opiniones? Sugerencias? 🙂 RT @EFOJONC: @InfosecManBlog Tienes pensado escribir mas en profundidad sobre CNPIC? Gran articulo, enhorabuena! #
• Too much info?? "Iberdrola's Spanish Cofrentes Nuclear Power Plant Deploys Waterfall Security's Unidir.l Sec. Gtways": http://bit.ly/pcubCo #
• @lapapaloca Ya os he llamado 🙂 Estaremos hacia las 21h in reply to lapapaloca #
• Gracias! Interesante @EFOJONC: @InfosecManBlog Por si no lo leistes en su dia. http://t.co/gxgr2lC Es divulgativo! #
• @lapapaloca Eso es seguro hombre! 😉 in reply to lapapaloca #
• Lo digo o no lo digo? @ISMSForumSpain: Israel crea su "Ciberdirección" General http://t.co/rAJNj3E vía El Mundo #
• I'll be waiting for it! 🙂 @reversemode: Writing a post involving CERN, LHC, SCADA, passwords… one of the most curious cases I've found #
• Mmm…cuál es la postura oficial de España respecto a la Ciberseguridad de nuestro país? Tenemos postura? (no se vale misionero ni 69) 😛 #
• +1 @digitalbond: Langner has no C-I-A or A-I-C. All variance, fragility, robustness Already making my list of engineer clients to send it to #
• Pandora's Box has opened! RT @nigroeneveld: SCADA Security Widely Discussed at Black Hat in Wake of Stuxnet Attack http://bit.ly/mS5Blx #
• @EFOJONC Gracias Enrique! #
• "Getting started on ICS and SCADA Security (Part 1 of 2)" http://bit.ly/pwVxmv (via @tofinosecurity) #
• Magnífica comida de trabajo analizando las necesidades del sector industrial con grandes amigos. Así da gusto! #
• Oops!!@reversemode: go figure RT @af0ranonym0us: Prepare for next party #Scada National #Electricity knock knock.. we're commin #
• Hoy comenzaré mis vacaciones!!!!! Quizás nos leamos las 2 próximas semanas, pero por si acaso, hasta Septiembre ! 😉 #
• @proactivajandro Gracias Alejandro! Nos vemos a la vuelta 🙂 in reply to proactivajandro #
• @jgfanjul Gracias Jose!! 🙂 in reply to jgfanjul #
• Next two weeks on holidays. See you in September 🙂 #
• @JCalmuntia Gracias Javier!! Nos vemos en septiembre in reply to JCalmuntia #
• Aprovechando lo mejor del Húmedo (León). Patatas infernales done, next La Bicha 🙂 #

Powered by Twitter Tools

• Preparando los contenidos del nuevo portal web de nuestra área de Seguridad en Intermark Tecnologías: Espectación, espectación! 😉 #
• I Totally Agree! Not only smart grid… RT @j3juliano: Big migration of #IT #jobs headed for #smartgrid deployments? http://bit.ly/jjjITj #
• As usual! ;)) RT @luorunzhi: nuestra nueva oficina tiene medidas de seguridad biométricas. Le doy dos semanas hasta que se desactiven XD #
• Presenting industrial cybersecurity to "business people" is always great! They understand the risks and impacts much better than ICT people #
• Organizando semana "extrema" de viajes en Septiembre: precio agencia original, 850€, precio revisando opciones, googleando, etc. 350€ WTF!! #
• "RECIPE: Good Practices Manual for CIP Policies". Topics covered: roles, dependencies of CIP, risk, public-private… http://bit.ly/p83rb8 #
• Nice summary… RT @mmdelrio: Control Systems – Standards & References http://1.usa.gov/oVkHWl vía @uscert_gov #
• Good article! "This is war and your SCADA is the target": http://t.co/6CB9CcK #
• Australian DoD's "Strategies to Mitigate Targeted Cyber Intrusions". Great great paper! (following KISS principle): http://bit.ly/nfhTGo #
• Australian DoD's "Strategies to Mitigate Targeted Cyber Intrusions" follows the same principles as my 6 steps recipe to protect ICS: KISS!! #
• Really good (IMHO) RT @cyberwar: Contrasting US and Oz cyber strategies: http://bit.ly/qFobnX #
• Webcast "CIP Version 5: A whole new ball game", Aug 18, 2011 (9:30-10:30h GMT-6): http://bit.ly/opLATJ #
• Really?? 😉 "Researchers warn of SCADA equipment discoverable via Google": http://cnet.co/nvYwaO #
• Welcome to 80s! "Easter egg in versions of the S7-300 PLC firmw […] html that depicts a handful of dancing chimpanzees"->Barrotes next 😉 #
• Esta tarde haré un paréntesis y me iré a la playa con mis 2 hijas: se lo merecen!! 🙂 #
• @proactivajandro Gracias amigo! in reply to proactivajandro #
• More to come… @tofinosecurity: Beresford @ Black Hat, Part I: Details http://t.co/hcWkKWj via @digitalbond #
• Esto se está poniendo bueno! @hackingmx: J.Strauchs mostrará como abrir prisión remotamente "SCADA&PLCs in Correctional Facilities" #defcon #
• Article in Vanity Fair… 😛 RT @nigroeneveld: Enter the Cyber-dragon http://vnty.fr/pE8IPl #china #cyberwar #infosec #
• "Enlazando las Infraestructuras Críticas y los Sistemas de Control Industrial", nueva entrega serie Prot. Infr. Crit. http://bit.ly/nornmd #
• @yayotrane Gracias amigo! Voy a nombrarte seguidor más fiel 🙂 (las cañas te las pago cuando nos conozcamos personalmente ;)) in reply to yayotrane #
• @ramsesgallego Right! But there are a lot of organizations that don't monitor nor contol yet… 🙁 And not only small ones. Don't forget it. in reply to ramsesgallego #
• @yayotrane Gracias! En Septiembre buscamos la oportunidad in reply to yayotrane #

Powered by Twitter Tools

Las organizaciones existen en un complejo entorno de riesgo regulatorio. La organización típica no tiene implantados los procesos adecuados para monitorizar los cambios regulatorios que le afectan, permitiéndole así determinar el impacto en sus procesos de negocio, priorizarlos y realizar los cambios a las políticas, procedimientos y controles correspondientes. Las nuevas regulaciones, legislación pendiente, cambios de reglas existentes, etc. pueden tener un impacto significativo en la organización.

Tal es el caso de las infraestructuras críticas y las organizaciones que, aún sin serlo, puedan tener necesidades de protección muy superiores a las esperadas. Es conocido que el Catálogo Nacional de Infraestructuras de España está compuesto por 3.600 infraestructuras pertenecientes en un 80% a organizaciones privadas y en un 20% a organizaciones públicas. Todas estas organizaciones están sujetas al cumplimiento de la recientemente aprobada Ley de Protección de Infraestructuras Críticas que les obliga a implantar una serie de medidas y controles de seguridad organizativos y técnicos y por tanto a mantener y gestionar su seguridad de forma adecuada.

Hemos presentado hasta ahora las líneas directrices, planes a medio y largo plazo de la gestión de la seguridad a nivel Europeo y también nacional, pero si continuamos bajando hacia el detalle, las distintas organizaciones deberán desarrollar los correspondientes planes de gestión de su seguridad, no sólo física, sino también lógica o “ciberseguridad” y para ello, además de los correspondientes cambios a nivel organizativo será necesario contar con las herramientas necesarias para aplicar esas medidas de seguridad y más allá de aplicarlas, para gestionarlas de forma integral facilitando así la toma de decisiones estratégicas a los responsables de la organización.

Los sectores críticos industriales como el energético, el transporte o el de telecomunicaciones, entre otros, son pilares clave para la sociedad española y europea. Todas estas organizaciones deben tener en cuenta las vulnerabilidades relacionadas con la tendencia a la interconexión e integración de las infraestructuras de información corporativas con las de planta y producción que hasta ahora venían estando aisladas. Mediante el análisis de las interdependencias y de los “ciber-riesgos”, es claro que queda mucho trabajo por hacer que tendrá una gran influencia en la arquitectura de los futuros sistemas de control. Las compañías eléctricas, organizaciones financieras, compañías de transporte y otros muchos sectores deberán trabajar en arquitecturas que estén protegidas y monitorizadas continuamente en cuanto a su seguridad (no solo a su disponibilidad o eficiencia), de forma que soporten la supervivencia del servicio bajo unas determinadas circunstancias.

Al final, la mayoría de las infraestructuras críticas residen sobre sistemas de control industrial que, debido a la demandada y cada vez más común integración de los “mundos de producción y corporativos”, están  totalmente expuestos a amenazas de ciber-ataques y, evidentemente, a un alto riesgo de fallos importantes para la organización que como ya hemos visto, en muchos casos puede, afectar al estado o nación.

Y es que las cosas han cambiado en el “mundo industrial o de producción”. Basta echar un vistazo a las características de los entornos tecnológicos en los que se basan los sistemas de fabricación o producción. Atendiendo a los resultados del estudio que anualmente viene realizando desde hace 11 años la conocida analista Logica denominado “MES Product Survey”, el escenario no difiere mucho del existente en los entornos corporativos tradicionales:  las bases de datos predominantes son Oracle y SQL Server, los sistemas operativos varían entre Windows (distintas versiones) con más de un 90% de base instalada y otros como Unix  o AS/400; las arquitecturas clientes servidor, los interfaces web son habituales y el estudio concluye indicando que “la tecnología Microsoft es dominante”.  Esta afirmación nos hace ver claramente que las cosas han cambiado. El mundo industrial ya no es un mundo propietario, sino que está utilizando las tecnologías de la información a su alcance.

Cada vez más la integración entre el mundo de planta y el corporativo es un hecho. En los últimos años se está asistiendo a una demanda cada vez mayor desde el negocio de la integración de los sistemas de producción con los sistemas de gestión empresarial (ERP) de las organizaciones. Los presupuestos de gestión e integración de los sistemas de fabricación se han incrementado en más de un 600% atendiendo a los estudios ya mencionados. Además estos nuevos sistemas de gestión de la fabricación no proporcionan únicamente información interna a la compañía sino que cada vez más se pretende ofrecer y ampliar la información hacia los sistemas de los proveedores y por supuesto hacia los clientes ofreciendo así un servicio de mayor calidad y muy valorado en estos entornos. Pero esta apertura a terceras partes, además de introducir nuevas funcionalidades y posibilidades para el negocio, introducen también nuevos medios de acceso a sistemas críticos para las organizaciones que hasta ahora estaban aislados y no estaban preparados para estar expuestos a las nuevas amenazas y vectores de ataque a los que ahora se enfrentan.

La convergencia entre los dos mundos es un hecho. Los sistemas de control ya no están aislados y han pasado de utilizar líneas de comunicaciones serie dedicadas, interfaces físicos y protocolos propietarios a utilizar la misma tecnología y protocolos que cualquiera puede estar utilizando en su casa, con redes Ethernet, inalámbricas compartidas y por supuesto todo basado sobre el protocolo TCP/IP.  Los dispositivos industriales han dejado de utilizar sistemas propietarios para pasar a utilizar sistemas operativos de propósito general (como Microsoft Windows o Linux, entre otros). En definitiva, han heredado todas las características y problemas de las Tecnologías de la Información tradicionales en los entornos corporativos.

Si imaginásemos un mundo donde un simple resfriado pudiese matarnos, estaríamos viendo el mundo de los sistemas de control industrial, en lo que a seguridad se refiere:

– Los sistemas de control han sido diseñados sin introducir los requisitos de ciberseguridad básicos, como se desprende de las noticias que durante el último año hemos estado viendo desde la aparición de Stuxnet, y sin ir más lejos, los hallazgos presentados ayer mismo por Dillon Beresford en la Black Hat 2011 en Las Vegas relativos a las vulnerabilidades de los PLCs S7-300 de Siemens.

– Las redes inalámbricas son habituales en este tipo de entornos, cuando es conocido  que su disponibilidad no está garantizada (olvidándonos ya de la confidencialidad de la información que fluye por ellas). Con un inhibidor de frecuencia de bajo coste es posible inhabilitar una red inalámbrica con las consecuencias que podemos imaginar (por ejemplo que una pala de descarga de carbón deje caer varias toneladas de carbón encima de un grupo de personas en lugar de encima de un camión).

– Existen dispositivos de filtrado (firewalls) habitualmente defendiendo el perímetro, pero en casi ningún caso existe esa seguridad hacia los segmentos internos, cuando se ha demostrado que la mayoría de los ataques o problemas vienen desde dentro.

– Entre el 80 y el 90% de los sistemas SCADA y de control están conectados a las redes corporativas, aun cuando en muchos casos el Departamento de Tecnologías de la Información ni siquiera es consciente de ello.

Habitualmente los sistemas de control industrial no requieren autenticación ni autorización, no utilizan técnicas de encriptación y cifrado de datos y no manejan adecuadamente los errores o excepciones, todo ello debido a su entorno aislado originalmente, lo que ha hecho que al “conectarlos” a las redes corporativas de las organizaciones se hayan abierto (en la mayoría de los casos inconscientemente) distintas fuentes potenciales de ataques como los siguientes, entre otros:

– Intercepción y manipulación de datos:  cualquiera podría manipular los datos intercambiados entre los PLCs y los Sistemas de Control y SCADA falseándolos

– Denegación de servicio: como se ha indicado en el caso de las redes inalámbricas es relativamente sencillo causar una pérdida de servicio a este tipo de sistemas.

– Falseo de Direcciones: un usuario malicioso puede falsear la “identidad” del PLC o del sistema SCADA y comenzar a comunicarse con el resto de sistemas como si fuese este modificando el funcionamiento global.

– Modificación de datos de registro (logs): en muchos casos es posible modificar los registros de actividad (de hecho en muchos casos no existen si quiera estos registros de actividad) con lo que una actuación maliciosa puede convertirse en “invisible” al no existir trazabilidad de las acciones efectuadas.

– Control no autorizado: aprovechando muchas de estas vulnerabilidades un tercero puede tomar el control global del sistema sin demasiados esfuerzos.

Todos estas vulnerabilidades, amenazas y vectores de ataque realmente no son ninguna novedad en los entornos de Tecnologías de la Información tradicionales donde en muchos casos ya están siendo mitigados, monitorizados y gestionados. Sin embargo en los entornos industriales, como se ha descrito, no se están controlando este tipo de amenazas en ningún sentido cuando la gran diferencia entre ambos mundos es sin duda el impacto. Como se pude desprender de todo lo descrito hasta ahora el impacto de la disrupción, brecha o mal funcionamiento de estos sistemas es mucho mayor llegando a las pérdidas humanas o, como se comenzaba exponiendo en este documento, a las amenazas a la seguridad de la nación y del modo de vida de nuestra sociedad.

Dejaremos para la siguiente entrega de la serie las tendencias tecnológicas y el mercado actual en esta área y finalizaremos la serie con una receta “sencilla” para la mitigación del riesgo existente en este tipo de entornos. Pero eso será dentro de unos días…

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog