EEBE

Sessió 10. Seguretat

en Infraestructures
de Control
Sigles: ISA Codi: 295202
Tipus: INTENSIFICACIÓ en AUTOMÀTICA
Professors : Javier Gámiz Caro
Departament d’ESAII
 Índex EEBE

 Introducció
Seguretat en Infraestructures de Control

 Guia de Seguretat de les TIC (CCN-STIC-480A)

 Casos pràctics
Integració de Sistemes Automàtics ISA

2
Introducció
 Evolució de l’entorn dels Scada’s EEBE

 Per raons d’eficiència, manteniment, i economia les plataformes de control i

Seguretat en Infraestructures de Control

supervisió han anat migrant des de xarxes en mode illa utilitzant protocols i
software propietaris cap a Sistemes basats en PC utilitzant software,
hardware i protocols estàndards i l’ús d’Internet.
 L’arribada del IIoT (Industrial Internet of Things) o l’Industria 4.0 està
suposant una exposició a riscos de tipus de Ciberseguretat en la capa de
sensors i actuadors. Històricament amb protocols propietaris com
ControlNet, DeviceNet, ModBus als atacs eren gairebé inexistents.
 Els problemes que han aparegut com a conseqüència d’aquesta transició
han estat que els Sistemes SCADA s’han exposats a les mateixes
vulnerabilitats i amenaces que els sistemes basats en Windows-PC i les
Integració de Sistemes Automàtics ISA

seves xarxes associades.

 Tradicionalment les tecnologies de la informació (IT) han prioritzat la
confidencialitat de les dades davant de la continuïtat d’aquesta, tot al
contrari del que succeeix en les tecnologies de l’operació que han posat
com a primer objectiu la disponibilitat i continuïtat del servei.

4
 Vulnerabilitats en el Scada’s EEBE

Podem resumir les vulnerabilitats en:

Seguretat en Infraestructures de Control

 Codi maliciós com malware, virus, cucs, troians, ...

o Malware és el terme en general que s’utilitza per parlar de totes les amenaces
informàtiques, programari maliciós.
o Virus és un tipus de malware que té s'adhereix a un programa o arxiu per poder
propagar-se d'un equip a un altre i infectar-los a mesura que es desplaça i fent
malbé hardware, software o arxius. Requereix l’usuari en la propagació.
o Cucs, són similars als virus però a diferencia d’aquests no necessiten per la seva
propagació la intervenció de l’usuari. Stuxnet
o Troià és un programa destructiu que es fa passar per una aplicació autèntica. A
diferencia dels virus els troians no es repliquen.
Integració de Sistemes Automàtics ISA

 Distribució no autoritzada de dades crítiques

 Modificació i manipulació no autoritzada de dades crítiques
Springfield City
 Atacs per denegació de servei
 Accessos a registres d’auditoria de logs i la seva modificació
5
 Components en Risk dels Scada EEBE

La diversitat de cultures, procediments i requisits de funcionalitat entre PC’s i

Seguretat en Infraestructures de Control

xarxes IT dels Sistemes Scada en referència als seus components es poden

resumir en:
 Accés a les dades
 Patxejat
 Antivirus
 Determinisme
Integració de Sistemes Automàtics ISA

6
 Categories dels Impactes en Scada EEBE

Les principals categories d'impactes són les següents:

Seguretat en Infraestructures de Control

 Impactes físics. Els impactes físics abasten el conjunt de les conseqüències

directes de la falla de Sistemes de Control Industrial (ICS). Els possibles
efectes de summa importància inclouen lesions personals i pèrdua de vides.
Altres efectes inclouen la pèrdua de propietat (inclosos les dades) i el dany
potencial al medi ambient.
 Impactes econòmics. Els impactes econòmics són un efecte de segon ordre
dels impactes físics que es deriven d'un incident de ICS. Els impactes físics
podrien tenir repercussions en les operacions del sistema, la qual cosa al
seu torn ocasionaria una major pèrdua econòmica en les instal·lacions,
organitzacions o altres dependències del ICS. La falta de disponibilitat
Integració de Sistemes Automàtics ISA

d'infraestructura crítica (per exemple, energia elèctrica, transport) pot tenir

un impacte econòmic molt més allà que els sistemes sofreixin danys
directes i físics. Aquests efectes podrien tenir un impacte negatiu en
l'economia local, regional, nacional o possiblement global.
 Impactes socials. Un altre efecte de segon ordre, la conseqüència de la
pèrdua de la confiança nacional o pública en una organització, moltes
vegades es passa per alt. No obstant això, és una conseqüència molt real
que podria resultar d'un incident de ICS. 7
Bones pràctiques de
seguretat sobre les
infraestructures de
control
 Guia de Seguretat de les TIC (CCN-STIC-480A) I EEBE

Seguretat en el control de processos i Scada, Guia de bones pràctiques

Seguretat en Infraestructures de Control

 Comprendre el Risc del Negoci

 Realitzar una auditoria interna
 Identificar les amenaces
o denegació del servei
o atacs dirigits
o controls no autoritzats
o infeccions de virus, cucs o troians.
 Avaluar l'Impacte.
 Analitzar la incapacitat de donar el servei.
Integració de Sistemes Automàtics ISA

9
9
 Guia de Seguretat de les TIC (CCN-STIC-480A) II EEBE

Implementar una arquitectura segura.

Seguretat en Infraestructures de Control

o Arquitectura de Xarxa. Segmentació (identificar connexions externes, separar i aïllar les

xarxes, construir infraestructures dedicades).
o Instal·lar Tallafocs (Revisar la seva política d'accés, Gestió per equip especialitzat).
o Accés Remot (Mantenir inventari de les connexions, Auditories periòdiques, Règim Servei
24x7)
o Instal·lació d'Antivirus en Estacions de Treball i Servidors.
o Desactivar tot el correu electrònic i accés a Internet dels sistemes de control de processos.
o Entendre que accessos (ports) estan oberts.
o Restringir l'ús dels dispositius extraïbles (ex., CD, disquets, memòries USB, etc.) i si és
possible no utilitzar-los.
o Garantir que els procediments de còpia de seguretat i restauració.
Integració de Sistemes Automàtics ISA

o Vigilar en temps real els sistemes de control de processos per determinar un

comportament inusual que podria ser el resultat d'un incident electrònic (ex., un augment
de l'activitat de la xarxa podria ser el resultat de la infecció d'un cuc).
o Quan es dissenyin i despleguin solucions sense fils, garantir que els mecanismes de
seguretat de la solució són coneguts i configurats correctament.
o Assegurar-se de tot el personal amb accés operatiu o administratiu està adequadament
investigat. Enginyeria Social.
o Gestió eficaç de comptes i contrasenyes.
10
10
Casos pràctics
 Seguridad en las Infraestructuras.
EEBE
Casos Prácticos
Seguretat en Infraestructures de Control

No segura
VPN
Ethernet Cliente III

Cliente 1I Internet GPRS/3G

Cliente 1

CPD Elevadora
Enrutador

Servidor
Web
Máquina Pasarela
Cortafuegos
Acceso MTO/Ing ext.
Integració de Sistemes Automàtics ISA

Ofimática Conmutadores

Servidores Scada
Servicios CCTV, Wifi,
Wimax Megafonía,
Incendios
Operadores Mantenimiento
Elevación Desbaste Aireación
Ingeniería
FÁBRICA, PLANTA

12
12
 Seguridad en las Infraestructuras.
EEBE
Casos Prácticos
Seguretat en Infraestructures de Control

Corporate
Network

VPN
DMZ firewall Web
Third party
Portal Supervisor
vendor
DMZ

PSM
ICS firewall
Integració de Sistemes Automàtics ISA

Password Session
ICS Recording
Network

Vault

Anti Virus &

Databases UNIX Windows Routers SCADA Content Filtering
Servers Servers & Switches Devices 13
Integració de Sistemes Automàtics ISA Seguretat en Infraestructures de Control

Casos Prácticos
Seguridad en las Infraestructuras.
EEBE

14
Integració de Sistemes Automàtics ISA Seguretat en Infraestructures de Control

Casos Prácticos
Seguridad en las Infraestructuras.
EEBE

15
 Objectius Setmana 13-14 EEBE

 PBL. Proves Finals PLC-Scada.

Seguretat en Infraestructures de Control

 Pràctiques. Proves Finals PLC-Scada.

 Treball Autònom.
o AS-Built (Documentació). Finalitzar la
documentació.
Integració de Sistemes Automàtics ISA

16