Luis Mendoza, Jefe de SCADA & Control de Compañía. Operadora de Gas del Amazonas y Vice-Presidente de (ISC)2 Perú Chapter. Puedes ver el video de la presentación en: https://www.youtube.com/watch?v=QjatGavzZc0

1. [Su logo Aquí]

2. /in/
/
@
[Logo Aquí]
[Logo Aquí]
[Logo Aquí]
[Logo Aquí]
Jefe de SCADA&CONTROL - COGA
Vicepresidente (ISC)2 Perú Chapter
Certified Information Systems Security Professional
Lead SCADA Security Professional
Luis Mendoza
luis-mendoza-cissp-
lead-scada-security-
professional-
8592ba2/
https://www.isc2peruchapter.org

3. Agenda
• Introducción
• Cómo empezar…
• Identificación de riesgos: HAZOP
• CHAZOP
• Estrategias
• Conclusiones

4. Introducción

5. Introducción
• SCADA: Controla y monitorea todos los
procesos y sub-procesos.
• Sistemas propietarios que tienden a ser
estándares e integrables.
• Vulnerables a ataques cibernéticos.
• Un ataque podría tener severas
consecuencias para:
• Vidas humanas
• El medio ambiente/entorno
• Los procesos
• La economía

6. Ejemplo lamentable de desastre
• 10 de Junio de 1999
• Bellingham, Washington, se quebró un ducto de
gasolina operado por Olympic Pipeline Company
• 237,000 galones de gasolina fueron liberados
• La gasolina explotó.
• 2 niños de 10 años y un hombre de 18
murieron.
• La afectación del Sistema SCADA fue causa
parcial de este desastre
https://www.ntsb.gov/investigations/AccidentRep
orts/Reports/PAR0202.pdf

7. • ¿Cómo empezar?...

8. Conociendo el proceso…
Objetivo. P.e. Entrega de 55MM m3 diarios de GN y 85Mbpd de NGL con características
químicas específicas sin producir daños a las personas, el medio ambiente y los activos
del proceso asegurando una disponibilidad del 99% del proceso en general en el año.
Zona de trabajo del proceso: Zonas geográficas, sembríos, zonas protegidas,
poblaciones que cruza, ríos, quebradas, entre otros.
Requerimientos medio ambientales a cumplir: emisión de gases, efluentes, residuos
sólidos, entre otros.
Riesgos de procesos: incendios, cortocircuitos, fugas, entre otros.
Disponibilidad de suministro eléctrico: comercial o autogenerado.
Presión de entrega del gas en cada punto de recepción de cada cliente.
Instalaciones desatendidas (sin personal en sitio) y con personal en sitio.
El soporte y gestión deben ser principalmente centralizados.

9. Pirámide de Automatización – ISA 95

10. IT versus OT. Empezando a conocernos
• Aplica a sistemas informáticos y de
telecomunicaciones
• Tecnología que requiere de personal
para su uso y control
• Requieren entornos controlados (T°, HR)
• Protocolos estándares
• Priorizan confidencialidad y seguridad
de los datos. La integridad y
disponibilidad son secundarios
• Se requieren medios de comunicación
para alta transferencia de datos
• Se actualiza con mayor frecuencia
• Detecta y cambia procesos físicos:
monitoreo y control
• Tecnología autónoma para control
automático
• Soportan entornos duros (Alta T° y HR)
• Protocolos propietarios y estándares
• Prioridad es disponibilidad, luego integridad
y al final confidencialidad.
• La infraestructura de información es
secundaria y simple
• Necesita trabajar más tiempo por lo tanto
su frecuencia de actualización es baja

11. IT versus OT. Empezando a conocernos
La Prioridad es Confiabilidad y
Disponibilidad.
Tradicionalmente aislados
No se diseñan en función de la
seguridad informática.
Claves de acceso por omisión
Los sistemas de seguridad clásicos no
necesariamente trabajan con los sistemas
de Control.
El personal de TI no conoce TO
Redes empresariales se conectan a la red
industrial.
Los sistemas de control no son actualizados
porque no son gestionados por TI.

12. Diseño e implementación de procesos
• Los sistemas mecánicos, hidráulicos, eléctricos, electrónicos deben aseguarr el
cumplimiento de los objetivos del proceso.
• Se ejecutará un proceso EPC para la implementación de estos sistemas:
1.Definición clara del proceso: condiciones operativas, sistemas centralizados,
distribuidos, condiciones de emergencia, entre otros
2.EPC: Engineering, Procurement, Construction
3.Puesta en marcha e inicio de operación formal

13. Ciclo y actividades del EPC
• Diseño de plantas
• Cálculo de costos
• Análisis de
rendimiento
• Planificación
técnica: ingeniería
conceptual, básica y
de detalle
• Consultoría
• Compras
• Logística
• Control de calidad
• Consultoría
• Instalación
• Coordinación
• Supervisión en sitio.
• Inspección de
calidad
• Puesta en marcha
• Consultoría
• Seguimiento
técnico y análisis
de impagos
• Mantenimiento y
servicio
• Control de contrato
• Consultoría
Engineering Procurement Construction
Commercial
and technical
managemente

14. Ciclo y actividades del EPC
Fuente: American Gas Assotiation

15. Esquema general tecnológico
Fuente: JFE Engineering Corporation

16. Análisis de riesgo de procesos
• Uso de Process Hazards Analysis (PHA).
• El método común es HAZOP: Hazards Operational Process.
• Normas: ISA 84 y IEC-61511:
• Debemos conocer los procesos y sus mecanismos y sistemas de control.
• Se deben identificar bajo qué circunstancias se pierde el control
• Se deben conocer las consecuencias, causas y salvaguardas por cada
escenario.

17. Análisis de riesgo de procesos
• Al detectar el riesgo en el escenario:
• Valorizamos el riesgo
• Evaluamos las salvaguardas
• Se determina si medidas de seguridad mejoradas son necesarias para ese
escenario

18. Sistema de transporte de gas de TGP
18
PLUSPETROL
TGP
PLUSPETROL
CALIDDA
• 866 km ducto de NG
• 557 km de ducto de
NGL
• Selva, Sierra y Costa

19. Descripción de ducto de NGL
19

20. Válvula reductora de presión de NGL
• Reducción de presión de NGL para
disminuir energía de caída.
• Pi = 95 ~ 110 barg
• Po = 6.5 ~ 8 barg
• Estación desatendida
• Energía autogenerada por
termogeneradores (1,000W).
• Enlazadas a la red SCADA por F.O.
• Operación contínua
• Ramales redundantes
PITi TITi PITo TITo
PIT: Pressure Indicator Transmitter
TIT: Temperature Indicator Transmitter

21. Sistema de Operaciones de una PRS de NGL
TEG BATERÍA
ENERGÍA
F
U
E
N
T
E
F
U
E
N
T
E
C
P
U
I
/
O
M
N
E
T
E
T
H
C
N
E
T
PLC-STN
F
U
E
N
T
E
F.O./NETWORKING
F
U
E
N
T
E
R
A
D
I
O
E
T
H
E
R
TETRA
C
A
M
A
R
A
P
L
C
I
N
F
R
R
P
I
R
VÁLVULA RED SCADA
RED
CORPORATIVA
SEGURIDAD ELECTRÓNICA
SHELTER
I
/
O
M
N
E
T
C
N
E
T
F
U
E
N
T
E
C
P
U
F
U
E
N
T
E
C
P
U
PLC-ESD
H
M
I
C
N
E
T
C
N
E
T
S
R
M
S
R
M
Red de datos SCADA
Red de datos Corporativa
Señales de energía
Señales de I/O Procesos
SAR
(F.O., RTR/SW SCA – RTR/
SW CORP)
F
U
E
N
T
E
F
U
E
N
T
E

22. Empezamos a identificar los riesgos: HAZOP

23. Proceso del HAZOP
• Seleccionar un nodo de estudio
• Seleccionar una ‘desviación’ (como No flujo) de una lista predefinida;
• Buscar todas las causas posibles de la desviación dentro del nodo
• Identificar todas las consecuencias creíbles de cada causa,
asumiendo que no hay respuesta del operador o del sistema ante el
incidente y todas las medidas de seguridad de ingeniería (p.e. las
válvulas de bloqueo) fallan
• Identificar las salvaguardas proporcionadas para reducir la
probabilidad de las consecuencias
• Decidir si el riesgo de daño derivado de cada causa es tolerable;
• Hacer recomendaciones para estudios adicionales o cambios de
diseño donde sea necesario

24. Proceso del HAZOP
• Seleccionar un nodo de estudio
• Seleccionar una ‘desviación’ (como No flujo) de una lista predefinida;
• Buscar todas las causas posibles de la desviación dentro del nodo
• Identificar todas las consecuencias creíbles de cada causa,
asumiendo que no hay respuesta del operador o del sistema ante el
incidente y todas las medidas de seguridad de ingeniería (p.e. las
válvulas de bloqueo) fallan
• Identificar las salvaguardas proporcionadas para reducir la
probabilidad de las consecuencias
• Decidir si el riesgo de daño derivado de cada causa es tolerable;
• Hacer recomendaciones para estudios adicionales o cambios de
diseño donde sea necesario

25. Nodos de la PRS de NGL
UPSTREAM DOWNSTREAM
NODO 1
NODO 2
PITi TITi PITo TITo

26. Análisis del HAZOP – Documento base

27. Resultados parciales del HAZOP

28. Fallas del PLC - Causas
• Pérdida de energía
• Cortocircuito
• Pérdida de configuración
• Sabotaje
• Hackeo…

29. Rotura del ducto aguas abajo - Causas
PITi TITi PITo TITo
• Se detecta como caída de presión en el PLC, actúan ya sea el
actuador mecánico como el PLC mediante un comando de cierre
de la estación.
• La señal llega al PLC por medio de un sensor/transmisor de
presión aguas abajo.
• Causas:
• Deslizamientos de tierra.
• Falla de integridad del ducto.
• Sabotaje
• Hackeo…

30. Error de Operación - Causas
• El operador envía un comando
erróneo y detiene
intempestivamente el proceso:
• Causas:
• Entrenamiento deficiente.
• Pantallas de SCADA mal
configuradas
• Hackeo…

31. Ahora le toca el turno al CHAZOP…

32. Cyber HAZOP
• Cyber PHA, Cyber HAZOP, CHAZOP
(Computer Hazards & Operability)
• Este método se focaliza en
vulnerabilidades en dispositivos
electrónicos
• Gran herramienta para identificar
debilidades en el diseño
• Carecen de un evento iniciador
• Tiene infinitos resultados potenciales
• Frecuencia de ataque desconocida
1
•Identificar un activo ICS
2
•Identificar una amenaza empleando ese activo
3
•Identificar una vulnerabilidad permitiendo que esa amenaza
ocurra
4
•Determinar probabilidad del ataque
5
•Determinar consecuencia
6
•Determinar el riesgo

33. Método del CHAZOP
• En lugar de nodos, usar áreas funcionales
• En lugar de desviaciones, usar clases de fallas (fallas de hardware, error
de software y caída de suministro eléctrico).
• En vez de causas, el equipo debe identificar una lista de desviaciones
potenciales del comportamiento normal dentro del alcance de cada
clase de falla.
• Requiere un equipo interdisciplinario.
• Se requieren datos y analizar escenarios que involucran sistemas
eléctricos, de Automatización y Control y de datos
• Primero se ejecuta el HAZOP y luego el Cyber HAZOP

34. Identificación de zonas y conductos: ISA 62443
• Zona (Zone): Definida como un grupo de activos físicos o lógicos con que
comparten requerimientos de seguridad comunes basado en factores tales
como criticidad y consecuencia
• Conductos (conduits): Es el trayecto para el flujo de información entre 02
zonas:
• Permite identificar las funciones de seguridad que permiten que diferentes zonas se
puedan comunicar de forma segura.
• Cualquier transferencia de datos electrónicos entre zonas debe tener un conducto.

35. Identificación de zonas y conductos
Realtime Historian
Application
Mirror
Engineering Web Operations
ICS
Firewall
Enterprise
Firewall
Directory
Level 0
Level 1
Level 2
Level 3
Level 4
ERP
Internet
Firewall
Intranet Directory Messaging
Visitors Tech Support Users
Zona Automatización
C1
C2
C3
• Se deben considerar todos los
conductos de acuerdo al tipo de
usuario: soporte técnico,
visitantes.
• Incluso los hackers…
• Que incluso pueden ser usuarios
internos…
• En cada zona se deben definir e
implementar los controles de
seguridad respectivos
Attackers
Attackers
Attackers
Attackers

36. Clases de fallas
• Energía: Pérdida de energía, caída de potencial, falla de UPS, etc.
• Falla de hardware: módulos, tarjetas, CPUs, conectores, etc.
• Software: congelamiento, cerrado intempestivo, otros.
• Factores humanos: operación incorrecta, tiempo de respuesta a eventos,
otros.
• Seguridad física: cercos defectuosos, construcción deficiente, zona de alto
nivel de delincuencia, otros.
• Falla de utilidades: falla de sistema contraincendios, falla de A/A.
• Pérdida de datos: apagado de equipo con pila descargada en PLCs, otros.

37. • ¿Qué estrategia implementar?

38. • ¿Cuánto riesgo eres capaz de tolerar?
• ¿Cuál es tu presupuesto?
• ¿Quién te apoya de tus proveedores?

39. Regresando a la PRS
PITi TITi PITo TITo

40. Diseño de Ciberseguridad para PRS de NGL
• Dominios de Seguridad de la
Información:
• Política de seguridad
• Organización de la seguridad
• Recursos humanos
• Gestión de activos
• Control de accesos
• Cifrado
• Operaciones
• Telecomunicaciones
• Adquisición, desarrollo y
mantenimiento.
• Suministro
• Gestión de incidentes
• Gestión de la continuidad de
negocios
• Cumplimiento

41. Seguridad Física
Cercos perimétricos.
Alarmas de detectores de intrusos dentro del perímetro: PIR
(Passive Infrarred detectors). Alcance máximo15m, 90°
ángulo de detección, altura de 3m, 1W de potencia.
Sirena disuasora.
Sistema de CCTV (si hay energía disponible)
Alarma de puerta abierta de shelters.
Alarma de puerta de gabinete de Automatización abierta.
Alarma de puerta de gabinete de Telecomunicaciones
abierta.

42. Gestión de activos
Listado de equipos de todos los gabinetes clasificados según ISO 55000 de Gestión de
activos: código de UM, ubicación técnica, año de fabricación, año de instalación,
clasificación según Product Lifecycle: Active, active mature, End of Life, Discontinued,
responsable, criticidad, entre otros.
Planos eléctricos, P&ID disponibles en el shelter y en sistema de gestión de
documentos.
Uso de software de gestión de activos. P.e. FactoryTalk Asset Center para control de
versiones de programas, listado de activos, clasificación automática segón Product
Lifecycle, entre otros.
Registro de auditoría ante cambios en programas o listados de activos.
Backups periódicos de programas de PLCs con control de versiones.

43. Recursos humanos
El CISO debe conocer la operación tanto como la
Ciberseguridad. Capacitación inhouse.
Los operadores y personal de mantenimiento deben seguir
un programa de concienciación de seguridad de la
información.
Actualización programada de conocimientos en Operaciones
(HAZOP, SIS, Otros) y Seguridad de la Operación.
Ejecución de simulacros programados

44. Control de Accesos
¡¡¡NO USE CREDENCIALES POR DEFECTO!!!
Habilitación de autenticación en PLCs, equipos de
telecomunicaciones, cámaras de vídeo y otros instalados en
la estación.
Deshabilitación de gestión de PLCs vía Web.
Fabricantes de PLCs ya incorporan habilitación de usuario y
clave para acceder a PLCs.
Habilitación de alarmas en caso un usuario acceda a equipo
con usuario y clave.
Deshabilite puertos de acceso de PLCs.

45. Operaciones
Protocolos de trabajo para diferenciar actividades de
mantenimiento de actividades no programadas: P.e. alarmas
de apertura de puerta de shelter.
Capacidad de habilitación y deshabilitación de alarmas de
detección de intrusos.
Protocolo para informar tanto al personal de mantenimiento
como al personal de Ciberseguridad de actividades no
programadas: apertura de puertas, entre otros. Revisar
todos los escenarios para evitar falsas alarmas.
No necesariamente es posible de usar antivirus en
estaciones de operador o de sistemas SCADA.

46. Telecomunicaciones
Autenticación centralizada y local con claves fuertes y cifradas.
Deshabilitación de puertos no utilizados de switches, routers o
cualquier otro.
Habilitación de seguridad basada en MAC Address para evitar
cambio de equipos.
Deshabilitación de servicios innecesarios: gestión vía Web, otros.
Habilitación de alarmas: desconexión/conexión, cambio de
configuración, intento de conexión en puertos libres, entre otros.
Backups periódicos de programas con control de versiones.

47. Telecomunicaciones
Autenticación centralizada y local con claves fuertes y cifradas.
Deshabilitación de puertos no utilizados de switches, routers o
cualquier otro.
Habilitación de seguridad basada en MAC Address para evitar
cambio de equipos.
Deshabilitación de servicios innecesarios: gestión vía Web, otros.
Habilitación de alarmas: desconexión/conexión, cambio de
configuración, intento de conexión en puertos libres, entre otros.
Backups periódicos de programas con control de versiones.

48. Gestión de incidentes
Un gran problema es la posible confusión entre incidentes de
mantenimiento (falla de PLC por cortocircuito) como de
ciberseguridad (falla de PLC por hackeo).
Las herramientas de monitoreo de actividades no autorizadas
deben verificar el flujo de información a través de los Conduits.
Se deben integrar todos los logs generados por los diversos
sistemas: telecomunicaciones, servidores, IDSs, entre otros.
Y ni aún así existe la certeza de poder saber de primera mano si
el evento es de ciberseguridad…
Los iraníes, ucranianos, norteamericanos, entre otros pueden
dar fe de ello…

49. Gestión de incidentes
¿Cuál es el método más seguro para detectar un incidente?
Mediante auditoría de seguridad exhaustiva a todos los
elementos del proceso.
Así se detectaron a Stuxnet (Irán) y a BlackEnergy (Ucrania)
Después de varios meses…
Ante un evento de falla mayor o de alteración del
funcionamiento de la filosofía de proceso (incidente de
Operaciones), el CISO también debe formar parte del
equipo de respuesta y ejecutar los protocolos de respuesta
a incidentes de ciberseguridad, aún cuando no sepa si el
origen es ese...

50. Gestión de Continuidad de Negocios
Se debe tener disponible en las bases cercanas al sitio en físico como en
electrónico en un gestor documental:
 Planos eléctricos y del PLC
 Listado de todos los activos que forman parte de la estación
 Repuestos de componentes críticos: CPUs, fuentes, tarjetas de AI/AO/DI/DO,
routers, switches, entre otros.
 Copias de los programas de los PLCs, routers, switches, entre otros con control
de versiones verificado.
Para estaciones críticas tener un gabinete móvil de Automatización
como de Telecomunicaciones para reemplazo inmediato.
Soporte 24x7x365 de proveedores estratégicos: PLCs, SCADA, entre
otros.
Personal entrenado en recuperar operatividad de equipos.
Es decir, un Plan de DRP documentado y verificado...

51. Conclusiones
La gestión de ciberseguridad en un entorno industrial involucra además conocer el
proceso de operaciones: filosofía de operación, riesgos, gestión de incidentes,
componentes, sistemas, entre otros.
La única forma de saber si no estamos afectados por un incidente, es por una
auditoría exhaustiva de nuestros sistemas y procesos.
El CISO debe incluir en sus actividades la participación en los procesos de
investigación de incidentes en el proceso de operación del sistema.
Involucrar de forma activa a todo el personal de operaciones mediante charlas y
descripción de casos que ya sucedieron en la industria

52. /in/
/
@
luis-mendoza-cissp-
lead-scada-security-
professional-
8592ba2/
https://www.isc2peruchapter.org
[Su logo Aquí]