Luis Mendoza, Jefe de SCADA & Control de Compañía. Operadora de Gas del Amazonas y Vice-Presidente de (ISC)2 Perú Chapter.
Puedes ver el video de la presentación en: https://www.youtube.com/watch?v=QjatGavzZc0
5. Introducción
• SCADA: Controla y monitorea todos los
procesos y sub-procesos.
• Sistemas propietarios que tienden a ser
estándares e integrables.
• Vulnerables a ataques cibernéticos.
• Un ataque podría tener severas
consecuencias para:
• Vidas humanas
• El medio ambiente/entorno
• Los procesos
• La economía
6. Ejemplo lamentable de desastre
• 10 de Junio de 1999
• Bellingham, Washington, se quebró un ducto de
gasolina operado por Olympic Pipeline Company
• 237,000 galones de gasolina fueron liberados
• La gasolina explotó.
• 2 niños de 10 años y un hombre de 18
murieron.
• La afectación del Sistema SCADA fue causa
parcial de este desastre
https://www.ntsb.gov/investigations/AccidentRep
orts/Reports/PAR0202.pdf
8. Conociendo el proceso…
Objetivo. P.e. Entrega de 55MM m3 diarios de GN y 85Mbpd de NGL con características
químicas específicas sin producir daños a las personas, el medio ambiente y los activos
del proceso asegurando una disponibilidad del 99% del proceso en general en el año.
Zona de trabajo del proceso: Zonas geográficas, sembríos, zonas protegidas,
poblaciones que cruza, ríos, quebradas, entre otros.
Requerimientos medio ambientales a cumplir: emisión de gases, efluentes, residuos
sólidos, entre otros.
Riesgos de procesos: incendios, cortocircuitos, fugas, entre otros.
Disponibilidad de suministro eléctrico: comercial o autogenerado.
Presión de entrega del gas en cada punto de recepción de cada cliente.
Instalaciones desatendidas (sin personal en sitio) y con personal en sitio.
El soporte y gestión deben ser principalmente centralizados.
10. IT versus OT. Empezando a conocernos
• Aplica a sistemas informáticos y de
telecomunicaciones
• Tecnología que requiere de personal
para su uso y control
• Requieren entornos controlados (T°, HR)
• Protocolos estándares
• Priorizan confidencialidad y seguridad
de los datos. La integridad y
disponibilidad son secundarios
• Se requieren medios de comunicación
para alta transferencia de datos
• Se actualiza con mayor frecuencia
• Detecta y cambia procesos físicos:
monitoreo y control
• Tecnología autónoma para control
automático
• Soportan entornos duros (Alta T° y HR)
• Protocolos propietarios y estándares
• Prioridad es disponibilidad, luego integridad
y al final confidencialidad.
• La infraestructura de información es
secundaria y simple
• Necesita trabajar más tiempo por lo tanto
su frecuencia de actualización es baja
11. IT versus OT. Empezando a conocernos
La Prioridad es Confiabilidad y
Disponibilidad.
Tradicionalmente aislados
No se diseñan en función de la
seguridad informática.
Claves de acceso por omisión
Los sistemas de seguridad clásicos no
necesariamente trabajan con los sistemas
de Control.
El personal de TI no conoce TO
Redes empresariales se conectan a la red
industrial.
Los sistemas de control no son actualizados
porque no son gestionados por TI.
12. Diseño e implementación de procesos
• Los sistemas mecánicos, hidráulicos, eléctricos, electrónicos deben aseguarr el
cumplimiento de los objetivos del proceso.
• Se ejecutará un proceso EPC para la implementación de estos sistemas:
1.Definición clara del proceso: condiciones operativas, sistemas centralizados,
distribuidos, condiciones de emergencia, entre otros
2.EPC: Engineering, Procurement, Construction
3.Puesta en marcha e inicio de operación formal
13. Ciclo y actividades del EPC
• Diseño de plantas
• Cálculo de costos
• Análisis de
rendimiento
• Planificación
técnica: ingeniería
conceptual, básica y
de detalle
• Consultoría
• Compras
• Logística
• Control de calidad
• Consultoría
• Instalación
• Coordinación
• Supervisión en sitio.
• Inspección de
calidad
• Puesta en marcha
• Consultoría
• Seguimiento
técnico y análisis
de impagos
• Mantenimiento y
servicio
• Control de contrato
• Consultoría
Engineering Procurement Construction
Commercial
and technical
managemente
16. Análisis de riesgo de procesos
• Uso de Process Hazards Analysis (PHA).
• El método común es HAZOP: Hazards Operational Process.
• Normas: ISA 84 y IEC-61511:
• Debemos conocer los procesos y sus mecanismos y sistemas de control.
• Se deben identificar bajo qué circunstancias se pierde el control
• Se deben conocer las consecuencias, causas y salvaguardas por cada
escenario.
17. Análisis de riesgo de procesos
• Al detectar el riesgo en el escenario:
• Valorizamos el riesgo
• Evaluamos las salvaguardas
• Se determina si medidas de seguridad mejoradas son necesarias para ese
escenario
18. Sistema de transporte de gas de TGP
18
PLUSPETROL
TGP
PLUSPETROL
CALIDDA
• 866 km ducto de NG
• 557 km de ducto de
NGL
• Selva, Sierra y Costa
20. Válvula reductora de presión de NGL
• Reducción de presión de NGL para
disminuir energía de caída.
• Pi = 95 ~ 110 barg
• Po = 6.5 ~ 8 barg
• Estación desatendida
• Energía autogenerada por
termogeneradores (1,000W).
• Enlazadas a la red SCADA por F.O.
• Operación contínua
• Ramales redundantes
PITi TITi PITo TITo
PIT: Pressure Indicator Transmitter
TIT: Temperature Indicator Transmitter
21. Sistema de Operaciones de una PRS de NGL
TEG BATERÍA
ENERGÍA
F
U
E
N
T
E
F
U
E
N
T
E
C
P
U
I
/
O
M
N
E
T
E
T
H
C
N
E
T
PLC-STN
F
U
E
N
T
E
F.O./NETWORKING
F
U
E
N
T
E
R
A
D
I
O
E
T
H
E
R
TETRA
C
A
M
A
R
A
P
L
C
I
N
F
R
R
P
I
R
VÁLVULA RED SCADA
RED
CORPORATIVA
SEGURIDAD ELECTRÓNICA
SHELTER
I
/
O
M
N
E
T
C
N
E
T
F
U
E
N
T
E
C
P
U
F
U
E
N
T
E
C
P
U
PLC-ESD
H
M
I
C
N
E
T
C
N
E
T
S
R
M
S
R
M
Red de datos SCADA
Red de datos Corporativa
Señales de energía
Señales de I/O Procesos
SAR
(F.O., RTR/SW SCA – RTR/
SW CORP)
F
U
E
N
T
E
F
U
E
N
T
E
23. Proceso del HAZOP
• Seleccionar un nodo de estudio
• Seleccionar una ‘desviación’ (como No flujo) de una lista predefinida;
• Buscar todas las causas posibles de la desviación dentro del nodo
• Identificar todas las consecuencias creíbles de cada causa,
asumiendo que no hay respuesta del operador o del sistema ante el
incidente y todas las medidas de seguridad de ingeniería (p.e. las
válvulas de bloqueo) fallan
• Identificar las salvaguardas proporcionadas para reducir la
probabilidad de las consecuencias
• Decidir si el riesgo de daño derivado de cada causa es tolerable;
• Hacer recomendaciones para estudios adicionales o cambios de
diseño donde sea necesario
24. Proceso del HAZOP
• Seleccionar un nodo de estudio
• Seleccionar una ‘desviación’ (como No flujo) de una lista predefinida;
• Buscar todas las causas posibles de la desviación dentro del nodo
• Identificar todas las consecuencias creíbles de cada causa,
asumiendo que no hay respuesta del operador o del sistema ante el
incidente y todas las medidas de seguridad de ingeniería (p.e. las
válvulas de bloqueo) fallan
• Identificar las salvaguardas proporcionadas para reducir la
probabilidad de las consecuencias
• Decidir si el riesgo de daño derivado de cada causa es tolerable;
• Hacer recomendaciones para estudios adicionales o cambios de
diseño donde sea necesario
25. Nodos de la PRS de NGL
UPSTREAM DOWNSTREAM
NODO 1
NODO 2
PITi TITi PITo TITo
28. Fallas del PLC - Causas
• Pérdida de energía
• Cortocircuito
• Pérdida de configuración
• Sabotaje
• Hackeo…
29. Rotura del ducto aguas abajo - Causas
PITi TITi PITo TITo
• Se detecta como caída de presión en el PLC, actúan ya sea el
actuador mecánico como el PLC mediante un comando de cierre
de la estación.
• La señal llega al PLC por medio de un sensor/transmisor de
presión aguas abajo.
• Causas:
• Deslizamientos de tierra.
• Falla de integridad del ducto.
• Sabotaje
• Hackeo…
30. Error de Operación - Causas
• El operador envía un comando
erróneo y detiene
intempestivamente el proceso:
• Causas:
• Entrenamiento deficiente.
• Pantallas de SCADA mal
configuradas
• Hackeo…
32. Cyber HAZOP
• Cyber PHA, Cyber HAZOP, CHAZOP
(Computer Hazards & Operability)
• Este método se focaliza en
vulnerabilidades en dispositivos
electrónicos
• Gran herramienta para identificar
debilidades en el diseño
• Carecen de un evento iniciador
• Tiene infinitos resultados potenciales
• Frecuencia de ataque desconocida
1
•Identificar un activo ICS
2
•Identificar una amenaza empleando ese activo
3
•Identificar una vulnerabilidad permitiendo que esa amenaza
ocurra
4
•Determinar probabilidad del ataque
5
•Determinar consecuencia
6
•Determinar el riesgo
33. Método del CHAZOP
• En lugar de nodos, usar áreas funcionales
• En lugar de desviaciones, usar clases de fallas (fallas de hardware, error
de software y caída de suministro eléctrico).
• En vez de causas, el equipo debe identificar una lista de desviaciones
potenciales del comportamiento normal dentro del alcance de cada
clase de falla.
• Requiere un equipo interdisciplinario.
• Se requieren datos y analizar escenarios que involucran sistemas
eléctricos, de Automatización y Control y de datos
• Primero se ejecuta el HAZOP y luego el Cyber HAZOP
34. Identificación de zonas y conductos: ISA 62443
• Zona (Zone): Definida como un grupo de activos físicos o lógicos con que
comparten requerimientos de seguridad comunes basado en factores tales
como criticidad y consecuencia
• Conductos (conduits): Es el trayecto para el flujo de información entre 02
zonas:
• Permite identificar las funciones de seguridad que permiten que diferentes zonas se
puedan comunicar de forma segura.
• Cualquier transferencia de datos electrónicos entre zonas debe tener un conducto.
35. Identificación de zonas y conductos
Realtime Historian
Application
Mirror
Engineering Web Operations
ICS
Firewall
Enterprise
Firewall
Directory
Level 0
Level 1
Level 2
Level 3
Level 4
ERP
Internet
Firewall
Intranet Directory Messaging
Visitors Tech Support Users
Zona Automatización
C1
C2
C3
• Se deben considerar todos los
conductos de acuerdo al tipo de
usuario: soporte técnico,
visitantes.
• Incluso los hackers…
• Que incluso pueden ser usuarios
internos…
• En cada zona se deben definir e
implementar los controles de
seguridad respectivos
Attackers
Attackers
Attackers
Attackers
36. Clases de fallas
• Energía: Pérdida de energía, caída de potencial, falla de UPS, etc.
• Falla de hardware: módulos, tarjetas, CPUs, conectores, etc.
• Software: congelamiento, cerrado intempestivo, otros.
• Factores humanos: operación incorrecta, tiempo de respuesta a eventos,
otros.
• Seguridad física: cercos defectuosos, construcción deficiente, zona de alto
nivel de delincuencia, otros.
• Falla de utilidades: falla de sistema contraincendios, falla de A/A.
• Pérdida de datos: apagado de equipo con pila descargada en PLCs, otros.
40. Diseño de Ciberseguridad para PRS de NGL
• Dominios de Seguridad de la
Información:
• Política de seguridad
• Organización de la seguridad
• Recursos humanos
• Gestión de activos
• Control de accesos
• Cifrado
• Operaciones
• Telecomunicaciones
• Adquisición, desarrollo y
mantenimiento.
• Suministro
• Gestión de incidentes
• Gestión de la continuidad de
negocios
• Cumplimiento
41. Seguridad Física
Cercos perimétricos.
Alarmas de detectores de intrusos dentro del perímetro: PIR
(Passive Infrarred detectors). Alcance máximo15m, 90°
ángulo de detección, altura de 3m, 1W de potencia.
Sirena disuasora.
Sistema de CCTV (si hay energía disponible)
Alarma de puerta abierta de shelters.
Alarma de puerta de gabinete de Automatización abierta.
Alarma de puerta de gabinete de Telecomunicaciones
abierta.
42. Gestión de activos
Listado de equipos de todos los gabinetes clasificados según ISO 55000 de Gestión de
activos: código de UM, ubicación técnica, año de fabricación, año de instalación,
clasificación según Product Lifecycle: Active, active mature, End of Life, Discontinued,
responsable, criticidad, entre otros.
Planos eléctricos, P&ID disponibles en el shelter y en sistema de gestión de
documentos.
Uso de software de gestión de activos. P.e. FactoryTalk Asset Center para control de
versiones de programas, listado de activos, clasificación automática segón Product
Lifecycle, entre otros.
Registro de auditoría ante cambios en programas o listados de activos.
Backups periódicos de programas de PLCs con control de versiones.
43. Recursos humanos
El CISO debe conocer la operación tanto como la
Ciberseguridad. Capacitación inhouse.
Los operadores y personal de mantenimiento deben seguir
un programa de concienciación de seguridad de la
información.
Actualización programada de conocimientos en Operaciones
(HAZOP, SIS, Otros) y Seguridad de la Operación.
Ejecución de simulacros programados
44. Control de Accesos
¡¡¡NO USE CREDENCIALES POR DEFECTO!!!
Habilitación de autenticación en PLCs, equipos de
telecomunicaciones, cámaras de vídeo y otros instalados en
la estación.
Deshabilitación de gestión de PLCs vía Web.
Fabricantes de PLCs ya incorporan habilitación de usuario y
clave para acceder a PLCs.
Habilitación de alarmas en caso un usuario acceda a equipo
con usuario y clave.
Deshabilite puertos de acceso de PLCs.
45. Operaciones
Protocolos de trabajo para diferenciar actividades de
mantenimiento de actividades no programadas: P.e. alarmas
de apertura de puerta de shelter.
Capacidad de habilitación y deshabilitación de alarmas de
detección de intrusos.
Protocolo para informar tanto al personal de mantenimiento
como al personal de Ciberseguridad de actividades no
programadas: apertura de puertas, entre otros. Revisar
todos los escenarios para evitar falsas alarmas.
No necesariamente es posible de usar antivirus en
estaciones de operador o de sistemas SCADA.
46. Telecomunicaciones
Autenticación centralizada y local con claves fuertes y cifradas.
Deshabilitación de puertos no utilizados de switches, routers o
cualquier otro.
Habilitación de seguridad basada en MAC Address para evitar
cambio de equipos.
Deshabilitación de servicios innecesarios: gestión vía Web, otros.
Habilitación de alarmas: desconexión/conexión, cambio de
configuración, intento de conexión en puertos libres, entre otros.
Backups periódicos de programas con control de versiones.
47. Telecomunicaciones
Autenticación centralizada y local con claves fuertes y cifradas.
Deshabilitación de puertos no utilizados de switches, routers o
cualquier otro.
Habilitación de seguridad basada en MAC Address para evitar
cambio de equipos.
Deshabilitación de servicios innecesarios: gestión vía Web, otros.
Habilitación de alarmas: desconexión/conexión, cambio de
configuración, intento de conexión en puertos libres, entre otros.
Backups periódicos de programas con control de versiones.
48. Gestión de incidentes
Un gran problema es la posible confusión entre incidentes de
mantenimiento (falla de PLC por cortocircuito) como de
ciberseguridad (falla de PLC por hackeo).
Las herramientas de monitoreo de actividades no autorizadas
deben verificar el flujo de información a través de los Conduits.
Se deben integrar todos los logs generados por los diversos
sistemas: telecomunicaciones, servidores, IDSs, entre otros.
Y ni aún así existe la certeza de poder saber de primera mano si
el evento es de ciberseguridad…
Los iraníes, ucranianos, norteamericanos, entre otros pueden
dar fe de ello…
49. Gestión de incidentes
¿Cuál es el método más seguro para detectar un incidente?
Mediante auditoría de seguridad exhaustiva a todos los
elementos del proceso.
Así se detectaron a Stuxnet (Irán) y a BlackEnergy (Ucrania)
Después de varios meses…
Ante un evento de falla mayor o de alteración del
funcionamiento de la filosofía de proceso (incidente de
Operaciones), el CISO también debe formar parte del
equipo de respuesta y ejecutar los protocolos de respuesta
a incidentes de ciberseguridad, aún cuando no sepa si el
origen es ese...
50. Gestión de Continuidad de Negocios
Se debe tener disponible en las bases cercanas al sitio en físico como en
electrónico en un gestor documental:
Planos eléctricos y del PLC
Listado de todos los activos que forman parte de la estación
Repuestos de componentes críticos: CPUs, fuentes, tarjetas de AI/AO/DI/DO,
routers, switches, entre otros.
Copias de los programas de los PLCs, routers, switches, entre otros con control
de versiones verificado.
Para estaciones críticas tener un gabinete móvil de Automatización
como de Telecomunicaciones para reemplazo inmediato.
Soporte 24x7x365 de proveedores estratégicos: PLCs, SCADA, entre
otros.
Personal entrenado en recuperar operatividad de equipos.
Es decir, un Plan de DRP documentado y verificado...
51. Conclusiones
La gestión de ciberseguridad en un entorno industrial involucra además conocer el
proceso de operaciones: filosofía de operación, riesgos, gestión de incidentes,
componentes, sistemas, entre otros.
La única forma de saber si no estamos afectados por un incidente, es por una
auditoría exhaustiva de nuestros sistemas y procesos.
El CISO debe incluir en sus actividades la participación en los procesos de
investigación de incidentes en el proceso de operación del sistema.
Involucrar de forma activa a todo el personal de operaciones mediante charlas y
descripción de casos que ya sucedieron en la industria
Reemplazar las etiquetas eliminando los [ ] :
[TITULO] del Webinar. Debe ser exactamente el mismo título con el que fue promocionado. Todas las palabras deben estar en mayúsculas y sin acento.
[Su logo Aquí] Eliminar el rectángulo y reemplazarlo por su logotipo.
Reemplazar las etiquetas eliminando los [ ] :
[NOMBRE_DEL_EXPOSITOR] Nombre Real del Expositor, no sobrenombres ni nicknames. Formato: todas las palabras en mayusclas y sin acento.
[Su foto Aquí] Insertar su fotografía de medio cuerpo donde pueda distinguirse el rostro del expositor. Debe pegarlo encima del recuadro, de tal forma que se oculte el recuadro.
[user_name] Usuario, Friendly Name, etc. de su red social. Formato: una sola palabra sin espacios y en minúsculas
[url_webiste] Dirección web.
[Cargo / Logro x] De toda su experiencia, elegir los principales 4 hitos relacionados con el tema a exponer. Puede ser el cargo en una empresa, ONG u otra institución, o un logro, como por ejemplo un premio, un reconocimiento, etc.
[Logo Aquí] Logo, Isotipo de la empresa en la que trabajó. O en todo caso, imagen que refleje el logro descrito.
Reemplazar las etiquetas eliminando los [ ] :
[Su Logo Aquí] -> Logo de su empresa. Debe ser el mismo que en la diapositiva 1.
[Punto X] -> Punto de la agenda. EN formato “Oración”. Respetar mayúsculas y acentos cuando corresponda.
IMPORTANTE: No incluir más de 7 puntos.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
Reemplazar las etiquetas eliminando los [ ] :
[Título] de la diapositiva. Debe estar relacionado con los puntos descritos en la agenda.
[user_name] -> Usuario, Friendly Name, etc. de su red social. Formato: una sola palabra sin espacios y en minúsculas
[Logo Aquí] -> Logo, Isotipo de la empresa en la que trabajó. O en todo caso, imagen que refleje el logro descrito.
Solo reemplazar las etiquetas. No agregar más contenido.