Normativas de seguridad en sistemas de control

Publicado el 03/07/2015, por INCIBE
Normativas de seguridad en sistemas de control

La normativa en los sistemas de control se ha centrado principalmente en aspectos propios del funcionamiento de los dispositivos o a la especificación de protocolos de comunicación. Estas normativas tenían, además, la característica de ser abiertos en cuanto a la interpretación que podía realizarse de los mismos, por ejemplo la especificación del protocolo IEC 61870-5-101 permite la implementación de diferentes perfiles incompatibles entre ellos y todos ellos cumpliendo el estándar.

En los últimos años, el sector industrial ha empezado a demandar normativa de seguridad para proteger sus instalaciones. De esta necesidad han surgido un gran grupo de normas y guías de seguridad, de las que a continuación se recogen las características de algunas de las más importantes.

ISA99

La norma ISA99 engloba un conjunto de guías e informes técnicos, de los que finalmente sólo se publicaron las dos primeras guías (ANSI/ISA-99.01.01-2007 y ANSI/ISA-99.02.01-2009) y un informe técnico (SI/ISA-TR99.01.02-2007).

La primera guía publicada incluye los conceptos, términos y modelos que se han de usar en el resto de componentes de la serie. La segunda guía publicada describe los elementos necesarios para la implantación de un sistema de gestión de la ciberseguridad y cómo conocer los requerimientos de cada elemento.

El informe técnico publicado recoge una serie de herramientas de seguridad, al igual que su modo de implantación y despliegue dentro de los sistemas de control. Este informe fue actualizado para recoger nuevas herramientas.

El desarrollo de esta norma se detuvo cuando se tomó la decisión de iniciar la norma ISA IEC 62443, que recoge toda la información ya desarrollada por la ISA y define nuevos entregables.

IEC 62443

La norma IEC 62443, elaborada por el grupo TC65 de la IEC, surge como evolución de la norma ISA 99, con la intención completarla y ampliar sus capacidades de actuación.

La norma se compone de un total de 13 documentos, de los cuales algunos ya están publicados de forma oficial y el resto en estado de borrador. Los documentos se dividen en 5 informes técnicos, 1 especificación técnica y 7 guías, agrupadas en cuatro bloques según su contenido: General, Políticas y procedimientos, Sistema y Componentes.

- Estado de desarrollo de los documentos que componen la norma IEC 62443 -

Los documentos publicados son:

  • IEC/TS 62443-1-1:2009: Especificación técnica que define la terminología, conceptos y modelos para los sistemas de control y automatización industrial. Es la actualización del documento ANSI/ISA-99.01.01-2007 de la ISA99.
  • IEC 62443-2-1:2010: Este documento se corresponde con el documento ANSI/ISA-99.02.01-2009 publicado por la ISA 99, describiendo el sistema de gestión de la ciberseguridad para sistemas de control.
  • IEC/TR 62443-3-1:2009: Renueva el informe técnico SI/ISA-TR99.01.02-2007 con nuevas herramientas de seguridad para IACS.
  • IEC/PAS 62443-3-3:2008: Especificación disponible para todo el público cuyo objetivo es la creación de un marco que asegure las tecnologías de comunicación y la información referentes a los procesos industriales.

NIST SP 800-82

El propósito de esta publicación realizada por el Instituto Nacional de Estándares y Tecnología (NIST) estadounidense es proporcionar una guía para la seguridad de los sistemas de control, incluyendo sistemas SCADA (Supervisory Control And Data Acquisition), DCS (Distributed Control System) y otros sistemas que trabajan en los sistemas de control.

El documento define topologías típicas de estos sistemas, identifica amenazas y vulnerabilidades y proporciona recomendaciones y contramedidas para mitigar los riesgos asociados.

El documento fue publicado en el año 2011, actualmente se está elaborando una segunda revisión que se encuentra en fase de último borrador para ser candidato de publicación.

NIST SP 800-53

Al igual que el NIST SP 800-82, este documento también ha sido desarrollado por el NIST.

El propósito de la publicación es proporcionar una guía de controles de seguridad para los sistemas de información. Aplica a todos los componentes de un sistema de información que procesa, almacena o transmite información.

El apéndice F del documento recoge una serie de controles de seguridad, diseñados para facilitar el cumplimiento con diversas leyes. El propio NIST publicó una serie de guías adicionales, ICS Supplemental Guidance, ICS Enhancements (one or more) e ICS Enhancement Supplemental Guidance, que ayudan e indican como han de aplicarse los controles publicados en NIST SP 800-53 sobre los sistemas de control industrial, así como información de cuáles aplican y cuáles no.

La guía se encuentra en este momento en la versión 4, publicada en 2013.

RG 5.71

La comisión de regulación nuclear de los Estados Unidos (NRC) publicó esta guía para establecer los controles para el cumplimiento de las regulaciones de la comisión respecto a la protección de los ordenadores, las comunicaciones y las redes frente a ciberataques.

La guía RG 5.71 (Regulatory Guide 5.71) describe una estrategia de defensa consistente en una arquitectura defensiva y un conjunto de controles basados tanto en NIST SP 800-82 como en NIST SP 800-53. Los controles están divididos en tres categorías: técnicos, operacionales, y gestión.

Las normativas que se han mencionado son las más importantes para el sector industrial y las que más se consultan e intentan cumplir, principalmente por cubrir todos los aspectos de la seguridad y no estar focalizados en un entorno específico (a excepción de RG 5.71).

Además de estas normas, existen otras normativas que también son importantes y es necesario destacar. Estas otras normativas están centradas en algún sector específico, principalmente en el sector eléctrico, que es el más avanzado; o en alguna función de seguridad concreta.

NERC CIP

El NERC es el organismo regulador de la energía de los Estados Unidos. Para poder valorar la seguridad de las instalaciones y del sector en general creó una serie de guías con controles de obligado cumplimiento. Originalmente crearon 9 guías, de las que todas menos la primera están relacionadas con la ciberseguridad, posteriormente ampliaron el número total a 11. Actualmente está en vigor la versión 3 y en desarrollo la versión 5 (excepto para CIP-010 y CIP-011 que es la versión 1).

Este estándar reconocer los diferentes roles de cada entidad en la operación del sistema eléctrico, la criticidad y las vulnerabilidades de los activos que lo componen y los riesgos a los que están expuestos.

Las demandas para la gestión y el mantenimiento de un sistema eléctrico más seguro por parte del negocio y la parte operativa hacen que los ciberactivos tengan que soportar cada vez más funciones y procesos catalogados como críticos, para comunicarse entre ellos intercambiando datos y servicios. Esto se traduce en un aumento de riesgo para estos ciberactivos ya que al tener una mayor exposición se pueden incrementar los ciberataques a los mismos.

IEC 62351

El ámbito de actuación de la norma IEC 62351 es la seguridad en las operaciones de control del sector energético. El objetivo principal es acometer el desarrollo de estándares de seguridad para los protocolos de comunicaciones definidos por el grupo IEC TC 57, específicamente IEC 60870-5 (IEC101, IEC104, etc.), IEC 60870-6 (ICCP), IEC 61850 (MMS, GOOSE), IEC 61970 y IEC 61968.

La norma IEC 62351 se divide en 11 documentos independientes, siendo el primero la introducción a la norma, el segundo el glosario de términos y el resto el conjunto de medidas de seguridad, aplicadas por familias de protocolos. Los últimos documentos unidos a la norma definen la implementación de medidas como el control de accesos basado en roles (RBAC – Role Based Access Control), la gestión de claves, la definición de una arquitectura de seguridad o las medidas de seguridad para utilizar con ficheros XML.

IEEE 1711-2010

IEEE 1711-2010 proviene del trabajo realizado en la elaboración del documento IEEE P1689, cuyos requerimientos fueron incorporados en esta norma. A su vez, el documento IEEE P1689 proviene de la norma AGA12, desarrollado para el sector gasista americano y que recoge medidas criptográficas a aplicar en los sistemas de control para mejorar la seguridad.

IEEE 1711-2010 define un protocolo serie de seguridad para dos tipos de módulos criptográficos: el módulo criptográfico SCADA (SCM) para proteger el canal serie SCADA; y el módulo criptográfico de mantenimiento (MCM) para proteger el canal de manteamiento, habitualmente implementado sobre modem.

IEEE 1686-2007

El estándar IEEE 1686-2007 define las funciones y características que deben ser proporcionadas por los IED (Intelligent Electronic Device) para acomodarse a los programas CIP (Critical Infrastructures Protection).

El estándar expresa qué salvaguardas, mecanismos de auditoría e indicadores de alarma debe proveer el fabricante del IED (Intelligent Electronic Device) relacionadas con todas las actividades asociadas a acceso, operación, configuración, cambio de firmware y recuperación de datos e información. También permite al usuario definir un programa de seguridad alrededor de las características indicadas.

El estándar está desarrollado siguiendo los controles y medidas de seguridad publicados por el NERC en su conjunto de normas CIP, pero puede ser aplicado sobre cualquier IED, esté afectado o no por la norma, donde se requieran características de seguridad.

 

Existen otros muchas normativas de seguridad que ya han sido reemplazas por otras más modernas que recogen nuevos controles o características (AGA12, API 1164, etc.) y otras que no aplican en Europa y que por lo tanto no han sido recogidas en este artículo (C12.19, C12.22, etc.).