Cumplimiento de la IEC62443 para minimizar riesgos de ciberseguridad

La automatización industrial se encuentra presente en todo tipo de industrias, infraestructuras y edificaciones (el mundo OT). Como en cualquier compañía que utiliza sistemas de computación, estos sistemas no son inmunes a ciberataques.

En las últimas décadas se ha ido pasando de sistemas propietarios, rígidos que prácticamente no se comunicaban entre sí, a sistemas compuestos de múltiples dispositivos que interactúan entre ellos. Para medir la calidad, el rendimiento y analizar las opciones de mejora, se han ido integrando otros sistemas satélites al proceso, que estudian las mejoras posibles y, al mismo tiempo, evolucionan los procesos. La forma de implementar estos ecosistemas y sus comunicaciones se ha basado fuertemente en tecnologías de IT, como las comunicaciones TCP/IP, uso de infraestructuras virtualizadas y usando sistemas operativos convencionales como Windows o Linux.

Todo esto ha generado un auge de la informática aplicada a la industria, pero también la incorporación de una serie de vulnerabilidades inherentes a estas tecnologías que aumentan el riesgo. Si a estas vulnerabilidades le sumamos el hecho de que los sistemas de control industrial son normalmente inseguros (tienen un ciclo de vida de décadas y un escaso ratio de actualizaciones). Estos dispositivos suelen estar construidos y diseñados para aportar fiabilidad y robustez, más que para ser seguros, típicamente ejecutan sistemas operativos y protocolos de comunicación sin protección, que los expone a casi cualquier ataque de red. En conclusión, tenemos una mezcla de incorporación de nuevas tecnologías y sus riesgos modernos con dispositivos que no están pensados en implementar características de seguridad.

Requisitos para calcular riesgos de forma objetiva con CIARA

Normalmente el CISO (Chief Information Security Officer) es el encargado de definir la gobernanza de seguridad de la información y por tanto identificar y gestionar los riesgos. Calcular un riesgo de forma objetiva no es tarea fácil y se requiere como mínimo de:

Un inventario actualizado de los activos.
Entender el estado de estos activos.
Identificar vulnerabilidades de los activos.
Identificar las amenazas, viejas y nuevas.

Para ayudar al CISO a calcular el riesgo de manera objetiva, en Becolve Digital, disponemos de CIARA, una solución que automatiza el proceso de examinar cientos de contramedidas de seguridad, la simulación de centenares de amenazas posibles y todo ello contra la imagen digital de la red que se obtiene de la infraestructura física real.

Características de CIARA

Gestiona de forma automática los siguientes datos:

Activos, protocolos, mensajes, direcciones IP, MAC, versiones de firmware, criticidad, zonas, conductos, etc.
Vulnerabilidades potenciales de los activos presentes en la red (CVEs)
Simulación de ataques basados en Mitre ICS y propios de Radiflow
Análisis del comportamiento de la red y aparición (o desaparición) de comunicaciones de la red.
Conocimiento de las amenazas actuales de la zona/sector basado en Mitre Att&ck
Detección de cambios en equipos industriales.

Con todos estos datos, CIARA es capaz de simular cuán eficaces son los controles de ciberseguridad implementados contra los ataques y amenazas conocidos que se están produciendo y, así, poder evaluar en pocos minutos cual es el nivel de riesgo al que se está expuesto realmente basándose en datos objetivos.

En base al resultado de la evaluación, CIARA propondrá una serie de acciones para mitigar el riesgo y ofrecerá diferentes criterios para balancear las propuestas entre la protección, el cumplimiento con estándares y el presupuesto.

En función de estos criterios, CIARA prioriza automáticamente los requisitos de seguridad (SR) a implementar con el objetivo de maximizar el ROI en ciberseguridad. Actualmente, algunos de los criterios de optimización incluidos son:

Impacto de Zona: ¿Cuál es el impacto económico si una zona falla?
Riesgo tolerable: ¿Cuál es la zona con menor tolerancia al riesgo?
Compliance gap: ¿Qué zonas son las que tienen una mayor discrepancia entre las medidas implementadas y lo que marcan los estándares?