Esta semana se celebran en Madrid las jornadas indicadas en el título del post. Organizadas por el Centro Criptológico Nacional, CCN, del Centro Nacional de Inteligencia, y por el Mando Conjunto del Ciberespacio respectivamente.
En el marco de la presidencia española del Consejo de la Unión Europea, las Jornadas de Ciberseguridad de este año han establecido nuevos récords en términos de participación, número de ponentes y respaldo de empresas y organizaciones del sector. Son dos de los principales congresos de ciberseguridad del país a mi juicio junto con la RootedCon. Baste recordar que la edición pasada contó con más de 11200 asistentes, de los cuales más de 4000 lo hicieron presencialmente.
Con más de 220 ponentes de renombre a nivel nacional e internacional, el evento aborda temas clave como amenazas y tendencias en ciberseguridad, desafíos futuros, operaciones militares en el ciberespacio, avances en el Esquema Nacional de Seguridad (ENS), la Red Nacional de Centros de Operaciones de Ciberseguridad (RNS), tecnologías cuánticas, postcuánticas e Inteligencia Artificial. Además, estas jornadas han recibido un apoyo histórico de 109 organizaciones públicas y privadas, incluyendo el Departamento de Seguridad Nacional, la Oficina de Coordinación Cibernética del Ministerio del Interior, INCIBE, Guardia Civil, Policía Nacional y la Organización de Estados Americanos.
Además, siempre hay invitados de campanillas. Esta ocasión el evento ha contado en su jornada inaugural con la intervención de la ministra de Defensa, Margarita Robles; la secretaria de Estado directora del CNI y CCN, Esperanza Casteleiro; y la secretaria de Estado de Digitalización e Inteligencia Artificial, Carme Artigas.
Considero que es un evento al que se debe asistir si se tiene la oportunidad. Para aprender, obtener nuevos recursos a nivel formativo o de aplicación inmediata, y hacer networking. Me dicen que antaño era complicado conseguir entrada, aunque lo cierto es que yo no he tenido problemas.
El único inconveniente de estos congresos desde mi punto de vista es carecer del don de la ubicuidad. Hay tantísimas charlas interesantes en paralelo, que genera cierto FOMO: hay salas o módulos de amenazas y tendencias, ENS y cumplimiento normativo, operaciones militares en el ciberespacio, productos y tecnologías de seguridad, rooted labs, y emprendimiento e innovación en ciberseguridad. Ni más ni menos.
Si nada se tuerce, el jueves 30 de noviembre asistiré a unas cuantas charlas, sobre todo relativas a ciberseguridad industrial, y me reuniré con algunas entidades. Si alguno estáis por allí y queréis charlar un rato, escribidme a oscar.iglesias@daferrasecure.com.
[13/12/2023: Ampliación. Incluyo el resumen de las ponencias a las que asistí el día 30, en la sala Govertis (correspondientes al Módulo de control industrial).]
La primera conferencia se titula Metodología para definir el “Inventario Esencial” para sistemas industriales.
A cargo de Nora Susana Alzúa (directora del Centro de Ciberseguridad Industrial en Argentina), y Pablo Daniel Cattaneo (fundador y consultor en PhalanX Cibersecurity).
Indican ambos que se está preparando en el CCI un paper asociado a esta iniciativa de inventariado, que estará disponible a mediados de 2024 en su web.
Arranca Nora planteando las preguntas acerca de cómo realizar adecuadamente un inventario de nuestros activos industriales, y cómo valorarlos, en línea con los preceptos de ISA/IEC 62443, ISO 27002 y NIST CSF. Resalta Pablo las diferencias con respecto a un inventario OT, y cómo la pirámide de dimensiones de la seguridad de la información está invertidas (continuidad y safety, arriba).
Comentan la necesidad de realizar inventarios mixtos (manual para dispositivos aislados, y mediante sondas automáticas como InproTech Guardian, para nodos conectados).
Los pasos para el buen inventario serán definir adecuadamente el alcance, diseñar el prototipo del esquema de información, clasificar los activos en base al riesgo, identificar a sus propietarios, ejecutar la carga de datos, revisarla, y actualizar los diseños si aplica de forma iterativa, en un proceso de mejora continua. Y por supuesto, una vez elaborado: mantenimiento diario en base a procedimientos definidos.
Finalmente describen someramente el contenido de la ficha de inventario propuesta, haciendo foco en los niveles de riesgo y de seguridad en base a ISA99/IEC62443, y qué aplicabilidad tiene este inventario realizado en términos de gestión de vulnerabilidades o valor patrimonial.
La segunda conferencia lleva por título El Amperio contra carga. Atacando a un cargador eléctrico en una Smart City.
En este caso, Marina Galiano Botella, ingeniera biomédica del CSIRT de la Comunidad Valenciana, relata la rápida transición de las ciudades a un grado importante de dependencia tecnológica en sus servicios esenciales por la vía del uso de tecnologías IoT, sin cuidar adecuadamente aspectos de ciberseguridad.
Describe las consecuencias de un ciberataque a gran escala en una smart city, en base a los estudios que han llevado a cabo en diferentes maquetas. Es fácil imaginar lo que ocurriría en caso de manipulación maliciosa de cámaras de control de tráfico, o los propios semáforos.
Posteriormente, se centra en el caso práctico de la manipulación de un cargador de coche eléctrico, posible impacto, y lecciones aprendidas (entre las que se incluye segmentación, uso de protocolos seguros, inventariar activos, o monitorización continua).
En tercer lugar, nos presentan la conferencia TEO hace un diagnóstico en una planta industrial. IEC62443–3-3 con malos ejemplos de la más rabiosa actualidad.
Esta charla corre a cargo de Miguel Rego y Borja Lanseros de Titanium Industrial Security. En ella, de forma humorística, una operadora llamada Teo nos va desgranando varios aspectos de la ISA99/IEC 62443.
Describe su alcance sistemático, holístico y proporcional, su motivación, y el desglose de la norma en familias de componentes, sistemas, procedimientos, y capa general.
Nos centramos posteriormente en requisitos de seguridad del sistema y niveles de seguridad (IEC 62443-3-3), y a quién aplica (propietarios, integradores y fabricantes), por ser quienes operan, despliegan y desarrollan respectivamente los sistemas industriales. Se inventarían los cuatro niveles de seguridad (SL, security levels), de menos a más exhaustiva, que pueden ser actuales, de capacidad u objetivos.
Pasan luego a describir los requerimientos fundacionales, es decir, los controles de seguridad básicos que deben ser aplicados (como segmentación, cifrado, gestión de sesiones, controles de acceso, copias de seguridad y recuperación… y logs y monitorización), y cómo estas medidas de seguridad se adaptan las zonas de la red industrial.
A continuación, enumeran una serie de deficiencias que encuentran de manera más habitual en los entornos industriales, ordenadas por criticidad. Recuerdan que en muchas ocasiones los problemas vienen dados por falta de coordinación de los equipos IT y OT.
Para cerrar, indican los fundamentos de diseño y modelo Purdue con dos niveles de firewalls, partición en zonas y conductos, separación de niveles mediante máquinas de salto y DMZs, accesos remotos mediante VPN y 2FA, y contar con controles auxiliares (como por ejemplo análisis de vulnerabilidades, backups, etc.).
Advierten al final de que los proyectos de securización de una planta industrial suelen ser a varios años vista, máxime si se quiere optar a niveles de seguridad altos.
La cuarta conferencia, se denomina Respuesta a Incidentes en entornos industriales: particularidades, consideraciones y diferencias.
En este caso, el ponente de la charla es Edorta Echave, arquitecto de seguridad ICS en SECURE&IT (LKS NEXT) y coordinador del CCI en el País Vasco, además de docente.
Comienza su ponencia con un interesante vídeo acerca de diferentes ambientes industriales e infraestructuras críticas, que dan buena muestra de la heterogeneidad de los entornos, y los perfiles profesionales que defienden estas redes.
Posteriormente, mediante otro vídeo expone las peculiaridades y consideraciones relevantes, todas aquellas buenas prácticas en cuanto a respuesta ante incidentes en entornos industriales para poder maximizar el uptime de los procesos productivos y evitar la parada o el modo degradado, así como algunas definiciones asociadas a la continuidad del negocio como el MTD (Maximum Tolerable Downtime) o el RTO (Recovery Time Objective), y la necesaria verificación posterior antes de la reanudación de la actividad a pleno rendimiento.
Recuerda Edorta asimismo, poniendo de manifiesto cómo de fácil puede ser manipular un PLC para conseguir el desborde de un tanque de líquido, que no solo se trata de mantener la continuidad de los procesos productivos; también de su seguridad en ambos planos (safety y security).
Apunta también con buen criterio en la parte de cuestiones, que a veces, es mejor parar, que fabricar mal.
La quinta ponencia se titula Rompiendo barreras, asegurando el futuro: mitigando riesgos en el acceso a los sistemas críticos en entornos OT
A cargo de Fernando García Vegas, ingeniero de preventa de One Identity, con amplia experiencia en el mundo OT.
Inicia con el ataque de ransomware al sistema de monitorización de radiación de Chernobyl hace pocos años, evento del que se hizo eco toda la prensa internacional. El vector de ataque fue el correo electrónico, y su ejecutor involuntario, un “happy clicker”.
Pasa a continuación de nuevo a indicar la importancia de la ciberseguridad OT, y cómo vamos tarde (aproximación perimetral tradicional, no de identidad, retraso importante frente a entornos IT, inmadurez de entornos y tecnologías, y gestión no unificada, entre otros).
Relata cómo el problema clásico en el mundo IT de la autenticación, la identificación del actor, los MFA, gestores de contraseñas, etc., también se ha trasladado a los entornos OT, desgraciadamente.
Posteriormente propone una solución PAM (Privileged Access Management) para proteger activos industriales, consistente en que todas las acciones sobre los dispositivos están auditadas y monitorizadas, y las mismas solo pueden realizarse tras validarse mediante un proceso de autorización. La contraseña además, sólo reside en el Password Vault del sistema PAM.
Recuerda para finalizar, cómo los reinos de taifas o silos no son buena idea. La gestión de la seguridad OT debe hacerse de manera unificada en todas las plantas y áreas de la organización. En caso contrario, aplicará el tan manido “la cadena será tan fuerte como el más débil de sus eslabones”.
Cerramos las sesiones matinales con el panel, ¿cómo los SOC industriales gestionan los riesgos de la ciberseguridad tecnológica del SOC, de su personal y de sus procesos?
Tenemos una mesa redonda moderada por José Valiente del CCI, con Aarón Flecha, especializado en gestión de incidentes de seguridad industrial en S21sec, Antonio Villalón, director de seguridad de S2 Grupo, y Javier Sevillano, director del SOC de Innotec Security. Se plantea una sesión interactiva de preguntas y respuesta con el público mediante respuesta online.
La primera de ellas versa sobre qué dimensión de la seguridad prima más en entornos industriales, y se genera cierto debate entre la integridad (defendida por Villalón por las posibles repercusiones para la sociedad), y la disponibilidad (que apoyan mayoritariamente el resto de ponentes y asistentes).
A continuación, cada uno de los actores explica quién es el responsable de la gestión del riesgo en sus servicios de SOC industrial, qué medidas técnicas de seguridad consideran más importantes e implementan en sus servicios de SOC, y por último las certificaciones que poseen y su alcance.
Indican con cierto tono lastimero cómo la presión regulatoria cada vez es mayor, y esto genera cierta sobrecarga administrativa para poder mantener las certificaciones exigidas para poder prestar determinados servicios a ciertos clientes, como aquellos de sectores críticos o administraciones públicas.
Pasan posteriormente a relatar cuáles son los procedimientos críticos para el funcionamiento del SOC industrial en gestión de ciberincidentes industriales, y qué consecuencias podrían llegar a tener (intentando segregar funciones para minimizar el grado de exposición).
Ya para cerrar la jornada en su horario matinal, se les pregunta que, dada la naturaleza sensible de la información que manejan, cómo garantizan la confidencialidad de los datos manejados por el personal, concluyéndose que hay acciones y controles a nivel de personas, procesos y tecnología, pero como sabemos, el riesgo cero no existe.
Recuerda que tenemos disponible el formato de formación tradicional en nuestro curso de ciberseguridad GRC, o el de trabajo garantizado, en el que solo pagarás la totalidad si encuentras trabajo, y lo harás de manera cómoda: ¡te ayudaremos a buscarlo!
Stay secure,
Óscar