Las AA.PP. en el Anivel español, se empezó. Protección de Infraestructuras Críticas TIC. Ventura de Miguel. Ministerio de la Presidencia

Transcripción

1 Protección de Infraestructuras Críticas TIC Ventura de Miguel Ministerio de la Presidencia Anivel español, se empezó en 2005 la recopilación de un catálogo de Infraestructuras Estratégicas (IE) por parte del Cuerpo Nacional de Policía y de la Guardia Civil (en sus jurisdicciones). El catálogo se declaró secreto. En mayo de 2007 se realizó el Plan Nacional de Protección de Infraestructuras Críticas aunque está clasificado y en él se dividían las IE en tres niveles siendo las Infraestructuras críticas las más importantes. EL Gobierno creó en el CM del 2 de noviembre de 2007 el Centro Nacional de Protección de Infraestructuras Críticas, CNPIC dependiendo de la Secretaría de Estado de Seguridad y entre sus funciones están la de coordinar, junto con un Grupo Interministerial que se creó en el verano de 2008 con representantes de múltiples organismos de la Administración, la redacción de un Real Decreto sobre Protección de Infraestructuras Críticas que además de transponer la Directiva Europea sirva de base para la regulación de este tema en nuestro país. Durante el mes de abril pasado el borrador de este RD estuvo en exposición pública y voy a intentar esquematizar su contenido. Proyecto de RD de Protección de Infraestructuras Críticas El Sistema de Protección de Infraestructuras Críticas se compone de los siguientes agentes: Órgano Superior Responsable: Secretaría de Estado de Seguridad del Ministerio del Interior (Diseñar y Dirigir la Estrategia). CNPIC: Organismo director y coordinador asiste a la SES. Organismos competentes en el Sector Ministerios y organismos integrados en el Sistema, incluidos en el anexo I del proyecto. Ayudan en los Planes Sectoriales (Aportan el conocimiento del Sector y se hacen responsables en su sector) Comisión Nacional para la Protección de las Infraestructuras Críticas: Órgano Político de Coordinación. (Com PIC) Presidida por el SES con componentes Directores generales CNI, DISSC, Defensa, Protección Civil, etc. (se reúnen mínimo una vez /año). Grupo de Trabajo Interdepartamental GTI PIC. Seguimiento de cumplimiento y coordinación. Asistencia a la Comisión PIC Responsable de los Planes Sectoriales que incluyen los Planes Operativos de Protección. Grupos de Trabajos Sectoriales a crear (facultativo) por el GTI PIC con CNPIC. Por lógica coordinarán el desarrollo de los Planes Sectoriales, los Operadores están representados. Operador Crítico. Aquel que opere alguna IC. Puede plantear objeciones a designación, pueden ser públicos o privados y colaboran en el desarrollo de los Planes Sectoriales, obligaciones: Plan de Seguridad del Operador para el conjunto de sus IC. Plan de Protección Específico para cada IC. Nombrar un responsable de Seguridad y enlace. Nombrar un Delegado de Seguridad por cada IC. Delegaciones del Gobierno en las CCAA o CCAA si tienen transferidas competencias. Diseñar un Plan de Apoyo Operativo (PAO) de las FCSE que validará el CNPIC. Velar por cumplimiento Planes y activar PAO. Todo dentro de unas especificaciones, contenidos, plazos, etc. Los datos sensibles serán tratados acorde a su sensibilidad en todos los niveles. Es decir la responsabilidad de los planes de protección es julio/agosto

2 La Voz de la Administración compartida por ambas partes, Gobierno y Operadores. Aquí se tendrían que ver en qué escenarios es suficiente el Plan del Operador o necesita desplegarse el Plan de Apoyo Operativo con intervención de las Fuerzas y Cuerpos de Seguridad del Estado (FCSE). Como muestra de las definiciones que se dan en el RD se presentan tres de las más importantes: Servicio público esencial: el servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y de las Administraciones Públicas. (del proyecto del RD). Infraestructuras Críticas. Aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas. (De la web del CNPIC) (Aclarar que aunque las definiciones son similares hay matices distintivos en la de cada país). Criterios horizontales de criticidad: los parámetros en función a los cuales se determina la criticidad de una infraestructura, valorados en términos de: El número potencial de víctimas mortales o de lesiones graves que pueda producir. El impacto económico en función de la magnitud de las pérdidas económicas y/o el deterioro de productos o servicios, incluido el posible impacto medioambiental. El impacto público, por la incidencia en la confianza de la población, el sufrimiento físico y la alteración de la vida cotidiana, incluida la pérdida de servicios esenciales. Quiero dejar constancia de que todo lo anterior no está aprobado todavía y se basa en el proyecto del RD y que es un resumen muy breve realizado por el autor, pero que sirve para hacerse una idea del enfoque. Un apunte aquí es que como se sabe el Gobierno encargó a Solana la redacción de la Estrategia Española de Seguridad que está prevista para noviembre y que en buena lógica no puede evitar el tema de la Protección de las Infraestructuras Críticas, por lo que podría haber algún cambio. Otra de las preguntas que siempre se hace: Cuántas IC tenemos? 93 julio/agosto 2010

3 El Catálogo de Infraestructuras Estratégicas, según se dijo en un Congreso en febrero constaba de unas 4.700, pero no son todas críticas. Si en EEUU iban por unas hace un par de años y en Francia les han salido unas 600 se supone que en España tendremos unas 450 (± 10%). Sectores Los países han dividido sus IC de manera similar aunque siempre hay diferencias, por ejemplo muchos países han sacado el tema de las Infraestructuras de Defensa fuera de esta regulación mientras Francia lo ha incluido; EEUU ha incluido un sector con lo que podría llamarse Iconos Nacionales es decir infraestructuras como la Estatua de la Libertad por que su destrucción afectaría sobremanera a la moral de sus ciudadanos. En la versión actual del decreto en España tiene los sectores siguientes (web del CNPIC): Administración Alimentación Energía Espacio Sistema Financiero y Tributario Agua Industria Nuclear Industria Química Instalaciones de Investigación Salud Tecnologías de la Información y las Comunicaciones Transporte. Sector TIC En borradores anteriores el sector TIC estaba compuesto de varios subsectores: Navegación y Comunicaciones por Radio. Telecomunicaciones Fijas. Telecomunicaciones Móviles. Comunicaciones Satélite. Radiodifusión. Internet. Dado que la problemática parece diferente para las Comunicaciones y para las Tecnologías de Información, los EEUU han dividido este sector en dos sectores diferentes C e IT (esto en España se puede llamar Infraestructuras de Información) y han hecho Planes diferentes. Otros muchos países lo han hecho como España. El problema que se plantea aquí es el siguiente: Las tecnologías de Información están presentes en todos los sectores pero son de especial importancia en los Sistemas de Monitorización y Control de los Sistemas Industriales (se denominan SCADA Supervisory Control and Data Acquisition). Dónde se ubica la protección de esos sistemas? Aunque funcionalmente forman parte del sector donde está el servicio esencial, del que forman parte, por similitud de Análisis de Riesgos y contramedidas formarían parte del sector TIC. De hecho entre las guías del CCN hay una serie específica de guías de protección SCADA (Serie STIC 480). Análogamente los grandes centros de Servicio de la Administración electrónica, aunque están dentro del Sector de la Administración, quizá sus planes de protección estén más ubicados lógicamente en este sector. Son estas cosas las que están por decidir, como se ve, las divisiones por sectores no julio/agosto

4 La Voz de la Administración son disjuntas, sino como no podía ser de otro modo todo está muy relacionado. Antes de seguir me gustaría hacer un apunte en el sentido de que a nivel de Infraestructuras de Información, hay dos conceptos que tienden a confundirse y que aunque no son iguales al final deben coordinarse ya que su separación es muy problemática. Los conceptos son: Protección del Ciberespacio entendiendo Ciberespacio=Internet (que al final converge con la Telefonía) y Protección de Infraestructuras Críticas de Información. En mi opinión la protección en/de Internet debe mejorarse emprendiendo una actuación proactiva y la de Infraestructuras Críticas de Información deben protegerse especialmente pero tomando como base las medidas anteriores, es decir el Ciberespacio es más amplio que las Infraestructuras Críticas de Información y además su protección está relacionada. (Indudablemente hay redes de Infraestructuras Críticas no conectadas a Internet que también deben protegerse suficientemente). Pero estos dos conceptos muchas veces se utilizan indistintamente aunque no se debiera. Objetivos de un Sistema de Protección de Infraestructuras de Información Para dar al lector una idea del significado y dimensiones de la tarea de protección de las ICI (Infraestructuras Críticas de Información), me voy a permitir poner una lista de objetivos estratégicos extraídos de algunos documentos de Políticas nacionales o de la UE, para poderse hacer una idea; como puede verse son a gran nivel, con lo que lo difícil como siempre, es materializarlos. Indudablemente su importancia no es uniforme y habría que matizar mucho. Los objetivos estratégicos pueden considerarse en tres áreas: Prevención: protección adecuada de las ICI (y de los Sistemas SCADA) que debe hacerse de forma metodológica a través de un Análisis de Riesgos. Cuando se realice este Análisis se debe prestar especial atención a los riesgos provenientes de amenazas terroristas o activistas, aunque sin olvidar los desastres naturales o accidentes no intencionados de personas. Esto es debido a que este tipo de amenazas es el que se ha tenido en cuenta normalmente. Aquí entra también el Análisis forense. Respuesta Preparación y planificación de una respuesta al incidente, que incluye la recuperación del incidente y del Servicio. Sostenibilidad: Mejora de la competencia de nuestras instalaciones (personal e industrial), desarrollo e investigación sobre seguridad y estándares y cooperación a nivel Internacional. Una de las muchas listas posibles: Generales Mejora de la concienciación e información sobre los riesgos que implica el uso de la TI. Establecimiento de una estructura organizativa flexible y operativa a nivel administrativo que vertebre toda la estructura de protección de las ICI. Medidas para que los Operadores del Sector Público sean pioneros, etc. Una web que actúe como centro de información de todas las IC, espacio colaborativo, etc. Necesidad de un punto central nacional con competencias y autoridad para la protección de ICI. Prevención Identificación, catalogación, mantenimiento, etc. de las ICI a proteger. 95 julio/agosto 2010

5 Protección de la información confidencial (Autenticaciones y Control de acceso). Establecimiento de las salvaguardas adecuadas a través de una metodología y un análisis de riesgos. Coordinación. Respuesta Detección ASAP de incidentes y notificación a un Centro de Coordinación (-> Vigilancia). Identificación, registro y evaluación de los incidentes y difusión. Respuesta coordinada a los incidentes. Realización de tests de penetración, ejercicios y simulacros. Sostenibilidad Formulación y proposición de políticas y normativa a nivel nacional e internacional. Estándares. Promoción de productos de tecnologías de información confiables y seguros. Promoción de productos para la securización de información. Seguimiento y evaluación de implementación de políticas de seguridad en las ICI (auditorías, certificaciones). Coordinación y adecuación de las políticas nacional e internacional. Mejora de la capacidad técnica promocionando la enseñanza en Escuelas, Universidades, Empresas etc. Difusión de mejores prácticas etc. Concursos de hackers Asesoramiento. Promoción tesis doctorales o trabajos de investigación. Establecer asociaciones (alianzas) duraderas (estables) y colaborativas con sector privado respecto a la seguridad. Uno de los aspectos más importantes y más costosos es el aprendizaje, y esto se consigue con la experiencia y para ello lo ideal es hacer ensayos o ejercicios. Los EEUU han realizado dos ejercicios a gran escala (Cyberstorm) el último con participación del entorno anglosajón (Canadá, Reino Unido, Australia, etc.) y los realiza cada dos años. El Reino Unido hizo el año pasado un ejercicio, al igual que Alemania, Francia, etc., y para noviembre está previsto un ciber ejercicio inicial básico a nivel paneuropeo, coordinado por ENISA. Los ejércitos, entre ellos el español, han hecho ciber ejercicios aunque son muy difíciles de montar y con un alcance relativo. De hecho se está considerando el Ciberespacio como un espacio más y además muy importante en la defensa/ataque de los países. Otras Iniciativas a nivel Protección de Infraestructuras Críticas de Información Una iniciativa temprana a este nivel fue la propiciada por el Reino Unido denominada Meridian con el fin de fomentar el intercambio de experiencias y establecer confianza entre puntos de contacto de los diferentes países y sectores de todo el mundo. Es a nivel gubernamental; hay una reunión anual y es poco pública. Más iniciativas son de Naciones Unidas, el G8, la OCDE (OCDE Guidelines), la ITU International Telecommunication Union, etc. Actualmente los países están muy preocupados con la protección de los equipos SCADA y hay muchas iniciativas al respecto. A nivel español, y con la presidencia actual de la UE, se están celebrando eventos con participación internacional, los últimos de los cuales fueron organizados por INTECO en León y por el CNPIC en Madrid y en la web de estos organismos se encuentra información y presentaciones al respecto. Referencias web y documentos (1) Un punto de entrada para el tema de Ciberespacio y julio/agosto

6 La Voz de la Administración Protección de Infraestructura de Información es el compendio International CIIP Handbook 2008/2009 que la Universidad de Zurich saca cada dos años basándose en encuestas que envía a responsables de muchos países. blications/crn_team/detail.cfm?id =90663 (2) USA. Department of Homeland Security DHS (3) USA. National Strategy for the Physical Protection of Critical Infrastructures and Key Asset (Feb 2003) ublications/publication_0017.shtm (4) USA. The National Strategy to Secure Cyberspace (February 2003) ublications/editorial_0329.shtm Se puede descargar un resumen Ejecutivo de 7 páginas que es suficiente. (5) USA. Directiva Presidencial: Critical Infrastructure Identification, Prioritization, and Protection ocs/nspd/hspd-7.html (6) USA. The Critical Infrastructure and Key Resources (CIKR) Sectors and Plans, mayo 2007 Colección de planes específicos por sectores (17 2n total) algunos accesibles a través de esta página prot/programs/gc_ shtm (7) Punto de entrada de Ciberseguridad en el DHS rograms/cybersecurity.shtm UE (8) Nov Libro verde sobre un programa europeo para la protección de infraestructuras críticas Este libro verde planteaba una serie de preguntas a los países miembros sobre su opinión para abordar la Protección de las IC. (responsabilidad nacional o comunitaria, objetivos, principios clave etc.,) debían responderse en 2 meses. (9) Marzo 2009 Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones. Proteger Europa de ciberataques e interrupciones a gran escala: aumentar la preparación, seguridad y resistencia LexUriServ/LexUriServ.do?uri=CO M:2009:0149:FIN:ES:PDF (10) Dic UE DIRECTIVA 2008/114/CE DEL CONSEJO de 8 de diciembre de 2008 sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. LexUriServ/LexUriServ.do?uri=OJ: L:2008:345:0075:0082:ES:PDF (11) La SETSI realizó en abril del 2007 un documento muy interesante con el título Estudio Técnico, Jurídico y Económico sobre la Situación en España de las Infraestructuras Críticas de la Información. Pero no está disponible públicamente. (12) Repositorio de la ITU sobre ciberseguridad. D/cyb/cybersecurity/ Alemania (13) Protection of Critical Infrastructures Baseline Protection Concept ternet/content/common/anlagen/ 97 julio/agosto 2010

7 Broschueren/2007/Basisschutzko nzept kritische Infrastrukturen en,templateid=raw,property=public ationfile.pdf/basisschutzkonzept_ kritische_infrastrukturen_en.pdf Mejor ir a la web central seleccionar Inglés y allí en el menú ir a Publications y buscar este documento o buscar directamente en Google. (14) National Plan for Information Infrastructure Protection ternet/content/common/anlagen/ Nachrichten/Pressemitteilungen/20 05/08/National Plan for Inform ation Infrastructure Protection,te mplateid=raw,property=publication File.pdf/National_Plan_for_Informati on_infrastructure_protection.pdf o asimismo búsqueda por Google (15) ENISA European Network and Information Security Agency Realizó en 2009 un estudio comparativo de los países Europeos pero no es público. (16) UK. CPNI Centre for the Protection of Critical Infrastructures ( (17) Francia. Agence nationale de la sécurité des systèmes d information ( (18) Holanda. Nationaal Adviescentrum Vitale Infrastructuur (NAVI) (19) Australia. Critical Infrastructure Protection gd.nsf/page/nationalsecurity_criti calinfrastructureprotection#c1 (20) Canadá. Critical infrastructure protection /em/cip-eng.aspx Idaho National Laboratory. USA. Programa Nacional SCADA (21) INTECO. Instituto Nacional de Tecnologías de la Comunicación ( (22) CCN. Centro Criptológico Nacional ( (23) Atentado de Oklahoma en do_de_oklahoma_city Siglas: SES: Secretaria de Estado de Seguridad ITU: Internacional Telecommunication Union. Unión Internacional de Telecomunicaciones FCSE: Fuerzas y Cuerpos de Seguridad del Estado IC: Infraestructura Crítica PIC: Protección de Infraestructuras Críticas EPCIP: European Protection Critical Infrastructures Proteccion en castellano PEPIC Plan Europeo para la Protección de Infraestructuras Críticas CIWIN: Critical Infrastructure Warning Information Network ERN-CIP: European Reference Network for Critical Infrastructure Protection SCADA: Supervisory Control and Data Acquisition podría traducirse como Equipos de Monitorización y Control Industrial UE: Unión Europea CNPIC: Centro Nacional de Protección de Infraestructuras Críticas DHS: Department of Homeland Security (USA). Este artículo es la segunda y última parte del publicado en el número anterior en las páginas 128 a 131 julio/agosto