La Protección de las Infraestructuras Críticas: el caso de España

Transcripción

1 La Protección de las Infraestructuras Críticas: el caso de España CNPIC Creación en el año Dependencia del Ministerio del Interior a través de la Secretaría de Estado de Seguridad Misión: Desarrollo del PNPIC Gestión del Catálogo Nacional de Infraestructuras Estratégicas 1

2 Ejes de trabajo Sistema Integrado PIC Implantación legislación PIC Participación Público Privada (confianza y cooperación mutuas) Catálogo IC Ciberseguridad de las IC Operación CERTSI Coordinación operadores y FCSE Ley 8/2011 RD 704/2011 Cat. Nacional Infraestructuras Estratégicas CERTSI OCC Conceptos PIC: Qué es una Infraestructura Crítica? 2

3 Infraestructuras Críticas. cuando su funcionamiento es indispensable y no permite soluciones alternativas Instrumentos de Planificación PNPIC Gobierno Elaborados por el GTPIC SEGURIDAD OPERADOR De cada operador crítico PROTECCIÓN ESPECÍFICOS De cada infraestructura crítica APOYO OPERATIVO Medidas adicionales y excepcionales de seguridad 3

4 Plan Nacional de PIC PNPIC SEGURIDAD OPERADOR PROTECCIÓN ESPECÍFICOS APOYO OPERATIVO Elaborado por la SES: dirige y coordina las actuaciones de las AAPP y los operadores críticos. Articula medidas preventivas para asegurar la protección permanente. Prevé distintos niveles de seguridad e intervención policial relacionado con el Plan de Prevención y Protección Antiterrorista. Aprobado año 2007, actualizado 2016 Contempla cinco niveles de seguridad Planes Estratégicos Sectoriales PNPIC SEGURIDAD OPERADOR PROTECCIÓN ESPECÍFICOS APOYO OPERATIVO Elaborados por los Grupos de trabajo PIC. Coordinados por el CNPIC. Liderados por los Ministerios competentes. Aprobados por la Comisión PIC. Finalidad Conocer: Funcionamiento de los servicios esenciales. Vulnerabilidades del sector. Consecuencias potenciales de su inactividad. Medidas organizativasnecesarias para su mantenimiento. 4

5 Planes Estratégicos Sectoriales (estructura) Análisis de la normativa Internacional Europea Nacional Sectorial Actividades y aspectos regulados Evitar incompatibilidades y duplicidades Planes Estratégicos Sectoriales (estructura) Servicios esenciales y funcionamiento del Sector Subsector Ámbito Segmento 5

6 Planes Estratégicos Sectoriales (estructura) Tipología de infraestructuras e identificación de operadores Planes Estratégicos Sectoriales (estructura) Interdependencias 6

7 Planes Estratégicos Sectoriales (estructura) Criticidad del servicio I. Víctimasy consecuencias para la salud pública II. Impacto económicoy deterioro de productos y servicios III. Impacto medioambiental y degradación del lugar IV. Impacto público y social y deterioro de servicios esenciales Planes Estratégicos Sectoriales (estructura) Análisis de riesgos Tablas de amenazas Análisis del impacto Medidas organizativas Medidas de carácter genérico 7

8 Planes Estratégicos Sectoriales (Sectores) Administración Salud I. Química Financiero Alimentación TIC Energía Espacio Investigación Transporte Agua Nuclear Planes Estratégicos Sectoriales (estructura) Proceso de designación 8

9 Planes de Seguridad del operador PNPIC SEGURIDAD OPERADOR PROTECCIÓN ESPECÍFICOS Documentos estratégicosde las políticas de seguridad del operador. Relación de servicios esenciales que presta. Metodología de análisis de riesgos que garantice la continuidad de los servicios proporcionados. Debe fijar criterios de implantación de las medidas de seguridad adoptadas. APOYO OPERATIVO Planes de Protección Específicos PNPIC SEGURIDAD OPERADOR Define medidas concretas que garanticen la seguridad integral. Medidas permanentes y temporales en función de la activación de niveles del PNPIC. Debe fijar criterios de implantación de las medidas de seguridad adoptadas. PROTECCIÓN ESPECÍFICOS APOYO OPERATIVO 9

10 Planes de Apoyo Operativo PNPIC SEGURIDAD OPERADOR Para cada infraestructura crítica se desarrollará un plan sobre medidas concretas de apoyo de las AAPP. Elaborado por el Cuerpo Policial estatal o autonómico competente. Medidas de vigilancia, prevención, protección y reacción. PROTECCIÓN ESPECÍFICOS APOYO OPERATIVO La Ciberseguridad de las Infraestructuras Críticas: el caso de España 10

11 Oficina de Coordinación Cibernética La misión de la Oficina de Coordinación Cibernética (OCC) es la de centralizar todas las actividades relacionadas con la cibercriminalidad, el ciberterrorismo y la ciberseguridad de las infraestructuras críticas, dentro del marco competencial del Ministerio del Interior Objetivos de la OCC Coordinar la respuestaante un ciberincidenteenlazandocon el CERTSIy con la unidad tecnológica de las FCSE. Establecer un canal de alerta temprana e intercambio de información sobre vulnerabilidades, ciberamenazas y ciberataques. Conciencia situacional fidedigna del estado de la ciberseguridad a nivel nacional. 11

12 Rol de la OCC Dispositivos Ciberseguridad Proclamación de Felipe VI como Rey de España 12

13 El CERT de Seguridad e Industria (CERTSI_) es la Capacidad de Respuesta a incidentes de Seguridad de la Información del MINETUR y del MIR, adscrito al CNPIC y al INCIBE, y operado por éste último. Este servicio se creó en el año 2012 a través de un Acuerdo Marco de Colaboración en materia de Ciberseguridad entre la SETSI y La SES. Actualmente es regulado mediante Acuerdo de 21 de octubre de 2015, suscrito por ambas Secretarías. El CERTSI_ es el CERT Nacional español competente en la prevención, mitigación y respuesta ante incidentes cibernéticos en el ámbito de las empresas, los ciudadanos y los operadores de infraestructuras críticas. Convenio SES-SETSI (04/10/2012) CERT de Seguridad e Industria Objetivos del convenio LUCHA CONTRA LOS CIBERDELITOS Y EL CIBERTERRORISMO PROTECCIÓN DE LAS IICC DIFUSIÓN, CONCIENCIACIÓN, FORMACIÓN Y CAPACITACIÓN 13

14 Respuesta a incidentes Detección proactiva Alerta temprana Detector de incidentes Information gathering Ciber-ejercicios Preventivos Servicio en formato 24x7 Análisis y resolución de incidentes en Operadores pic@certsi.es Respuesta a incidentes en infraestructuras críticas

15 PPPA Instrucción 3/2015 DIFUSIÓN LIMITADA 15

16 Guía de reporte de ciberincidentes AMENAZA APT VULNERABILIDAD 0-DAY 13 categorías DENEGACIÓN DE SERVICIO DISTRIBUCIÓN DE MALWARE RANSOMWARE DEFACEMENT INFECCIÓN MALWARE REPORTE DE INCIDENTES Clasificación de incidentes que sirve de orientación Siempre deberá considerarse la de mayor impacto. Para cada categoría, se precisa: Definición Contexto Ventana de Reporte Nivel PNPIC 16

17 Guía de reporte de incidentes Nivel 1 Bajo Nivel 2 Moderado Nivel 3 Medio Nivel 4 Alto Nivel 5 Muy alto SLA CERTSI: 90 SLA: 60 SLA: 45 SLA: 30 No hay obligación de reportar para los operadores Se reportarán incidentes: 0 Day APT DoS/DDoS Se reportarán incidentes: Nivel 3 Intrusión Ransomware fuga de datos defacement Se reportarán incidentes: Nivel 4 Malware Escaneos ingeniería social INTERCAMBIO DE INFORMACIÓN FUNDAMENTO: Compartir los IOCsdel malware conocido para facilitar la detección Anonimizaciónde la información compartida. Nodos de entrada para alimentación. Nodos de salida para obtención de información. Análisis de la información por parte de CERTSI. 17

18 Incidente reportado INTERCAMBIO DE INFORMACIÓN Entrada manual por el CERTSI_ Usuario 1 Usuario 2 Usuario N Acceso vía WEB por otras organizaciones Conexión automatizada a repositorios de información Nodo N Federación con otras organizaciones del país INTERCAMBIO DE INFORMACIÓN Intercambio de información sobre CIBERAMENAZAS: Eventos vivos en el momento de su adición o publicación. Amenazas reales. De utilidad para distintas entidades. Ejemplos: Malware dirigido Botnets DDoS Ransonware Troyanos Fraude que pueda afectar a nivel sectorial/mundial 18

19 Ciberejercicios Beneficios 1. Mejorar capacidades técnicas 2. Coordinación interna y externa 3. Mejorar los mecanismos de comunicación 4. Concienciación a todos los niveles CyberEx Fases implementadas: Fase I: Ataque continuado Fase II: Roleplay Fase 3: Simulación de incidente 18 Especialización Sector Financiero 13 2 Equipos confirmados Bancos Sociedades valores 2 1 Medios de pago Aseguradoras 28 de septiembre 19 de octubre 19

20 CyberEx 2016 VUELTA A UN EJERCICIO MULTISECTORIAL Criterios de participación Operadores críticos Orden de solicitud Gracias por su atención 20