IEC 62443 CIBERSEGURIDAD EN TO, ES NECESARIO? Manejando el ciber riesgo operacional Ing. Ing. Gabriel Faifman Gabriel es Director de Programas Estratégicos de Wurldtech. Es uno de los expertos que representa a Canadá en el desarrollo del estándar de ciberseguridad para Sistemas de Control Industrial IEC 62443-2-4 (TC65 WG10 / WG3). Miembro con derecho a voto en el comité ISA99. Por mas de 25 años ha diseñado, instalado y operado soluciones de automatización y protección de infraestructuras criticas incluyendo energía, petróleo, bebidas y alimentos, y transporte. Planeo y opero la ciberseguridad del Aeropuerto Internacional de Vancouver durante los Juegos Olímpicos de Invierno 2010 Gabriel es Ingeniero Electrónico de la Universidad de Buenos Aires. Certificado por la National Security Agency (NSA) como Infosec Professional, ha participado en ejercicios defensivos con organismos de seguridad. 1
Acerca de Wurldtech TIMELINE Fundada en Septiembre de 2006; Adquirida por GE en 2014 como subsidiaria independiente. LOCATIONS CUSTOMERS VERTICAL MARKETS SOLUTIONS Vancouver, Canada; San Ramon, California; Netherlands Operadores, desarrolladores de dispositivos y proveedores de automatización; 5 de las 6 compañías top de oil & gas; 9 de 10 proveedores top de automatización Distribuidoras de Energía eléctrica, oil & gas, transporte y salud (biomedicina) Productos, servicios, y certificaciones de seguridad para Tecnología Operational Ciberseguridad en tecnología operacional Ahora ciberseguridad, qué cambió? TI y TO Similareso diferentes Ciclo de vida en ciberseguridad Reinventarla rueda? aprendiendoa usariec 62443 2
Las amenazas ciber están aumentando y el riesgo en las operaciones avanza en silencio GERMANY UKRAINE 2013 2014 2015 New York Dam German Steel Mill NEW YORK Power Grid 3
CIBER SEGURIDAD EN NUMEROS 91% En 2013, 91% de organizaciones generadoras de potencia sufrieron un ciber ataque.1 70% Cerca del 70% de ejecutivos de compañías distribuidoras, O&G, manufactura y energia reportaron por lo menos una violacion de seguridad en los últimos 12 meses 40% 78% 40% de todos los ciber ataques tienen como blanco el sector energético Está a la espera de que un exploit exitoso sea alcance sus sistemas de automatización ICS/SCADA durante los próximos dos años SOURCES: 1. Bayar, T. (2014, Oct. 14). Cybersecurity in the power sector. Power Engineering International, Vol. 22/#9. 2.Barron-Lopez, L. (2014, Jul. 15). Cyber threats put energy sector on red alert. TheHill.com. 3. Ponemon Institute. (2014, Oct. 30). 2014 Global Report on the Cost of Cyber Crime. Ponemon.org. Critical Infrastructure: Security Preparedness and Maturity (July 2014), Unisys and Ponemon Y LAS ORGANIZACIONES NO ESTAN PREPARADAS 66% de las organizaciones no están preparadas para hacer frente a incidentes de seguridad de OT 2015 Global Megatrends in Cybersecurity, Raytheon and Ponemon 4
Algo está cambiando En los 80+: OT Services IT Services Engineering Services Component Supplier 5
En los 90+: OT Services IT Services Engineering Services Component Supplier En el 00+: OT Services IT Services Engineering Services Component Supplier 6
En el 10+: OT Services IT Services Engineering Services Component Supplier Hoy: 7
I CUAL ES LA IT GRAN OT DIFERENCIA? O IT Seguridad se refiere a data OT Riesgo y SAFETY gente ambiente equipamiento UPTIME calidad y performance 8
Enfoque: : TI & OT Seguridad Ciber física Enfoque IT The CIA Triad Confidentiality Characteristic IT OT Objetivo de proteccion CIA CAIC OT Integrity Availability The CAIC Diamond Control Availability Integrity Confidentiality CoberturaTecnologica TI típico( MICROSFT, APPLE, Linux) IT + Embedded Real-time OT Ciclo de patcheo Días o semanas Años, o generacional Arquitectura y Protocolos de Red Application Policy Objetivo de las Signatures TI típico algun ICS SCADA TI granular No OT Identificar Applicaciones y controlarel rendimientode la red OT,ICS, SCADA standards & proprietario Especifica para el dominio OT granular Precisión y profundidad operacional Ambiente Rack de TI Rack de TI & OT ambiente industrial Prioridades diferentes afectan el impacto Tecnología de la Información Confiabilidad Fallas ocacionales son tolerables Beta test durante implementaciónson aceptables Tecnología Operacional Interrupciones no son tolerables Exhaustivo control de calidad y testeo de fallas es la expectativa Impacto del riesgo Pérdidad de datos Pérdida de tiempo de ejecución($), equipmento, vidas Gestión de riesgos Recuperación reiniciando o reemplazando Safety no es un problema Seguridad La mayoría de los sitios no son seguros Poca separación entre intranets Enfocado Centrado en asegurar recursos clave o centrales Rendimiento Demanda de Alto Rendimiento Alto retardo o variaciones en el retardo son aceptables Tolerancia a las fallas es esencial Análisisexplícito de riesgo es la expectativa Estricta seguridad física en sistemasclave Separación entre redes Corporate y Control de Proceso Centrados en la estabilidadpero los dispositivosde frontera pueden no estar controlados(ti vs OT) Rendimientomodesto es aceptable Alto retardo o variaciones en el retardo son aceptables Integridad es fundamental No hay más air gaps Superficies de ataque complejas Amenazas mutuas con consecuencias críticas 9
Consecuencias de ataques en infraestructura crítica Explosión de un oleoducto causado por un ataque remoto Planta de Tratamiento de aguas servidas se derramo en el río Choque de un Prius a través de un teléfono celular Marcapasos hackeado causa un ataque al corazón NUESTRO AMBIENTE YA TIENE SUS DESAFIOS Expectativa de producción 24x7 No veo mis vulnerabilidades implica que tampoco veo las amenazas No puedo controlar en forma directa mi ambiente Cualquier incidente puede truncar toda la producción 10
IEC 62443: yendo en la dirección correcta ISA99 -el alcancede la organizacion Proveersolucionespara Sistemasindustrialesde automatizacióny control que si fueran comprometido podrían: Poner en peligro la seguridad publica o de los trabajadores Dañar el medio ambiente Provocar perdida de confianza del publico Violar regulaciones existentes Exponer información confidencial or propiedad intelectual Provocar una perdida económica Impactar instituciones publicas (municipales, provinciales y/o nacionales) 11
IEC 62443 Series El estándarisa/iec 62443 esunaseriede documentosque proveen guias acerca de como mejorar la seguridad de sistemas de control y automatización(iacs) El estándar está escrito para vendors, proveedores de servicios tales comointegración, comisionado, mantenimientoy operadores. El estándar comprende 13 documentos individuales agrupados en cuatro categorías como muestra la próxima diapositiva. WIB 2.0 fue integrado dentrodel del estándariec 62443 IECEE Conformance Assessment expected Early 2017 12
La evolución haciael Estándar Internacional IEC 62443-2-4: 4: el Estándar Internacional certificable El EstándarfueaprobadoenAbril / 2014 con votounánimey publicadoporiec enjulio / 2015 Estábasadoenlos Requerimientosde Seguridadpara Vendors del Dominiode Control de Procesos originalmentewib 2.0 Los requerimientosestánorganizadoen Capability Groups pueden alinearse con típicas ofertas de servicios y soluciones. Wurldtech liderala migracióndel programaapc (Achilles Practices Certification) tranformandoloenun programade evaluaciónde conformidad del IECEE El programade IECEE sera un programainternacionalque cuentacon laboratorios de testeo alrededor del mundo que proveen certificaciones consistentes y recíprocas 13
ISA 62443-2-4 Requiremientospara Programasde Seguridad ISA/IEC 62443-2-4 tiene123 Requerimientos de Seguridad organizados en 12 Areas Funcionales. Los Requiremientosabordanlas areas de integracióny mantenimiento, con referencias directas a requerimientos de seguridad para productos. Value Solution staffing Assurance Architecture Wireless SIS Configuration management Remote access Event management SP Req ID SP.01.XX SP.02.XX SP.03.XX SP.04.XX SP.05.XX SP.06.XX SP.07.XX SP.08.XX Account management SP.09.XX Malware protection SP.10.XX Patch Management Backup/Restore SP.11.XX SP.12.XX Maturity Model Usado para medir la madurez de las capacidades de seguridad Mejoramiento continuo (los procesos evolucionan basados en experiencia) Ad-hoc, (sin proceso formal) Definido (formal, proceso repetible) e.g. Procedimientos escritos, materiales de entrenamiento Practicado (ejecutado en algun projecto para un cliente) e.g. Checklist completo e.g. Procedimientos mejorados e.g. Contrato; SOW 14
Definiendoel el alcance del standard Ciclosde vida entrelazados Solution Integration Security Docs Hardening Guide Security QA Security Product Support Product Development Monitor Monitor Validate baseline Mitigate Validate baseline Mitigate Assess Integrated Risk Management Framework Assess Monitor Monitor Validate baseline Mitigate Validate baseline Mitigate Assess Assess FAT/SAT Commissioning Maintenance Services Operations Security Docs Updated Security Profiles Security Tasks Checklist 15
Purdue Model Modelo funcional Level 5 Level 4 E-Mail, Intranet, etc Router Enterprise Network Site Business Planning and Logistic Network Enterprise Zone Terminal Services Historian Mirror Patch Management Web Services Operations Application Server AV Server Firewall Firewall Web E-Mail CIP DMZ Level 3 Factory Talk Application Server Factory Talk Directory Engineering Workstation Operations and Control Workstation Operations Zone Level 2 Factory Talk Client Operator Interface Factory Talk Client Engineering Workstation Operator Interface Area Supervisory Control SCADA Level 1 Level 0 Batch Control Discrete Control Drive Control Continuous Process Control Safety Control Basic Control Sensors Drives Actuators Robots Process Industrial Control Systems Operaciones esta bajo presión Mayoresdemandasde eficiencia, más producción y bajar costos Ataquesnuevosy mas sofisticados Cambioslegalesy regulación VULNERABLE, EQUIPAMIENTO ANTICUADO INFILTRACION A TRAVES DE REDES DE TI CONFORMAR NUEVOS REQUERIMIENTOS 16
Nuestra experiencia Soluciones de seguridad integrada en el ciclo de vida Evaluación de postura de seguridad PPT (People, Process & Technology) Evaluaciónde Prácticasy Servicios de Consultoría Evaluaciónde dispositivos embebidos Evaluación de aplicaciones de software Evaluaciónde cumplimiento de NERC-CIP and ISO/IEC 62443 Achilles Test Platform Certificación de dispositivos y prácticas Achilles Communication Certification Achilles Practices Certification Protecciónpara SCADA & infraestructura crítica Achilles Threat Intelligence Software Achilles Industrial Security Training OPShield Autolearning: creandouna baseline del dataflow Segmentando las redes aunque sean planas evitando recableado. Inspecionando protocolosindustriales a nivel commando Utilizando inteligencia para identificar amenazas cuyo blanco es equipamiento industrial. 17
LA SOLUCION IDEAL DEBE PROTEGER SUS SISTEMAS DE CONTROL PARA PROTEGER SU EQUIPAMIENTO CRITICO RESULTA Proteger equipamento critico sin interrupciones INSPECCION comunicaciones y comandoss ENFORZAR politicas para todos lo procesos PROTEGER sistemas de control y equipamiento Resumen y conclusión Ir pensando en hacer un ejercicio y evaluar mi postura de seguridad, de mi sitio, las soluciones implementadas, de mi gente Entender mi instalacion, mi ecosistema y su ciclo de vida, desde SST laboral hasta obligaciones regulatorias Integrar prácticas de seguridad básicas Estrecho involucramiento de mis proveedores es clave Integrar seguridad en diseño general del sistema completo Una falla de la implementación tienen tanto impacto como una falla de diseño. 18
Contactenos: Por donde empezar? Evaluaciones de Sitios Evaluaciones de Arquitecturas Evaluaciones de Equipamiento Desarrollo de estrategias de Seguridad OPShield Contacte Wurldtech Gabriel Faifman: gfaifman@wurldtech.com Gracias! 19