Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

El punto en el que la seguridad y la ciberseguridad convergen

Fecha de publicación 17/04/2019
Autor
INCIBE (INCIBE)
cámara de vigilancia

La seguridad física y sus necesidades lógicas

Los responsables de seguridad suelen centrar sus esfuerzos en bastionar el perímetro lógico, mediante cortafuegos, segmentación de red u otras técnicas a su alcance, pero esta labor de asegurar el perímetro, tiene que ir de la mano con un plan de seguridad que incluya medidas de protección físicas, para obtener una defensa integral. De no ser así, siempre se dejaría un riesgo sin contemplar en nuestro plan de ciberseguridad.

La seguridad física de los dispositivos industriales, y de los datos asociados de estos equipamientos, debe ser tratada como una pieza más de la ciberseguridad industrial. El principal objetivo de la seguridad física es mantener a las personas alejadas de situaciones peligrosas, permitiéndolas seguir desarrollando su trabajo, teniendo en cuenta siempre, que estas medidas no impliquen un impedimento en situaciones de emergencia. Pero otro de los objetivos principales es mantener un control preestablecido de las personas y las áreas a las que éstas pueden acceder.

Diferentes sistemas de seguridad física

- Diferentes sistemas de seguridad física -

Conseguir acceso físico a un centro de control, y más concretamente a dispositivos pertenecientes a la red de control, normalmente implica ganar acceso lógico a todo el sistema de procesos. Del mismo modo, conseguir acceso lógico a los sistemas de la sala de control permitirá probablemente ejercer cambios en las medidas de seguridad y autorizaciones de acceso físico.

Como se ha visto, la línea que separa la relación entre seguridad lógica y la seguridad física es difusa. Por esto, debe prestarse especial atención a las protecciones físicas de nuestros dispositivos lógicos, dentro de las infraestructuras industriales.

El apoyo normativo a la seguridad física

Todas las normativas y guías de buenas prácticas de seguridad en ICS recogen, de alguna manera, los requerimientos de seguridad física. Las más representativas podrían ser:

  • El estándar internacional IEC 62443-2-1 ‘Industrial communication networks – Network and system security – Part 2-1: Establishing an industrial automation and control system security program’. Punto 4.3.3.
  • NERC CIP-005-5 ‘Cyber Security - Electronic Security Perimeter(s)’.
  • NERC CIP-014-2 ‘Physical Security’.

Otra que no es específica del entorno industrial, pero que podría considerarse referente a la hora de implementar controles de seguridad tanto a nivel físico como especialmente al lógico es:

  • ISO/IEC 27001:2013 ‘Information technology -- Security techniques -- Information security management systems – Requirements’. Puntos A.11.1, A.11.2, A.11.4.

Por otra parte, la guía de buenas prácticas del NIST 800-82 ‘Guide to Industrial Control Systems (ICS) Security’, recoge de manera muy acertada los atributos que deben considerarse a la hora de realizar una defensa en profundidad aplicada a la seguridad física, que resumimos a continuación:

  • Protección de las ubicaciones físicas: Se refiere a las consideraciones clásicas de seguridad física, estableciendo perímetros de seguridad segmentados, con medidas de seguridad específicos aplicados por capas.
  • Control de acceso: Controles de seguridad que deben garantizar que solo las personas autorizadas tengan acceso a los espacios controlados. Un sistema debe poder verificar que las personas a las que se les concede acceso, son quienes dicen que son (habitualmente usando algo que la persona tiene, como una tarjeta o clave de acceso; algo que conocen, como un número de identificación personal (PIN); o algo que demuestre quien son, un lector biométrico).
  • Sistemas de monitorización de accesos: Se incluyen aquí cámaras fijas y de video, sensores o sistemas de identificación. Estos sistemas no previenen un acceso no autorizado, sino que los almacenan y registran.
  • Sistemas de limitación de acceso: Dentro de este atributo entrarían vallas, cerraduras, o personal de seguridad, por ejemplo.
  • Sistemas que permitan el seguimiento de personas o activos: Tecnologías que permitan rastrear los movimientos de personas o vehículos para asegurar que permanecen en las áreas autorizadas.
  • Sistemas de gestión de factores ambientales: Entornos limpios, libres de electricidad estática, vibraciones, campos magnéticos, etc.
  • Sistemas de control de condiciones ambientales: Sistemas denominados en inglés (HVAC), control de humedad, ventilación y aire acondicionado.
  • Sistemas de protección de corriente: Sistemas de protección y alimentación ininterrumpida, conocidos como UPS por sus siglas en inglés.
  • Sistemas de protección adicionales para centro de control: Adicionalmente a los anteriores, las salas de control pueden tener necesidades más específicas de seguridad física como pueden ser: centros de control a prueba de explosiones, o incluso tener redundando el espacio físico del centro de control fuera de las instalaciones, para poder seguir controlándola si fuera necesario.
  • Sistemas de control de los dispositivos de configuración portables: Sistemas que impidan la movilidad de ciertos equipos de configuración de PLC, puestos de operador, considerados críticos.
  • Sistemas de protección de cableado: Este atributo es muy importante ya que el diseño e implementación del cableado para la red de control debe abordarse en el plan de ciberseguridad. El cable de comunicaciones de par trenzado sin blindaje, aunque aceptable para el entorno de IT, generalmente no es recomendable para el entorno OT, debido a su susceptibilidad a la interferencia de campos magnéticos, ondas de radio, etc. Se recomienda el uso de conectores industriales RJ-45, pues proporcionan protección contra la humedad, el polvo y la vibración. El cable de fibra óptica y el cable coaxial son mejores opciones, porque son inmunes a las interferencias eléctricas y de frecuencia de radio que se encuentran típicamente en un entorno de control industrial. El cable y los conectores deben estar codificados por colores y etiquetados para que las redes ICS e IT estén claramente delineadas y se reduzca la posibilidad de una conexión cruzada inadvertida.

Interacción entre la seguridad física y la seguridad lógica

Todas las normativas y guías de buenas prácticas nombradas disponen de requerimientos de seguridad física bastante claros, en los que se engloban todos o la mayoría de los descritos. Pero la implementación de éstos y, sobre todo, cómo gestionarlos dentro de la red de la propia infraestructura, no se encuentra definido.

Todos los beneficios que puede aportar la seguridad física pueden verse diluidos por una mala implementación o una incorrecta gestión dentro de la red, o incluso peor, suponer un riesgo adicional por una mala praxis.

Es clave no olvidar que, toda la monitorización de las diferentes medidas de seguridad física (cámaras IP, controles de acceso, etc.) y el procesamiento de alertas y logs generados por estos sistemas físicos, entran a formar parte de nuestra infraestructura industrial.

Como nuevos integrantes de la red, estos dispositivos deben ser tratados dentro del plan general de ciberseguridad, realizar un correcto análisis de riesgos, diseñar una arquitectura segura que los englobe, así como segmentar de manera correcta estos sistemas, pensando en una defensa en profundidad. El tráfico generado por estos nuevos dispositivos es bastante predecible y limitado, por lo que gestionarlo mediante elementos de red o reglas dentro de los cortafuegos focalizados, elevaría el nivel de seguridad de manera fácil. A continuación, se indica alguna recomendación a muy alto nivel:

  • Todos estos dispositivos deberían tener su propio dominio de colisión, por ejemplo, dentro de una VLAN dedicada. Los usuarios o grupos con permisos de gestión, configuración y acceso a estos dispositivos físicos, es muy reducido, por lo que es recomendable disponer de reglas específicas dentro de los cortafuegos con un nivel de detalle casi de IP-Puerto-Usuario.
  • El sistema de recolección de alertas y logs, o el envío de señales en caso de cámaras IP, tienen un solo sentido, si hablamos a nivel de red, por lo que limitar dentro de los cortafuegos el tráfico como solo saliente y no permitir el tráfico entrante, puede evitar propagaciones no deseadas.
  • Minimizar la superficie de ataque mediante reglas específicas a nivel de aplicación y protocolo, permitirá reducir el nivel de amenaza que, adicionalmente, puedan haber introducido estos nuevos dispositivos en la red industrial.

Considerar las medidas y sistemas de seguridad físicos, como parte del plan de ciberseguridad, es una práctica que tiene que ser tomada muy en serio. Tener en cuenta, desde el inicio del diseño de una nueva infraestructura, todos los elementos que van a formar parte, de una manera u otra, en la red industrial, es crítico. Realizar un análisis de riesgos de estos dispositivos, conocer cómo puede afectar a la red si alguno de ellos es comprometido, mediante pruebas test de intrusión, son tareas que debe realizar el equipo de ciberseguridad. Al fin y al cabo, la seguridad física es el pilar de la seguridad lógica.