A propósito de la reciente publicación de la segunda edición de la norma IEC 62443-3-2: Security risk assessment for system design, queremos comentarles un poco de que se trata esta parte de la IEC 62443.
Cada Sistema Automatizado de Control Industrial (IACS) maneja diferentes riesgos, amenazas, probabilidades de ocurrencia, vulnerabilidades y consecuencias; por lo que, cada caso puede ser diferente, incluso dentro de una misma organización.
No existe una receta simple para asegurar los sistemas de control y la IEC 62443-3-2 no pretende serlo.
Esta parte de la IEC 62443, brinda a nuestras organizaciones una guía para evaluar el riesgo de un IACS específico y nos permite identificar contramedidas de seguridad para reducir el riesgo cibernético de los sistemas de control, hasta lograr niveles tolerables en la organización. Los requisitos indicados nos ayudan a:
- Definir el Sistema Bajo Consideración (SuC).
- Dividir el SuC en Zonas y Conductos.
- Evaluar los riesgos de cada Zona y Conducto.
- Establecer los niveles de seguridad de cada Zona y Conducto.
- Documentar los requisitos de seguridad del SuC.
Para cumplir con estos requisitos, en CSF hemos desarrollado distintos estudios bajo la guía de la IEC 62443 y otras mejores prácticas, que describimos a continuación:
1. HRA: Evaluación de Riesgo Cibernético de Alto Nivel (High Level Risk Assessment)
Utilizado para identificar los riesgos asociados a los tipos de activos cibernéticos de los IACS. Este análisis brinda al usuario una primera impresión de los riesgos a los que se expone cuando alguno de sus activos cibernéticos se encuentra comprometido.
Se formula una lista de los tipos de activos cibernéticos por cada área de proceso o servicio y para cada uno de los tipos de activos cibernéticos, se identifican las amenazas y se determina el peor escenario sobre el proceso o el sistema bajo estudio (SuC). En función a la criticidad de la consecuencia, es posible asignar un nivel de seguridad objetivo inicial (SL-T) para cada tipo de activo cibernético que sirve de base para realizar la segmentación de las redes de control. Para cada amenaza identificada, se emiten recomendaciones que ayuden a minimizar la afectación y, principalmente, deben estar direccionadas a generar un plan de repuesta en caso de un ataque cibernético.
2. ZCD: Definición de Zonas y Canales (Zone and Conduit Definition)
Permite agrupar los activos cibernéticos pertenecientes al IACS en zonas con requisitos de seguridad en común y definir los canales que conectan dos o más zonas, con la finalidad de optimizar los recursos de protección de los activos cibernéticos.
La agrupación de equipos en zonas se realiza en función del inventario de los de activos cibernéticos del IACS, considerando criterios como: función que desempeñan, tipo de conexión física, manejo de conexión desde redes no confiables, nivel de seguridad objetivo SL-T del equipo y facilidad de propagación de las amenazas.
Los conductos son definidos según la necesidad operativa y de seguridad de las zonas interconectadas. Se deben tomar en cuenta las funciones de los activos cibernéticos del conducto, así como el tipo de conexión que demanden las zonas y la posibilidad de ser un medio de conexión con equipos remotos.
Luego de la definición de cada zona o conducto, se realiza la documentación de las características de cada uno de ellos, que son utilizadas como base para el diseño de los IACS bajo el ciclo de vida de la seguridad cibernética.
3. DRA: Evaluación Detallada de Riesgos Cibernéticos (Detailed Cyber Security Risk Assessment)
Tiene la intención de identificar los riesgos específicos asociados a cada activo cibernético de los IACS, para luego identificar contramedidas que ayuden a alcanzar niveles de riesgo tolerables por la organización.
Para esto, se identifican escenarios peligrosos basados en los vectores de amenaza aplicables a cada uno de los activos cibernéticos que componen las zonas y conductos del SuC. Se estima la frecuencia de ocurrencia de los escenarios peligrosos y se identifican las consecuencias y su severidad, para luego determinar el riesgo sin tomar en cuenta alguna contramedida aplicable. Finalmente, se identifican las contramedidas que disminuyen la frecuencia de ocurrencia y se determina el riesgo tomando en cuenta las contramedidas identificadas.
4. CSVA: Evaluación de Vulnerabilidades de Seguridad Cibernética (Cyber Security Vulnerability Assessment)
Aunque esta evaluación no se encuentra descrita explícitamente en la IEC 62443-3-2, es importante mencionarla cuando hablamos de reducción de riesgo. A diferencia de otros estudios que se basan en las consecuencias que resultan de las amenazas cibernéticas sobre los IACS, ésta se centra en las vulnerabilidades, debido a las deficiencias de la gestión de la seguridad cibernética en los IACS.
Es un estudio que se realiza con la finalidad detectar las brechas existentes entre lo implementado en una organización y los requisitos de la norma IEC 62443-2-1: Security program requirements for IACS asset owners. Se revisan las políticas actuales del Programa de Seguridad Cibernética del IACS, con el fin de detectar debilidades y generar recomendaciones orientadas a la mejora de la seguridad cibernética.
Si la organización no cuenta con un Programa de Seguridad Cibernética enmarcado en la IEC 62443, este es un buen punto de partida.
Tenemos muchas herramientas a nuestra disposición y las amenazas crecen día a día, por lo que es el momento de revisar nuestros sistemas de control y políticas de protección.
Juan D. Martinez N.
FSEng TÜV SÜD TP17051350 | CSPUSA 200401 001
Buena tarde,
me gustaría mas información sobre IEC 62443, ustedes realizan este análisis o capacitan a las personas para realizarlo?