NOTA: Este artículo no es sólo para las organizaciones que ya han sido hackeadas... La IEC 62443 es una norma genérica reconocida como aplicable en sectores críticos como la fabricación, la energía, el transporte, la sanidad y muchos otros.

 

Este artículo es el quinto episodio de una serie de 8, que cubre algunas de las mejores prácticas que debe implementar cualquier organización que pretenda cumplir con el Estado del Arte en Ciberseguridad para sistemas de control industrial y de automatización. En ese contexto, el endurecimiento de la seguridad se considera un tema clave para demostrar en última instancia que los integradores siguen e implementan la estrategia de defensa en profundidad. Las actividades incluidas en este tema se abordan principalmente en las octavas prácticas de ISA/IEC6244-4-1 dedicadas a las directrices de seguridad, así como en la parte ISA/IEC62443-2-4 que describe los requisitos para los proveedores de servicios de integración y mantenimiento.

Desde el punto de vista de ISA/IEC62443, las prácticas de endurecimiento de la seguridad incluyen todas las actividades relacionadas con el endurecimiento de un producto durante las fases posteriores al desarrollo (por ejemplo, instalación, mantenimiento...). Las excepciones son el funcionamiento seguro y la eliminación segura, que se describen mediante prácticas específicas, respectivamente SG-5 (ISA/IEC62443-4-1, sección 12.6) y SG-4 (ISA/IEC62443-4-1, sección 12.5). Por lo tanto, un ciclo de vida de desarrollo seguro de una organización debería integrar estos aspectos mediante la creación de documentación pertinente para los usuarios/integradores de productos sobre la forma de integrar, utilizar y manipular un producto de forma segura.

 

Este requisito reconoce que las políticas y los requisitos de seguridad de los sitios de los clientes suelen ser diferentes y, por lo tanto, se necesitan instrucciones para integrar el producto de forma segura en el sitio del cliente, configurarlo adecuadamente y mantener su seguridad. Formalmente, un requisito específico describe estas actividades como sigue:

Como ya se ha mencionado en episodios anteriores de esta serie de blogs, la estrategia de defensa en profundidad es clave para gestionar la ciberseguridad y reducir los riesgos cibernéticos. No hay soluciones a prueba de balas, por lo que la multiplicación de técnicas y barreras defensivas se considera el mejor enfoque para minimizar las ciberamenazas a lo largo de la cadena de suministro, desde el desarrollo seguro de componentes individuales hasta el funcionamiento seguro de soluciones y sistemas completos y más complejos. En ese contexto, las directrices de endurecimiento de la seguridad representan uno de los principales conjuntos de documentación que deben proporcionar los proveedores de componentes/sistemas para garantizar una integración y un mantenimiento seguros de los productos.

El endurecimiento de la seguridad es un tema común para OT e IT

 

De hecho, el endurecimiento de la seguridad es un tema conocido para los sistemas de TI, pero se considera aún más importante para los objetivos de OT, donde las consecuencias potenciales de los ciberataques suelen ser más críticas. La aplicación de las técnicas de endurecimiento puede diferir de las TI a las OT, pero los enfoques son similares y el objetivo final es el mismo: explotar las capacidades de seguridad de un objetivo, en un entorno determinado, de la manera más eficiente para reducir la superficie de ataque restante y alcanzar una postura razonablemente segura.

 

Las técnicas de endurecimiento de la seguridad deben considerarse para cualquier componente/subsistema de un "sistema" o solución completa. Basándose en estas consideraciones de múltiples fuentes, es responsabilidad de los integradores y/o usuarios seguir las mejores prácticas descritas por los proveedores de productos en el entorno específico. Este principio es la razón por la que la SG-3 de ISA/IEC62443 exige a los proveedores de productos que proporcionen documentación que incluya directrices para tal fin.

 

 

Normalmente, esas directrices especifican los procesos que deben seguir los integradores y/o los usuarios para integrar un objetivo específico en un entorno atendiendo a varios aspectos críticos, como:

  1. Interfaces con otros subsistemas o componentes
  2. Configuraciones de productos
  3. Uso de herramientas relacionadas con la seguridad para interactuar con el producto
  4. Actividades de mantenimiento de la seguridad (por ejemplo, gestión de actualizaciones/parches)
  5. Notificaciones de incidentes

Usemos un ejemplo...

 

Si pensamos en la fabricación de un controlador industrial considerado como PLC (Programmable Logic Controllers), ¿qué significa la directriz de endurecimiento de la seguridad en el contexto de este producto?

 

En cuanto al componente en sí, se consideraría un dispositivo integrado según la terminología ISA/IEC62443-4-2. Un PLC es un dispositivo que suele residir normalmente en los niveles inferiores del sistema de automatización (como los niveles 1 y 2 de la Arquitectura de Referencia Empresarial de Purdue, tal y como se describe en ANSI/ISA-95.00. Véase la figura siguiente). Los PLCs suelen utilizar hardware robusto para permitir su funcionamiento en entornos industriales y suelen estar basados en sistemas operativos comerciales en tiempo real (RTOS). Cada vez más, los sensores y actuadores inteligentes también están recibiendo formas de capacidad de control de procesos. Los PLC y los sensores/actuadores inteligentes se programan para ejecutar la lógica de control basándose en las entradas del proceso (obtenidas de la instrumentación, como los tradicionales sensores de temperatura, presión y vibración). La salida de la lógica de control se utiliza para controlar el proceso industrial (a través de actuadores como válvulas o bombas). La programación suele realizarse mediante un software de ingeniería que suele ejecutarse en dispositivos anfitriones (por ejemplo, ordenadores portátiles o estaciones de trabajo PC).

A continuación, puede encontrar algunos ejemplos de temas que deben proporcionar los fabricantes de PLC para permitir a los integradores de productos y/o a los usuarios endurecer el producto en un entorno específico, basándose en los aspectos de alto nivel mencionados anteriormente:

  1. Interfaces con otros subsistemas o componentes
    • ¿Cómo integrar de forma segura el producto en un sistema completo, utilizando las API y los protocolos pertinentes?
    • ¿Cuáles son los requisitos/supuestos del proveedor del producto en relación con otros subsistemas dependientes (por ejemplo, los servidores de autenticación que deben desplegarse y referenciarse para manejar las funciones AAA en los productos)?
  2. Configuraciones de productos
    • ¿Cuáles son las características para apoyar la identificación de activos y el inventario a nivel de sistema?
    • ¿Cuáles son los supuestos de las protecciones físicas?
    • ¿Cuáles son las aportaciones generales a la estrategia de defensa en profundidad del producto?
  3. Uso de herramientas relacionadas con la seguridad para interactuar con el producto
    • ¿Cuáles son las recomendaciones de instrucción de los proveedores del producto en cuanto al uso de herramientas para la administración, el control y otras actividades interrelacionadas?
  4. Actividades de mantenimiento de la seguridad (por ejemplo, gestión de actualizaciones/parches)
    • ¿Cuáles son los procesos que deben seguir los usuarios finales/integradores para ser informados de las actualizaciones/parches?
    • ¿Cómo desplegar de forma segura una actualización/parche?
    • En caso de error de despliegue, ¿cómo ejecutar funciones de reversión seguras?
  5. Notificaciones de incidentes
    • El canal de comunicación con los proveedores (por ejemplo, puntos de contacto, herramientas, plantillas), ¿podría considerarse fuera del ámbito de las técnicas de endurecimiento, pero abordado por otros requisitos de la norma ISA/IEC62443-4-1?
    • ¿Proceso de notificación de incidentes y problemas relacionados con la seguridad?

 

Esta lista no es exhaustiva, pero debería ayudarle a reflexionar sobre la importancia de dicha documentación, en la perspectiva de la gestión de la ciberseguridad de un producto a lo largo de toda su vida útil.

¿Y las certificaciones?

 

Es importante ser consciente del hecho de que, si un producto seguro se integra en una solución sin ninguna directriz específica de endurecimiento de la seguridad, las capacidades de seguridad del producto no se explotarían correctamente y, por lo tanto, podrían dar lugar a debilidades en el nivel del sistema. Esta consideración es la razón clave por la que la certificación del producto según la norma ISA/IEC62443-4-2 también requiere algunas pruebas del establecimiento del SDLC y, por tanto, de la conformidad con la norma ISA/IEC62443-4-1. Una certificación completa del SDLC según la norma IEC 62443-4-1 no sería necesaria, antes de cualquier certificación de producto según la norma IEC 62443-4-2, sin embargo, un subconjunto de las prácticas del SDLC deberá ser auditado de todos modos en el ámbito de las certificaciones de producto.

 

Se cristaliza a través de la norma IEC 62443-4-2 mediante una de las denominadas Restricciones Comunes de Ciberseguridad (IEC 62443-4-2, sección 4.5, CCSC-4) que exige que "cualquier componente seguro se desarrolle y apoye siguiendo los procesos de desarrollo de productos seguros descritos en la norma IEC 62443-4-1".

 

Actualmente, el mejor enfoque que podrían adoptar las organizaciones en el camino hacia la certificación IEC62443 sería el siguiente:

  1. Evalúe su situación actual con respecto a los requisitos normalizados mediante un análisis de las deficiencias
  2. Certificación SDLC según la norma IEC 62443-4-1 para obtener un reconocimiento organizativo frente al estado del arte del desarrollo seguro
  3. Certificaciones de productos según la norma IEC 62443-4-2 para proponer, en última instancia, productos que cumplan con el estado del arte de las capacidades técnicas de seguridad.

 

Este enfoque le permitiría reducir los costes de las certificaciones de productos, certificando primero sus procesos de desarrollo y obteniendo un reconocimiento a nivel organizativo, para luego pasar a cumplir ya los requisitos iniciales del producto

Conclusión:

 

Incluso si el cumplimiento de la norma 62443 no es un objetivo final, las prácticas relacionadas con el endurecimiento de la seguridad deben considerarse como una de las principales actividades y documentación que debe proporcionarse a los usuarios e integradores de productos para garantizar bucles completos de ciberseguridad en todos los niveles de los ecosistemas del SIGC (incluidos los propietarios de activos, los proveedores de servicios, los proveedores de sistemas y los proveedores de componentes).

Si tiene alguna pregunta sobre las prácticas de endurecimiento de la seguridad, las documentaciones y/o cualquier otro criterio de certificación, no dude en ponerse en contacto con nuestro especialista en ciberseguridad: Kilian Marty