(30c) Entendiendo Los Riesgos De Ciberseguridad y Su conexión e Impacto Con La Seguridad De Procesos

Con el desarrollo del llamado internet de las cosas (IoT) , la conectividad que se tiene a todo nivel y específicamente entre las redes de control y las corporativas con el mundo exterior se han incrementado los riesgos por ciberseguridad y su impacto a nivel de seguridad de procesos por afectación en las redes de control u Operations Technology.

Se estima que actualmente hay 7.600 millones de smartphones conectados y para el año 2.020 se calcula que tendremos 200 mil millones de dispositivos incluyendo todo equipo de tecnología móvil, esto nos da una idea de que la conectividad será total, pero igualmente los riesgos a los que estamos y estaremos expuestos a todo nivel.

Desde el año 2.015 en el World Economic Forum se ha visto cómo los Ciberataques han pasado en nivel de riesgo de un quinto (5) lugar, a un tercer (3) lugar en el año 2.018, sólo superado por Desastre Naturales y en primer (1) lugar por eventos climáticos extremos.

Diariamente oímos hablar a los riesgos que estamos expuestos por ingreso a nuestras cuentas de ahorros, al robo de información de nuestros correos electrónicos , a la denominada ciberextorsion por acceso a nuestra información personal y sensible en nuestros computadores o celulares, pero nos hemos preguntado y somos conscientes de los riesgos a los que estamos expuestos en nuestras facilidades de operación de hidrocarburos, plantas nucleares, químicas por esta causa?, conocemos de eventos que hayan ocurrido de este tipo en alguna refinería, me atrevería a decir sin temor a equivocarme que es posible que a lo sumo hayamos escuchado de Stuxnet , un virus informático que atacó a los PLCs Siemens S-7 , los cuales controlaban las bombas centrífugas en una de las plantas de enriquecimiento de uranio que hacían parte del programa Iraní para el desarrolla de un arma nuclear, este ataque al parecer fue promovido por USA e Israel, la consecuencia un retraso de varios años en su programa debido a que sus bombas casi se destruyen sin que sus técnico se percataran de ello, las estaciones de operación mostraban un proceso dentro de parámetros normales , pero internamente sucedía todo lo contrario.

Aunque usted no lo crea los riesgos de Seguridad de Procesos originados por explotación de vulnerabilidades cibernéticas van en aumento, y han pasado de un tema de retos para accesar una gran compañía a objetivos tales como bloquear Sistemas Instrumentados de Seguridad para dejar desprotegida una refinería, seguramente para generar explosiones las cuales serían de una más alta probabilidad con sus sistemas de protección fuera de servicio.

El presente documento tiene como objetivos:

1. Explicar de una forma sencilla qué es Ciberseguridad y establecer la conexión que existe entre las vulnerabilidades de Ciberseguridad y que se pueden convertir en eventos iniciadores para eventos de seguridad de procesos e incluso cómo pueden estas vulnerabilidades inhibir incluso las capas de protección instrumentadas y componentes de los sistemas de control como las estaciones de operación, conduciendo a pérdida de capacidad operativa o entregando información errónea para la toma adecuada de decisiones.

Para explicar la conexión entre ciberseguridad y seguridad de proceso se empleará el diagrama del queso suizo , lo que permitirá identificar aquellos términos de ambas disciplinas que son diferentes pero que cumplen similares funciones

2. Concientizar sobre la importancia de un plan de manejo de la ciberseguridad mostrando qué tipos de motivaciones llevan a este tipo de ataques, los vectores que se emplean y el incremento de la complejidad tecnológica para el desarrollo de nuevos virus no sólo por “lobos solitarios”, sino por grupos y estados que están desarrollando armas cibernéticas para atacar a sus enemigos, muchas veces en forma silenciosa y a relativo bajo costo . Muchos países tienen sus propios ejércitos cibernéticos, algunos de ellos como USA, Rusia, China, Corea del Norte, Israel , que están buscando atacar la denominada infraestructura crítica, dentro de la cual se encuentra la industria nuclear, de hidrocarburos, química, de alimentos, de generación energética, agua y sistema financiero.

Se hará una descripción cronológica de los diez (10) ataques cibernéticos más representativos a la industria de Oil and Gas.

3. Explicación del ciclo de vida de la ciberseguridad a la luz de la ISA 99 y las características principales de varias de la normas empleadas como la NIST 800-53, IEC 62443 e ISO 27002, de tal forma que no se preste para la confusión que tenemos muchos de nosotros hoy en día.