DISEÑO DE ZONAS, CONDUCTOS Y CANALES, SEGÚN LA NORMATIVA IEC 62443 (ISA99) EN UNA INDUSTRIA 4.0 (2ª Parte*)

  • Sesión Divulgativa ofrecida dentro de la Conferencia Anual 2016 de ISA España

 

La Norma IEC 62443 (ISA99)

La norma IEC 62443 [9] es un conjunto de estándares que se basa en los conceptos definidos por la norma ISA99 [8], en la que a su vez se proponen una serie de documentos que establecen mejores prácticas y recomendaciones para incrementar la seguridad de los sistemas de control industrial frente a amenazas cibernéticas (principalmente). En la norma ISA 99 se definen cuatro documentos específicos y dos informes técnicos.

Cabe destacar que es en el documento ANSI/ISA99.00.01 – Part 1: Terminology, Concepts and Models de la ISA99 en el que se definen los conceptos de zona, conducto y canal, en los que se profundizará más adelante. Con el propósito de alinear la nomenclatura de la ISA99 a la propuesta por la IEC, en el año 2010, la ISA99 pasa a ser denominada ANSI/ISA-62443 o bien IEC 62443. Como puede observarse en la Figura 2, esta norma se ha dividido en cuatro capas. La primera, denominada General incluye cuatro documentos. En ellos se proponen los conceptos básicos y contexto sobre el que se desarrollan las siguientes capas de la norma. La segunda, denominada Policies&Procedures incluye también cuatro documentos. Como su nombre indica, se centra en la definición de políticas y procedimientos. La tercera capa es la de System y se compone de tres documentos. Se centra en proponer mejores prácticas para el despliegue seguro de sistemas en entornos industriales. Por último la cuarta capa, denominada Component incluye dos documentos y aborda los requerimientos que deben cumplir los fabricantes de dispositivos industriales para que sean considerados Secured.

Zonas, Conductos y Canales

Dentro del documento IEC 62443-1-1 Models and Concepts (que prácticamente replica la especificación ANSI/ISA99.00.01 – Part 1: Terminology, Concepts and Models) se introducen los conceptos de zona, conducto y canal [6]. En entornos tan complejos y extensos como son los industriales, no sería lógico implementar medidas de prevención, detección, respuesta y recuperación, y además desarrollar controles específicos, de la misma manera para todos los sistemas y/o áreas de proceso. Es por ello, que este documento propone un método para crear áreas que tengan unos mismos requerimientos de seguridad y por otro lado, propone mecanismos para que la comunicación entre estas diferentes áreas se realice de forma segura. Algo que tiene mucho que ver con las tradicionales segmentación y fortificación de redes y sistemas [7].

En un contexto de Industria 4.0, siguiendo las recomendaciones de la RAMI 4.0, parece razonable utilizar la normativa IEC 62443 y en particular las propuestas que se recogen en el documento IEC 62443-1-1 Models and Concepts. Profundizando ya en los conceptos de zona, conducto y canal, la IEC 62443, los define de la siguiente manera.

  • Las zonas.-Una zona (o zona de seguridad) es un agrupación de activos (dispositivos, datos, aplicaciones) físicos o lógicos que comparten unos mismos requisitos de seguridad.

Una zona lleva implícito un borde (o límites) que determina los activos incluidos (y obviamente los excluidos).

Una zona puede ser trusted o untrusted (de confianza o no).

Una zona puede contener activos independientes y/o subzonas (hijas) que hereden los requisitos de seguridad de la zona madre.

Si un activo tiene diferentes niveles de seguridad, este puede incluirse en la zona con mayor nivel de seguridad o crear una zona específica para su acceso por parte de los diferentes roles.

  • Los conductos.-Un conducto (o conducto de seguridad) es un tipo de zona de seguridad que agrupa activos vinculados tradicionalmente a la electrónica de red (switches, routers, firewalls, cables, hubs, repetidores, etc.). Es decir, habitualmente se equipara un conducto con la red que une los diferentes activos de una zona o que permite comunicar/intercambiar información entre diferentes zonas de seguridad.

Un conducto puede ser una agrupación física o lógica de dispositivos y elementos de red.

Un conducto puede ser trusted o untrusted (de confianza o no). Normalmente, los de confianza son los que no cruzan las barreras de las zonas. Los de no confianza son los que comunican diferentes zonas con distintos requisitos de seguridad (aunque lo que se deberá procurar es que este conducto sea de confianza).

Un conducto no puede tener subzonas ni puede estar formado por subconductos, ahora bien, una subzona puede contener diferentes subconductos.

  • Los canales.-Un canal es la forma lógica de comunicar diferentes zonas, por lo tanto se asocia físicamente con un conducto.

Un canal puede ser trusted o untrusted. Un canal trusted permite ampliar una zona de seguridad lógica. Es decir, permitiría incluir activos externos que están fuera de la zona de seguridad cumpliendo con los requisitos de seguridad de la zona. Un canal untrusted, por el contrario, implica que antes de comunicar dos zonas, es necesario realizar una validación de seguridad.

PROPUESTA PARA DEFINIR ZONAS, CONDUCTOS Y CANALES EN INDUSTRIA 4.0

Dentro del documento IEC 62443-1-1 Models and Concepts (que prácticamente replica la especificación ANSI/ISA99.00.01 – Part 1: Terminology, Concepts and Models) se introducen los conceptos de zona, conducto y canal [6]. En entornos tan complejos y extensos como son los industriales, no sería lógico implementar

Aunque el documento desarrollado por la IEC propone un marco de trabajo muy útil, una organización que decida adoptar el paradigma Industria 4.0 preocupándose a la vez por la ciberseguridad presenta necesidades específicas que la norma no recoge. No es objeto de este artículo realizar un recorrido minucioso por la norma IEC 6244, pero sí, a partir de las recomendaciones definidas por ésta, proponer un marco de trabajo que permita diseñar y desplegar  de forma más eficiente programas específicos que incrementen la seguridad de las “industrias conectadas”.

En este contexto para definir una zona en una Industria 4.0 se deben considerar las siguientes dimensiones: 1) atributos de seguridad; 2) activos físicos y lógicos; 3) tecnologías autorizadas; 4) evaluación de amenazas y vulnerabilidades; 5) requerimientos de acceso y control y 6) procedimientos de control y mejora continua.

  • Atributos de seguridad.

Cada una de las zonas tiene un documento de control en el que se describe su alcance, el nivel de seguridad objetivo, los riesgos, las políticas y controles, las actividades permitidas, la documentación esencial, etc.

De todos estos atributos el más importante es sin duda el de nivel de seguridad. La IEC 62443 define el concepto de nivel de seguridad, como una forma cualitativa/cuantitativa de medir el estado de una zona y las necesidades específicas que requiere desde el punto de vista de la seguridad.

Para ello define tres tipos de nivel de seguridad, que son el Target Security Level o SL-T (nivel de seguridad que permite el funcionamiento correcto y seguro de los activos de una zona); el Achieved Security Level o SL-A (nivel punto de partida) y el Capability Security Level o SL-C (nivel nativo de seguridad, sin añadidos ni activos adicionales, si está correctamente configurado e integrado).

Además establece cuatro niveles de seguridad, del 0 al 4, siendo el 4 el nivel que requiere más medios de protección para una determinada zona. Siguiendo la norma se definen de la siguiente manera: Nivel de seguridad 0- No requiere especificaciones o protecciones de seguridad; Nivel de seguridad 1 – Requiere de protección contra incidentes no intencionados; Nivel de seguridad 2 – Requiere de protección contra incidentes intencionados, perpetrados con medios sencillos, pocos recursos, conocimientos básicos y baja motivación; Nivel de seguridad 3 – Requiere de protección contra incidentes intencionados, perpetrados con medios avanzados, recursos suficientes, conocimientos medios y motivación media; Nivel de seguridad 4 – Requiere de protección contra incidentes intencionados, perpetrados con medios muy avanzados, grandes recursos, conocimientos avanzados y motivación alta.

Por último propone la forma de medir los tipos de nivel de seguridad (SL-T, SL-A y SL-C), utilizando una representación vectorial. En este vector se especifica: 1) El tipo de nivel de seguridad que se está evaluando; 2) la zona, el conducto o el sistema y 3) la asignación numérica del 0 al 4 que se asigna a lo que la IEC 62443 define como requerimientos esenciales (Foundational Requirements). Estos requerimientos son: Esquemas de identificación, autenticación y autorización (IA); Esquemas de auditabilidad o control del uso de sistemas (AU); Integridad del sistema (IS); Confidencialidad de los datos (CD); Restricciones en la transmisión de datos (RD); Tiempo de respuesta a eventos (RE) y Disponibilidad de recursos (DR)

De manera que para una zona en particular, la representación de un tipo de nivel de seguridad sería la siguiente: SL-T/A/C (Zona, conducto, sistema) {IA AU IS CD RD RE DR}.

Por ejemplo, en una zona que coincida con una zona desmilitarizada o DMZ, este podría ser el nivel de seguridad objetivo: SL-T (DMZ) {3 3 2 1 3 1 2}.

 

foto-1-articulo-2-de-3
Fig. 3. Tecnologías asociadas a la Industria 4.0

 

La asignación cualitativa de los diferentes niveles de seguridad, se convertirá en cuantitativa, cuantos más datos se tengan disponibles y cuanto más profundo haya sido el análisis de amenazas, vulnerabilidades y riesgos llevado a cabo. La IEC 62443, en su documento IEC 62443-2-1 Requirements for an IACS Security Management System propone un excelente marco para la realización de un análisis de riesgos en entornos industriales.

  •  Activos físicos y lógicos

La norma proporciona una relación bastante exhaustiva de los activos que pueden vincularse a una zona. En un contexto de Industria 4.0, es clave realizar este análisis de forma completa incorporando al análisis todos los activos y agrupaciones de activos existentes en la zona evaluada independientemente del fabricante, versión o grado de obsolescencia. Se recomienda utilizar algún tipo de base de datos que facilite la introducción y categorización de los diferentes activos, así como las dependencias entre ellos.

Por último, la utilización de herramientas no intrusivas tipo IDS (Intrusion Detection System) basado en comportamiento que mapean automáticamente los dispositivos existentes en una zona o el uso de analizadores de puertos es clave para disponer un inventario completo y fácil de actualizar.

  • Tecnologías autorizadas

Para cada zona es necesario indicar el tipo de tecnologías que pueden utilizarse. El objetivo de esta dimensión es tener presente que, teniendo en cuenta el nivel de seguridad de una zona, no se podrán incluir tecnologías que lleven implícitas vulnerabilidades que incrementen los riesgos asociados a dicha zona. Dicho esto, es necesario conocer qué tipo de tecnologías se están utilizando actualmente en un contexto de Industria 4.0.

Como puede observarse en la Figura 3, se propone partir de un modelo de capas, a las que se les vincula las tecnologías más utilizadas en la Industria 4.0.

  • Evaluación de amenazas y vulnerabilidades

Para llevar a cabo este tipo de evaluación, es esencial apoyarse en metodologías que consideren la idiosincrasia particular de los entornos de operación y/o industriales, en los que existen dispositivos, sistemas y protocolos específicos y en los que el aspecto de la disponibilidad, suele primar sobre otros como la integridad o la confidencialidad. En este punto pueden ser útiles las experiencias con MAASERISv2.1, acrónimo de Metodología para el Análisis, Auditoría de seguridad y Evaluación de Riesgo operativo de redes Industriales y sistemas SCADA. En [10] se detallan los procesos, herramientas y entregables que esta metodología incluye. 

  • Requerimientos de acceso y control

Dado que una zona tiene límites, es imprescindible disponer de un procedimiento y/o controles en los que se identifique quién/qué puede traspasarlos y cómo. En un contexto de Industria 4.0, el tele-mantenimiento y el tele-desarrollo, así como el acceso remoto a las instalaciones son necesarios. Este punto será de vital importancia, si se genera una zona dedicada a centralizar el acceso remoto a las instalaciones industriales.

  • Procedimiento de control y mejora continua

Con la periodicidad que se estipule, será necesario realizar actualizaciones de los niveles de riesgo, activos, nuevas amenazas y vulnerabilidades, ediciones de las políticas y procedimientos. En un contexto de Industria 4.0, cambiante y flexible, este aspecto es clave y deberán construirse los mecanismos adecuados para que esta actualización se realice de forma natural.

La norma realiza este mismo ejercicio para los conductos. Dado que un conducto no es más que un tipo de zona, todo lo propuesto para las zonas sería aplicable para la correcta definición y evaluación de los niveles de seguridad de los conductos. Aunque habría que añadir algunos aspectos específicos relativos a la seguridad de redes y comunicaciones como se apreciará en la sección siguiente.

Dr.  Fernando Sevillano – Logitek

Dra.  Marta Beltrán – Universidad Rey Juan Carlos

 

(*Este artículo se completará con 1 entrega más)

 

 

REFERENCIAS
  • [1] D. Gorecky; M. Schmitt; M. Loskyll; D. Zühlke: “Human-machine-interaction in the industry 4.0 era” en Industrial Informatics (INDIN), 2014 12th IEEE International Conference, pg. 289 – 294, 2014.
    [2] I. Garbie; “Sustainability in Manufacturing Enterprises: Concepts, Analyses and Assessments for Industry 4.0 (Green Energy and Technology)”. Springer; Edición: 1st ed. 2016.
  • [3] O. Sauer: “Delopments and trends in shopfloor-related ICT systems” en Industrial Engineering and Engineering Management (IEEM), 2014 IEEE International Conference, pg. 1352 – 1356, 2014.
  • [4] D. Schulz: “FDI and the Industrial Internet of Things” en Emerging Technologies & Factory Automation (ETFA), 2015 IEEE 20th Conference, pg. Pages: 1 – 8, 2015.
  • [5]           “Recommendations for implementing the strategic initiative INDUSTRIE 4.0”. Abril 2013. http://www.acatech.de/fileadmin/user_upload/Baumstruktur_nach_Website/Acatech/root/de/Material_fuer_Sonderseiten/Industrie_4.0/Final_report__Industrie_4.0_accessible.pdf
  • [6] “German Standardization Roadmap, Industry 4.0, Version 2”. Enero 2016.https://www.vde.com/en/dke/std/Documents/RM_Industrie%2040_V2_EN.pdf
  • [7] C. Lesjak; D. Hein; J. Winter: “Hardware-security technologies for industrial IoT: TrustZone and security controller” en Industrial Electronics Society, IECON 2015 – 41st Annual Conference of the IEEE, pg. 002589 – 002595, 2015.
  • [8] ISA99/IEC 62443. Marzo 2016, http://isa99.isa.org/ISA99%20Wiki/Master-Glossary.aspx
  • [9] IEC 62443-1-1 Models and Concepts . Marzo 2016. http://isa99.isa.org/ISA99%20Wiki/WP-1-1.aspx
  • [10] F.Sevillano y M.Beltrán. “Metodología para el Análisis, Auditoría de Seguridad y Evaluación del Riesgo Operativo de Redes Industriales y Sistemas SCADA (MAASERISv2.1). Septiembre 2015. JNIC 2015

 

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *