SCADA, más estándares, más documentos

Durante estos días hemos podido apreciar una evolución en el interés de la seguridad en infraestructuras críticas, incluyendo los sistemas SCADA. Que dicho interés sea reciente (en los últimos dos años) en este país, no significa que no se haya hablado largo y tendido e incluso realizado acciones concretas en otros. Una de las apreciaciones más comunes en los diferentes eventos a los que asistimos es precisamente la de que la situación actual de las infraestructuras en España (en cuanto a seguridad se refiere) está años atrasada, y que no debemos reinventar la rueda.
Existen varias iniciativas nacionales que pretenden 'crear' desde cero estándares de seguridad para estos entornos, lo que para nosotros es un error dado que ese esfuerzo ya se ha realizado anteriormente, esfuerzos probados y comprobados. Ya hay un camino recorrido, y dado que la seguridad de las infraestructuras críticas es algo que beneficia a todos, es mejor subirse a un tren en marcha que no pretender arrancar uno nuevo. Con el tiempo, durante estos años, se ha ido creando un tren por cada tipo de 'entorno' en las IC; los criterios de estos entornos van en función de si existe legislación que cumplir, o del porcentaje de PIB que dicho entorno o sector genera. Pongamos una lista de ejemplo:

• Transporte (ferrocarril, metro, control aéreo, ...)
• Aguas (depuradoras, sistemas de regadío, ...)
• Distribución (gas, electricidad, petróleo, ...)
• Generación (eólica, térmica, nuclear, ...)
• Alimentación y bebidas (lácteas, cerveceras, ...)
• Procesos industriales clásicos (químicas, maderera, siderurgia, ...)

Aún en esta categorización, es necesario particularizar mucho más la definición de "medidas de seguridad" aplicables/interesantes/obligatorias/lo que sea. Pongamos por ejemplo los casos de distribución y generación de energía, casos que en España existen en forma de varias empresas competidoras, y que dispone desde hace tiempo de normativas y recomendaciones:

• IEC 61850: Sistemas y redes de comunicación para la automatización del suministro de energía
• IEC 62351: Seguridad y comunicación en datos NERC- CIP
• IEC 61968: Interfaz de aplicación para sistemas de administración de la energía
• IEC 61400-25: Comunicaciones para la supervisión y control de plantas eólicas generadoras de energía
• IEC 60850-5: Perfiles 101/104 y DNP3
• IEEE 1686: Capacidades de Seguridad de dispositivos electrónicos inteligentes (IED’s) en subestaciones

El cruce de estos estándares con las normativas vigentes de nuestro pais pasa por el acercamiento de las infraestructuras críticas hacía la ISO 17799, algo en lo que nosotros llevamos trabajando más de un año ya. Como camino para llegar a este resultado hemos tenido que ir resolviendo diferentes preguntas a lo largo del camino, os dejo algunas como muestra:

• ¿Con qué frecuenta se van a modificar las normas, y que margen de tiempo la legislación va a permitir la adecuación a los estándares?
• ¿Qué nivel de implantación existe y que nivel de implantación se exige, o se exigirá a las diferentes empresas?
• ¿Cómo afecta el tamaño de la infraestructura crítica al nivel de exigencia?
• ¿Cómo diferencian estos estándares los sistemas hechos a medida de los productos comprados?
• ¿Qué herramientas existen para completar la adecuación a estos estándares? ¿qué herramientas existen para comprobar la adecuación de estos estándares?

Al que le interese, antes o después llegará a encontrar respuesta a estas preguntas, claro que para hacerlo divertido tampoco vamos a poner las soluciones ahora, ¿no?

Iñaki López
S21Sec Labs

Fuente: S21Sec