Download Arranca el primer CERT para la protección de las infraestructuras

page
1
page
2
page
3
page
4
Document related concepts

Seguridad informática wikipedia , lookup

Alfonso de Senillosa wikipedia , lookup

Panda Security wikipedia , lookup

Departamento de Seguridad Nacional (España) wikipedia , lookup

Kaspersky Lab wikipedia , lookup

Transcript 
Protección de Infraestructuras Críticas
Arranca el primer CERT para la
protección de las infraestructuras críticas
Miguel Ángel Abad / Jefe de la Sección de Seguridad Lógica del CNPIC
D
urante estos últimos años, en
España ha sido algo habitual
que las actuaciones en materia de protección de infraestructuras críticas se hayan encontrado siempre en un plano algo más avanzado respecto al resto de Europa. Iniciativas tales
como la aprobación por la Secretaría de
Estado de Seguridad del Ministerio del
Interior de un Plan Nacional para la Protección de las Infraestructuras Críticas,
de 7 de mayo de 2007, la subsiguiente
elaboración de un primer Catálogo Nacional de Infraestructuras Estratégicas y
la aprobación en el Consejo de Ministros de 2 de noviembre de 2007 de un
Acuerdo de sobre Protección de Infraestructuras Críticas, supusieron un importante avance para garantizar la seguridad de nuestros ciudadanos y el correcto funcionamiento de los servicios
esenciales.
La posterior promulgación de la Ley
8/2011 por la que se establecen medidas para la protección de las infraestructuras críticas y del RD 704/2011 que
20
la desarrolla, dieron respuesta a las necesidades largamente demandadas por
buena parte de los sectores público y
privado de nuestro país, en relación con
la ausencia de una determinación clara
de responsabilidades y obligaciones
de los diferentes sectores involucrados
en la protección de dichas infraestructuras. Esta normativa determinó además que fuese el Centro Nacional para
la Protección de las Infraestructuras Críticas (CNPIC) la organización responsable de todas las tareas relacionadas con
la mejora de la protección de las infraestructuras críticas a nivel nacional, actuando además como punto de contacto a nivel internacional.
Todos estos elementos conformaron
lo que han venido a ser los cimientos
para un adecuado desarrollo de actividades más concretas que en el marco
de las infraestructuras críticas tuviesen
por objetivo mejorar su seguridad y
protección, con especial atención a la
cooperación público-privada y a la coordinación inter-ministerial.
Aspectos clave
Desde la creación del CNPIC, cuando se
decidió dar un nuevo impulso a las actividades que se habían venido llevando
a cabo en materia de protección de infraestructuras críticas hasta el día de
hoy, se han venido desarrollando en España distintas actividades fundamentales para el posterior asentamiento de
actividades y servicios concretos, relacionadas principalmente con un estudio estratégico de la situación tanto
nacional como internacional, e identificando asimismo elementos fundamentales para la mejora efectiva de la
protección de las infraestructuras críticas (PIC), y por lo tanto de la seguridad
nacional en España.
Entre las conclusiones obtenidas en
su desarrollo, cabe destacar lo siguiente:
œ Las infraestructuras críticas son altamente dependientes de las nuevas
tecnologías.
œ La ciberseguridad es un elemento
clave y esencial en el ámbito PIC.
œ Los países más avanzados cuentan
con un organismo especializado en
la PIC con capacidades en materia de
ciberseguridad.
œ El sector privado es el mayor afectado por las medidas llevadas a cabo
en materia PIC.
œ Existe una elevada diversificación
en el nivel de capacitación y medio
que tienen los operadores críticos
para dar respuesta a incidentes cibernéticos.
œ La protección de las infraestructuras críticas requiere una especial atención y dedicación, dado el impacto
altamente negativo que supondría
que éstas fuesen objeto directo de
un ataque.
Por todo ello, desde la Secretaría de
Estado de Seguridad del Ministerio del
SEGURITECNIA
Febrero 2013
Protección de Infraestructuras Críticas
Interior se detectó la necesidad de cubrir algunos vacíos derivados de las anteriores apreciaciones, fundamentalmente en lo que respecta a la mejora
en las relaciones con el sector privado,
así como en la mejora de los servicios
prestados a los operadores críticos para
el aseguramiento de sus servicios, aspectos en los que se ha venido trabajando desde la promulgación de la ya
mencionada Ley 8/2011 para la mejora
de la protección de las infraestructuras
críticas.
PIC y ciberseguridad
Si bien en el ámbito del Ministerio del
Interior se ha venido trabajando tradicionalmente en el ámbito puramente físico, en los últimos años se ha avanzado
considerablemente en la mejora de las
capacidades para una adecuada protección cibernética que garantice como fin
último proteger el libre ejercicio de los
derechos y libertades de los ciudadanos, avanzando en este sentido hacia el
concepto de seguridad integral.
La cada vez más exagerada dependencia de estas infraestructuras con
las nuevas tecnologías hace que cobre
especial importancia la mencionada
seguridad integral como elemento de
convergencia entre las tradicionales seguridad física y seguridad cibernética.
Todo ello, teniendo en cuenta que incluso para los elementos tecnológicos
es insuficiente la implantación de medidas de ciberseguridad si éstas no van
acompañadas de elementos de protección adicionales que invaliden las
opciones de ataques físicos. Este concepto de seguridad integral es el que
de hecho posibilita una evaluación de
la amenaza de forma holística, lo que
repercute muy positivamente en la mejora de la protección de los sistemas
tecnológicos.
Teniendo en cuenta estos factores,
de cara a agilizar y mejorar la protección de las infraestructuras críticas, se
ha avanzado en el desarrollo de mecanismos de comunicación y alerta por
parte de la Secretaría de Estado de Seguridad, como elemento clave para garantizar que el proceso de intercambio
SEGURITECNIA
Febrero 2013
Estos sistemas de control
industrial forman en muchos
casos el núcleo operacional
de las infraestructuras que
proveen servicios esenciales,
lo que hace imprescindible
su securización. No obstante,
no se trata de una tarea sencilla, ya que cualquier técnica de protección habitual
en sistemas tecnológicos tradicionales podría no ser adecuada en el caso concreto de
entornos industriales. Esto ha
llevado de forma general a
la necesidad de abrir una línea de trabajo específica en
este tipo de entornos, con
el objetivo de identificar carencias, desarrollar tecnologías seguras e implantar so-
En el ámbito PIC se ha detectado la necesidad
de avanzar en aspectos concretos que mejoren la
protección de ciertos elementos tecnológicos
de información es de utilidad para todas las partes, garantizando asimismo
la confidencialidad adecuada en el que
por supuesto tendrán cabida los agentes oportunos tanto del sector público
como del privado.
Sin embargo, a pesar de que contamos con unos elementos de ciberseguridad maduros, en el ámbito de las
infraestructuras críticas se ha detectado la necesidad acuciante de avanzar en aspectos concretos que mejoren el nivel de protección de ciertos
elementos tecnológicos hasta cierto
punto olvidados en lo que respecta a
su protección. Se trata en especial de
los sistemas de control industrial, caracterizados por un diseño orientado
a la funcionalidad y la eficiencia (hacer
lo que tienen que hacer en tiempo y
forma), pero olvidando en muchos casos la seguridad de todos los componentes que lo conforman (tanto hardware como software).
luciones de seguridad en los sistemas
actuales, todo ello según las orientaciones marcadas por un organismo público con algún tipo de responsabilidad
en la protección de este tipo de infraestructuras.
En este sentido, ha sido habitual durante estos últimos años la creación de
centros especializados en este tipo de
actividades a nivel internacional, como
ha sido el caso del ICS-CERT (Industrial
Control Systems Computer Equipment Response Team) de los Estados Unidos de
América, el CPNI (Centre for the Protection of National Infrastructure) de Reino
Unido o el NCSC (National Cybersecurity Centre) de los Países Bajos, que de
alguna u otra manera han reorientado
sus capacidades hacia la provisión de
servicios que garanticen una mejora
efectiva de la seguridad de los sistemas
de control industrial de forma particular, y de las infraestructuras críticas de
forma general.
21
Protección de Infraestructuras Críticas
A nivel nacional, ha sido habitual la
participación en proyectos de innovación para la mejora del nivel de seguridad de los sistemas de control industrial, como es el caso del proyecto
SCADA-LAB, dirigido por el Instituto
Nacional de Tecnologías de la Comunicación (INTECO), con participación del
CNPIC, donde distintos usuarios finales
de este tipo de sistemas, expertos en
seguridad, la industria privada, universidades y otras instituciones públicas tienen por objetivo resolver los problemas
de ciberseguridad que plantean las vulnerabilidades en entornos industriales,
trabajando por una mejora en el conocimiento de su impacto.
Colaboración
Es de destacar el importante papel que
juegan las nuevas tecnologías, no solo
como herramienta para la prevención
de delitos, sino también como nueva
forma de amenaza que hay que combatir. Esta doble vertiente requiere la
creación de grupos de expertos que
sean capaces de dominar ambos escenarios con el objetivo último de mejorar
la ciberseguridad sin perjuicio de facilitar y fomentar a su vez el desarrollo tecnológico. Todo ello contando con la especial participación del sector privado
y de la industria como elementos esenciales para la comprensión y evolución
de tecnologías seguras que garanticen
un nivel adecuado de seguridad en los
entornos cibernéticos.
22
Para ello se prevé trabajar en la mejora efectiva de las capacidades de prevención, detección, respuesta e investigación de las ciberamenazas, sin olvidar
berdelincuencia y el ciberterrorismo
en las Fuerzas y Cuerpos de Seguridad del Estado y de los poderes judiciales, asegurando de este modo que
Se trabajará en la mejora de la prevención, detección,
respuesta e investigación de las ciberamenazas, sin
olvidar la colaboración y cooperación internacional
que la ausencia de fronteras físicas en el
ciberespacio requiere la adquisición de
un compromiso de colaboración y cooperación a nivel internacional.
Para la consecución de estos objetivos nos enfrentamos a una serie de retos que es necesario abordar, como son:
œ Determinar las responsabilidades, capacidades y mecanismos de coordinación a nivel nacional mediante el
establecimiento de una estructura organizativa adecuada.
œ Proveer mecanismos de cooperación
entre los distintos organismos implicados en la materia tanto a nivel nacional como internacional, público
y privado, asegurando en todo caso
el intercambio de información oportuno para facilitar las tareas de investigación y persecución del delito.
œ Reforzar las capacidades tanto técnicas como operativas de los equipos
que conforman la lucha contra la ci-
la gestión de un incidente cibernético no finaliza hasta que no se llevan
a cabo las investigaciones pertinentes
para la identificación y puesta a disposición judicial de los autores.
œ Adaptarse a las nuevas formas de amenaza en el ciberespacio, mediante el
desarrollo de las capacidades en materia de I+D.
El convenio de colaboración en materia de ciberseguridad firmado recientemente entre la Secretaría de Estado de
Seguridad del Ministerio del Interior y la
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Industria, Energía y Turismo pretende dar respuesta
a los retos planteados sobre la base de
una cooperación operativa en la materia, y marcará sin duda un hito en el empleo eficiente de las capacidades técnicas de alto nivel existentes en nuestro
país, permitiendo la optimización de recursos y dejando un claro mensaje: se
pueden hacer más y mejores cosas con
la colaboración, la organización, el saber hacer y la sinergia en la búsqueda
de objetivos comunes, sacando lo mejor de cada organización.
En todo caso, colocará a España y sus
ciudadanos como beneficiarios últimos
de sus actividades, en una situación
avanzada en materia de ciberseguridad
con respecto a los países del entorno
y como ejemplo a seguir en una situación económica tan difícil como en la
que nos encontramos. La fusión de las
capacidades y de la excelencia tecnológica del Ministerio de Industria, Ener-
SEGURITECNIA
Febrero 2013
Protección de Infraestructuras Críticas
gía y Turismo a través del INTECO, con
la experiencia, conocimientos y formación del personal de la Guardia Civil, el
Cuerpo Nacional de Policía y el CNPIC,
pertenecientes al Ministerio del Interior,
dará lugar a una nueva serie de proyectos tecnológicos y a grandes mejoras
en materia de ciberseguridad desconocidas hasta ahora.
Este convenio es además ejemplo
práctico del fomento de la colaboración público-privada y del deseo existente por parte del Ministerio del Interior de facilitar una mayor implicación
del sector privado en materia de ciberseguridad. Todo ello potenciando las
relaciones tanto de INTECO como del
Ministerio del Interior con el tejido empresarial y la industria nacional, lo que
redundará en una mejora efectiva de la
ciberseguridad y, muy especialmente,
en el incremento de los niveles de protección de los operadores que gestionan infraestructuras críticas, mediante
el establecimiento de canales específicos de comunicación y puntos de contacto singularizados que serán beneficiosos, en último término, para todos
nosotros.
Respuesta a incidentes
De todos los trabajos llevados a cabo
hasta el día de hoy en el ámbito PIC, quizás se echaba en falta ir un paso más allá,
llevando a cabo el desarrollo de servicios
concretos que mejorasen la cooperación
público-privada en materia de ciberseguridad como elemento imprescindible
para la provisión de una seguridad integral. Si bien el CNPIC tiene un papel de
director y coordinador de todas las actividades que se lleven a cabo a nivel nacional en materia de protección de infraestructuras críticas, siendo los propios
operadores estratégicos los responsables de garantizar la seguridad de sus
instalaciones, el excelente grado de colaboración existente entre todas las partes implicadas ha hecho posible el establecimiento de un servicio de protección
específico para cubrir las necesidades
que puedan tener dichos operadores en
la gestión de la seguridad de las infraestructuras nacionales.
24
Todo ello se ha llevado a cabo a través del mencionado convenio suscrito
que, en el ámbito de la protección de
las infraestructuras críticas en materia
de ciberseguridad, se materializa en la
creación de un nuevo servicio de respuesta a incidentes para las infraestructuras nacionales, donde INTECO se convierte en una herramienta de apoyo
técnico al CNPIC en la gestión de ciberincidentes.
Este servicio de respuesta a incidentes,
ha dado lugar a lo que viene a ser el primer CERT para las Infraestructuras Críticas (CERT-IC) en España, que continuará
trabajando en el futuro más próximo
para el desarrollo de nuevos servicios
que amplíen las capacidades actuales.
Este CERT para infraestructuras prestará de este modo, a todos aquellos
operadores que lo requieran, una serie de servicios de carácter gratuito que
permitirán dotar de un mayor nivel de
seguridad a sus instalaciones en su faceta cibernética, dotando a su vez al Ministerio del Interior de una alta capacidad operativa y de gestión de información relevante para la mejora de la
seguridad nacional.
La comunicación de un incidente por
parte de un operador activará a nivel
interno un protocolo de comunicación
seguro que, garantizando la confidencialidad, permitirá al personal de INTECO y CNPIC coordinarse para la resolución del mismo, aplicando en cada
caso los recursos necesarios. Todo ello
mejora considerablemente la fase de
respuesta, considerando la seguridad
como un proceso que se desarrolla a
través de cuatro fases (prevención, detección, evaluación y respuesta).
Por otra parte, el proyecto de innovación CLOUD-CERT, donde INTECO y el
CNPIC juegan un papel principal, servirá
de ayuda para la identificación de nuevas necesidades de cara a la ampliación
de las capacidades de este CERT-IC.
Conclusiones
El CNPIC, a través de las capacidades
técnicas de INTECO, ha puesto en marcha un innovador CERT-IC que proporcionará un servicio de respuesta a incidentes donde todos aquellos operadores podrán disponer de un punto
de contacto de cara a resolver los incidentes de ciberseguridad que les afecten, con especial hincapié en aquellos
relativos a los sistemas de control industrial.
La creación de un CERT de estas características supondrá sin duda un hito
de especial relevancia para España, que
se pondrá al nivel e incluso superará a
otros países de su entorno en lo que
respecta a la materialización de actividades de cooperación público-privada
en el ámbito de la ciberseguridad.
Todo ello sin perjuicio de otro tipo
de avances que se puedan llevar a
cabo en un futuro próximo en este
mismo ámbito cibernético, o en el
marco de la seguridad física, sin olvidar
que, al fin y al cabo, el CNPIC debe garantizar la aplicación de una seguridad
integral en el marco de la protección
de las infraestructuras críticas. S
SEGURITECNIA
Febrero 2013
Related documents
Plan de confianza en el ámbito digital (Junio 2013)
Plan de confianza en el ámbito digital (Junio 2013)
cnpic
cnpic
Planes Específicos - Agenda Digital para España
Planes Específicos - Agenda Digital para España
Guía actualizada para futuros peritos informáticos. Últimas
Guía actualizada para futuros peritos informáticos. Últimas
Plan de Seguridad y Confianza Digital Andalucia 2020 para el
Plan de Seguridad y Confianza Digital Andalucia 2020 para el
Informe con recomendaciones del grupo de expertos de alto nivel
Informe con recomendaciones del grupo de expertos de alto nivel
Circular 060/2016
Circular 060/2016
III Jornadas de tecnología y Nuevas Emergencias - 1-1
III Jornadas de tecnología y Nuevas Emergencias - 1-1
Ciberataques Estamos Preparados
Ciberataques Estamos Preparados
estado del analisis forense digital en colombia diego alejandro
estado del analisis forense digital en colombia diego alejandro
1. Introducción
1. Introducción