Posts etiquetados ‘CNPIC’

cnpic-logo


Dentro de las TIC en el ámbito de las infraestructuras críticas, es habitual la existencia de sistemas de control industrial, que presentan ciertas peculiaridades con respecto a los sistemas tecnológicos empleados en otros ámbitos, debido a la importancia que se presta a la operatividad en tiempo real, y al grave impacto que tendría cualquier incidente sobre ellos. En este sentido el CNPIC, gracias al acuerdo de colaboración que tiene con el Centro Criptológico Nacional (CCN), presenta una serie de guías de interés para la seguridad de los sistemas de control industrial, también conocidos comúnmente como sistemas SCADA. A continuación se relacionan dichas guías y sus objetivos:

  • Version 03-2010 Guia 480A SCADA – Guía de buenas prácticas
    • Obtención de una profunda comprensión de los riesgos a los que se enfrenta el negocio de las amenazas de los sistemas de control de procesos con el fin de identificarlos y conducirlos al nivel adecuado de protección de seguridad que se requiere.
  • Version 03-2010 Guia 480D SCADA – Establecer capacidades de respuesta
    • Basándose en los fundamentos explicados en la CCN-STIC-480A proporciona orientación para establecer las capacidades de respuesta relacionadas con las amenazas a la seguridad digital del control de procesos y los sistemas SCADA.
  • Version 03-2010 Guia 480E SCADA – Mejorar la concienciación y las habilidades
    • Basándose en los fundamentos explicados en la CCN-STIC-480A, se desarrolla examinando en detalle cada una de las áreas clave, proporcionando una orientación general sobre la mejora de las habilidades de seguridad en el control de procesos dentro de las organizaciones.
  • Version 03-2010 Guia 480F SCADA – Gestionar el riesgo de terceros
    • Basándose en los fundamentos explicados en la CCN-STIC-480A, proporciona orientación sobre las buenas prácticas de gestión de riesgos de terceros para la seguridad de los sistemas de control de procesos.
  • Version 03-2010 Guia 480G SCADA – Afrontar proyectos
    • Basándose en los fundamentos explicados en la CCN-STIC-480A, proporciona orientación de buenas prácticas sobre cómo incluir consideraciones de seguridad en los proyectos de seguridad en control de procesos.

cnpic-logo

incibe

Identificación y reporte de incidentes de seguridad para operadores estratégicos


Guía básica de Protección de Infraestructuras Críticas

Esta guía básica de protección de Infraestructuras Críticas relativa a la Identificación y Reporte de incidentes de seguridad para operadores estratégicos tiene como finalidad servir de manual de actuación para el reporte y gestión de incidentes relacionados con las Infraestructuras Críticas (IICC) y los Operadores Estratégicos, a través del Centro de Respuesta a Incidentes de Seguridad de INTECO (INTECO-CERT).

Destacar que la respuesta a incidentes en IICC se realiza desde INTECO en estrecha colaboración con el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) a través del CERT de Seguridad e Industria.

El funcionamiento de dicho servicio de respuesta incluye el reporte a INTECO-CERT y CNPIC de los propios incidentes de seguridad, su análisis y el escalado necesario para poder gestionar su resolución y dar una respuesta por parte de INTECO-CERT a los operadores con las recomendaciones oportunas que permitan reducir el riesgo para la seguridad que suponga dicho incidente.

Para facilitar una gestión más adecuada, en este documento se definen también las pautas y actuaciones que pueden adoptar los operadores que puedan estar sufriendo un incidente, así como las categorías y niveles de criticidad del mismo. Esta información se incluirá al tratar cada incidente en el sistema de gestión de incidentes (en adelante RTIR, de Request Tracker Incident Response).

Como guía de identificación y reporte de incidentes de seguridad, aunque se incluyen cuestiones específicas que pueden ser sólo de aplicación al caso concreto que se desarrolla, los criterios generales que aquí se exponen atienden a buenas prácticas generalmente reconocidas en la gestión de incidentes y, como tales, pueden servir de referencia en el diseño e implementación de este tipo de servicios en cualquier otro ámbito.

CNPIC/INCIBE – Guía de reportes de incidentes de seguridad

El ministro del Interior, Jorge Fernández Díaz, ha inaugurado esta mañana, en El Pardo (Madrid), el nuevo Centro Tecnológico de Seguridad (CETSE) que albergará la sede del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) y de la Subdirección General de Sistemas de Información y Comunicaciones para la Seguridad (SGSICS) dependientes de la Secretaría de Estado de Seguridad del Ministerio del Interior.

cetse

Durante este acto, Jorge Fernández Díaz ha estado acompañado por el secretario de Estado de Seguridad, Francisco Martínez; el subsecretario del Ministerio del Interior, Luis Aguilera; el director del CNPIC, Fernando Sánchez; el subdirector general de Sistemas de Información y Comunicaciones para la Seguridad, Enrique Belda, y el subdirector general de Planificación y Gestión de Infraestructuras y Medios para la Seguridad, Felipe del Pozo, entre otras autoridades.

El ministro del Interior ha señalado que estas nuevas instalaciones, que ha calificado de “magníficas, funcionales y modernas”, redundarán en una mayor eficacia en el trabajo y en la seguridad de todos los ciudadanos. Jorge Fernández Díaz ha asegurado que este centro agrupará desde hoy las unidades tecnológicas de seguridad del Ministerio del Interior, dependientes de la Secretaría de Estado de Seguridad.

El Centro Tecnológico de Seguridad (CETSE), que acogerá a cerca de 200 personas, coordinará, desarrollará e implantará bases de datos, sistemas de información y sistemas de comunicaciones de utilización conjunta o compartida por las Fuerzas y Cuerpos de Seguridad del Estado. El objetivo primordial de estos sistemas es permitir a la Policía Nacional y a la Guardia Civil desempeñar su labor de salvaguarda de los derechos, libertades y seguridad de los ciudadanos de una manera más eficiente y efectiva.

El nuevo edificio cuenta con tres plantas, 63 zonas de oficina, 4 dependencias en la zona recepción, 72 puestos en la zona común, una sala con 6 puestos, 2 salas ZAR (Zona de Acceso Restringido), salas de formación y reuniones, salón de actos, cafetería, salas de espera, vestuarios, almacenes mantenimiento y un helipuerto.

http://www.interior.gob.es/documents/10180/5802412/CETSE.jpg/7c966d1d-1801-49f8-bd79-9b7648c26d32?t=1461165540977

Los intentos de sabotaje a la red de infraestructuras críticas del Estado no solo tienen su origen en cortes de fibra óptica -como el que paralizó recientemente el AVE entre Madrid y Barcelona-, sino que también se propagan a través del mundo virtual. En lo que va de año el Instituto Nacional de Ciberseguridad (Incibe) ha interceptado un total de 63 “incidentes de seguridad” vinculados a las infraestructuras esenciales, entre las que se encuentran el sistema energético, el de transporte o, entre otros, el financiero.

Se trata del mismo número de incidentes que se registró en el conjunto de 2014, por lo que los expertos en seguridad virtual llaman a reforzar la “concienciación” y “robustecer las estructuras de acción” ante el incremento y la profesionalización de estos ataques.

“La amenaza evoluciona, estamos ante una situación dinámica, debemos estar en situación de defensa permanente y supervisar todos los sistemas”, señaló el General de División y Jefe del Mando de Ciberdefensa, Carlos Gómez López de Medina, durante el seminario Ciberseguridad, Defensa Nacional y Suministro Energético celebrado recientemente en Madrid y organizado por Iberdrola. “Existe una falta de percepción del riesgo, y eso nos hace vulnerables”, añade, por su parte, Miguel Ángel Ballesteros Marín, general director del Instituto Español de Estudios Estratégicos.

La mayor parte de los ataques se concentra en el sistema energético y en el de transportes, según comentan a este diario fuentes de Defensa. La tipología de los ataques es muy diversa, y pueden ir desde la suplantación de identidad en páginas web, robo o alteración de información, hasta el intento de denegación de servicio, que busca bloquear los servidores de un operador estratégico. “Los peores ataques son aquellos de los que no te enteras. Te pegan la puñalada y se llevan los datos sin dejar registro“, explica Ángel González Berdasco, técnico de seguridad del Equipo de Respuesta ante Emergencias Informáticas (CERT) de Seguridad e Industria.

Detección y control

Este centro persigue los incidentes y las vulnerabilidades del sistema de infraestructuras y, en caso de localizar una amenaza, se pone en contacto con el operador estratégico para proceder a su solución. En otros casos es la propia empresa la que denuncia el asalto y pide ayuda a los informáticos del Incibe a través de un teléfono de emergencia. “Actualmente hay riesgos de todo tipo. La mayoría de los ataques que recibimos van destinados a dañar nuestra imagen reputacional, aunque también sufrimos intentos de paralizar nuestras actividades”, explica el responsable de la seguridad virtual de uno de los grandes operadores estratégicos. “Los ataques sobre infraestructuras críticas suelen ser intentos de generar un daño grave o muy grave. Normalmente, se trata de avisos que si se llevaran a cabo tendrían efectos desastrosos”, añade.

Este concepto aglutina a toda aquellas “entidades u organismos responsables de las inversiones o del funcionamiento de una instalación, red, sistema, o equipo físico o de tecnología de la información designada como infraestructura crítica por proporcionar un servicio indispensable para la sociedad”.

Todos los expertos consultados coinciden también en lo difícil que es seguir el rastro de los piratas informáticos, a menudo oculto tras varios servidores distintos y ubicados en distintos países. “El atacante suele comprometer una cadena de servidores, lo que hace muy difícil seguir su rastro. Nosotros vamos cortando la cabeza a la hidra, pero ésta sigue infectando”, ilustra González Berdasco. Entre los principales atacantes, los especialistas en Defensa destacan grupos de terroristas, miembros del crimen organizado y los Estados potencialmente adversos.

En un 60% de los casos, el intento de ataque viene desde dentro de la propia organización. “Hay empleados que conocen los recursos de la empresa y sus funcionamientos”, explica el director de ciberseguridad de una cotizada española.

Los incidentes de seguridad en infraestructuras son sólo una minúscula parte de los más de 36.000 episodios que en el Incibe han detectado en lo que va de año, centrados principalmente sobre los dispositivos informáticos de particulares y empresas. La red académica y científica RedIris es otro de los objetivos de estos sabotajes, con 3.000 incidentes en lo que va de año. “Prácticamente, el 95% de estos ataques son bots, es decir, equipos comprometidos controlados por organizaciones criminales o ciberdelincuentes”, explican en el centro de seguridad. “El 5% restante son páginas web utilizadas para hacer fraude, distribución de malware o programas maliciosos, envío de spam, intentos de vulneración…”, añaden.

Por distribución geográfica, el 30% de los incidentes de seguridad se concentra en la ciudad de Madrid y alrededores, mientras que un 15% están ubicados en el perímetro de Barcelona.

http://www.elmundo.es/economia/2015/10/26/562cf6c0e2704e21798b45bb.html

VÍCTOR MARTÍNEZ

@vmartinez_EM

26/10/2015

¿Qué podría ocurrir si un día no funcionase nada, no hubiese luz, la comida se echase a perder, no se pudiera sacar dinero del cajero, ni pagar con tarjeta, ni cargar el móvil…? El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) se ocupa de proteger los puntos determinantes del sistema, los que podrían instaurar el caos si fallasen. Ante la amenaza terrorista, el Ministerio del Interior ha señalado 54 nuevos “operadores críticos”, empresas que dan servicios esenciales. El mapa de alto riesgo de España está formado hoy por 93.

Una treintena de personas, ingenieros, informáticos, químicos, hackers, con una media de edad de 40 años, y con un teniente coronel de la Guardia Civil al frente, controlan y protegen —desde las anodinas instalaciones de unas antiguas oficinas de la Dirección General de Tráfico— la seguridad de los puntos más determinantes del sistema, todas aquellas infraestructuras que hacen que nuestra vida sea como es. Es decir, que cuando se apriete un interruptor se encienda la luz, o que al abrir el grifo salga agua, pero también que se pueda sacar dinero de un cajero o pagar con una tarjeta en un comercio. Operaciones aparentemente sin importancia. Pero qué pasaría si un día no funcionase nada. Qué pasaría si, por ejemplo, se fuese la luz de manera masiva. El Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC), creado en 2007 y que depende directamente del Secretario de Estado de Seguridad, Francisco Martínez, trabaja constantemente con esa clase de hipótesis catastróficas para cubrir los huecos de seguridad de un sistema cada vez más interconectado —más allá de las fronteras españolas— en el que cualquier disfunción podría provocar un efecto dominó y hacerlo colapsar.

Respuesta ante emergencias informáticas

P.O.D.

Se denomina CERT (Computer Emergency Response Team, Equipo de respuesta ante emergencias informáticas) a un conjunto de medios y personas responsables del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información. Pretende mejorar la coordinación de las acciones de los Fuerzas y Cuerpos de Seguridad del Estado en este ámbito. Cuenta con una Oficina de Coordinación Cibernética (OCC) en el CNPIC, punto de contacto del Ministerio de Interior para lo relativo a la ciberseguridad.

El establecimiento del nivel cuatro de amenaza terrorista ha llevado al Ministerio del Interior a reforzar esos planes estratégicos de protección. Actualmente en España hay 93 “operadores críticos”, o sea empresas que ofrecen servicios esenciales a la sociedad. De los que recientemente, y tras la llamada “Ley PIC” de 2011 que reguló su protección, se han designado 54 nuevos en los sectores del agua y el transporte. Previamente, en 2014, se señalaron en el sector eléctrico, nuclear, el del gas, el petróleo y en el sistema financiero. Y próximamente le tocará al sector alimenticio y al sanitario.

El documental American Blackout, realizado por National Geographic, ficciona —basándose en estudios y testimonios científicos— el caos y la devastación que puede seguir a un apagón de las dimensiones de todo Estados Unidos. Lo que inicialmente la gente se toma como una broma y graba con sus móviles en la oscuridad, se convierte en un desastre progresivo que desencadena accidentes, agresividad, saqueos y, en definitiva, un estado de terror generalizado en diez días. El impacto —se simula lo que sucedería si se tratase de un ciberataque que cortase la electricidad—, se propaga en progresión geométrica, y acaba siendo similar al que podría producir un desastre natural como un gran terremoto o un huracán o un atentado brutal.

Uno de los principales refuerzos que ha realizado el Ministerio del Interior es precisamente en materia de prevención de los ciberataques en las infraestructuras críticas. “El hecho de que todo funcione de manera computerizada es una ventaja por comodidad y rapidez pero incrementa ostensiblemente los riesgos del sistema”, reconoce Fernando Sánchez, director de CNPIC. “Nuestra sociedad es ahora, por ese motivo y por la dependencia de las tecnologías, mucho más interdependiente y menos autónoma que hace décadas”, reconoce.

Punto de inflexión

El punto de inflexión, de toma de conciencia de los grandes riesgos, fue el 11-S y después el 11-M. Hasta entonces, la protección de las llamadas infraestructuras críticas —en su mayoría (un 80%) empresas privadas, que prestan servicios esenciales— dependía exclusivamente de sus propietarios. Pero el hecho de que fuesen las responsables de nutrir al sistema y de mantener el correcto funcionamiento de la sociedad por el tipo de servicio que prestaban, las convertía también en un asunto de Estado. Por esa razón se creó el CNPIC y por eso se empezaron a incluir esos “operadores críticos” en una lista en los planes de protección, dando lugar a una especie de mapa de riesgos, que permanece “a buen recaudo”.

Se trata de una colaboración público-privada: “Por una parte las empresas incluidas en ese listado tienen que cumplimentar una serie de requisitos de seguridad porque son auditadas por Interior, y por otro lado entran en una plataforma en la que se establece su protección prioritaria y donde comparten y tienen acceso a información sensible”, explica Sánchez.

La idea es que ese mapa de alto riesgo se vaya completando progresivamente y sean cada vez más las empresas incorporadas y mayor la protección de esos servicios esenciales. Cuantos más elementos incluya ese plano crítico, más seguro será el país al que corresponda.

cnpic-logo


Resolución de 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, por la que se aprueban los nuevos contenidos mínimos de los Planes de Seguridad del Operador y de los Planes de Protección Específicos.

http://www.boe.es/boe/dias/2015/09/18/pdfs/BOE-A-2015-10060.pdf

 

El grupo estadounidense de seguridad online Symantec denuncia que la sofisticada acción cuenta con el respaldo de algún Gobierno. Algunas fuentes vinculan la acción con Rusia. España concentra más de una cuarta parte de los equipos infectados por un ‘virus informático espía’

Más de un millar de instalaciones energéticas de Europa y Estados Unidos han sufrido un ciberataque masivo que podría tener su origen en Rusia. España es el país más afectado por la acción, concentrando un 27% del total de equipos infectados por un sofisticado virus informático, pero no se ha hecho público qué compañías y qué instalaciones concretas son las que han visto comprometidas su seguridad.

Los sistemas de control de instalaciones (plantas de generación eléctrica, gasoductos, aerogeneradores, los contadores de consumo en tiempo real…) de centenares de compañías europeas y estadounidenses se han visto afectados por un ciberataque que parece sólo ha servido para realizar espionaje industrial, pero que por sus características permitiría el sabotaje de su funcionamiento, según ha desvelado el gigante de seguridad informatica norteamericano Symantec.

Sólo espionaje, pero con capacidad de sabotaje

Symantec, que anoche desveló el ciberataque mediante un comunicado, subraya que la operación es tan compleja, tan sofisticada y tiene tanto alcance que parece que cuenta con el respaldo de algún Gobierno. Financial Times y The New York Times señalan directamente los lazos de la operación con Rusia, citando a diferentes fuentes vinculadas con la investigación de la acción.

Los hackers han comprometido la seguridad de “compañías estratégicamente importantes” con “objetivos de espionaje”, señala Symantec, pero subraya que si los atacantes “hubieran utilizado la capacidad de sabotaje de que disponían [gracias al malware utilizado] podrían haber causado daños o interrrupciones de,l sunministro de energía en los países afectados”.

Las compañías energéticas españolas son las más afectadas por un ciberataque que se ha desarrollado hasta en 84 países durante aproximadamente un año y medio. España concentra el 27% del total de equipos informáticos infectados por el malware espía, frente al 24% de Estados Unidos, el 9% de Francia, el 8% de Italia o el 7% de Alemania, según los datos facilitados por Symantec.

Virus similar al utilizado por EEUU contra Irán

El grupo de hackers que ha diseñado la acción es conocido desde hace tiempo como ‘Energetic Bear’ (Oso energético, en inglés), pero Symantec lo ha rebautizado como ‘Dragonfly’ (Libélula). “El grupo cuenta con cuantiosos recursos, tiene a su disposición una amplia serie de herramientas de malware y es capaz de lanzar ataques a través de diferentes vectores”, indica Symantec.

“La campaña más ambiciosa de ataques comprometió a varios sistemas de control industrial de diferentes compañías, infectando sus equipos con un virus de acceso remoto del tipo troyano (…) Estas acciones no sólo dieron a los atacantes acceso a las redes de sus objetivos, sino que también les facilitaron los medios para organizar acciones de sabotaje”, explica el grupo estadounidense de seguridad informática.

Los hackers han conseguido infectar el software de las compañías y de las instalaciones energéticas mediante un virus de tipo troyano que les permite el control remoto de los equipos. El malware utilizado es muy similar al virus informático Stuxnet, que fue diseñado por Estados Unidos e Israel para infectar los equipos y sabotear las isntalaciones del programa nuclear de Irán.

“Entre los objetivos de Dragonfly están operadores de redes energéticas, grandes grupos de generación eléctrica, operadores de oleoductos y proveedores de equipos industriales para el sector de la energía”, explica Symantec. “La mayoría de las víctimas están localizadas en Estados Unidos, España, Francia, italia, Alemania, Turquía y Polonia”.

01.07.2014 Madrid D. Page

http://www.expansion.com/2014/07/01/empresas/energia/1404200654.html