Guía de identificación y reporte de incidentes de seguridad en Infraestructuras Críticas

Identificación y reporte de incidentes de seguridad para operadores estratégicos

---

Guía básica de Protección de Infraestructuras Críticas

Esta guía básica de protección de Infraestructuras Críticas relativa a la Identificación y Reporte de incidentes de seguridad para operadores estratégicos tiene como finalidad servir de manual de actuación para el reporte y gestión de incidentes relacionados con las Infraestructuras Críticas (IICC) y los Operadores Estratégicos, a través del Centro de Respuesta a Incidentes de Seguridad de INTECO (INTECO-CERT).

Destacar que la respuesta a incidentes en IICC se realiza desde INTECO en estrecha colaboración con el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) a través del CERT de Seguridad e Industria.

El funcionamiento de dicho servicio de respuesta incluye el reporte a INTECO-CERT y CNPIC de los propios incidentes de seguridad, su análisis y el escalado necesario para poder gestionar su resolución y dar una respuesta por parte de INTECO-CERT a los operadores con las recomendaciones oportunas que permitan reducir el riesgo para la seguridad que suponga dicho incidente.

Para facilitar una gestión más adecuada, en este documento se definen también las pautas y actuaciones que pueden adoptar los operadores que puedan estar sufriendo un incidente, así como las categorías y niveles de criticidad del mismo. Esta información se incluirá al tratar cada incidente en el sistema de gestión de incidentes (en adelante RTIR, de Request Tracker Incident Response).

Como guía de identificación y reporte de incidentes de seguridad, aunque se incluyen cuestiones específicas que pueden ser sólo de aplicación al caso concreto que se desarrolla, los criterios generales que aquí se exponen atienden a buenas prácticas generalmente reconocidas en la gestión de incidentes y, como tales, pueden servir de referencia en el diseño e implementación de este tipo de servicios en cualquier otro ámbito.

CNPIC/INCIBE – Guía de reportes de incidentes de seguridad

‘Infraestructuras críticas’: ¿Qué pasa si un día falla todo?

¿Qué podría ocurrir si un día no funcionase nada, no hubiese luz, la comida se echase a perder, no se pudiera sacar dinero del cajero, ni pagar con tarjeta, ni cargar el móvil…? El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) se ocupa de proteger los puntos determinantes del sistema, los que podrían instaurar el caos si fallasen. Ante la amenaza terrorista, el Ministerio del Interior ha señalado 54 nuevos “operadores críticos”, empresas que dan servicios esenciales. El mapa de alto riesgo de España está formado hoy por 93.

Una treintena de personas, ingenieros, informáticos, químicos, hackers, con una media de edad de 40 años, y con un teniente coronel de la Guardia Civil al frente, controlan y protegen —desde las anodinas instalaciones de unas antiguas oficinas de la Dirección General de Tráfico— la seguridad de los puntos más determinantes del sistema, todas aquellas infraestructuras que hacen que nuestra vida sea como es. Es decir, que cuando se apriete un interruptor se encienda la luz, o que al abrir el grifo salga agua, pero también que se pueda sacar dinero de un cajero o pagar con una tarjeta en un comercio. Operaciones aparentemente sin importancia. Pero qué pasaría si un día no funcionase nada. Qué pasaría si, por ejemplo, se fuese la luz de manera masiva. El Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC), creado en 2007 y que depende directamente del Secretario de Estado de Seguridad, Francisco Martínez, trabaja constantemente con esa clase de hipótesis catastróficas para cubrir los huecos de seguridad de un sistema cada vez más interconectado —más allá de las fronteras españolas— en el que cualquier disfunción podría provocar un efecto dominó y hacerlo colapsar.

Respuesta ante emergencias informáticas

P.O.D.

Se denomina CERT (Computer Emergency Response Team, Equipo de respuesta ante emergencias informáticas) a un conjunto de medios y personas responsables del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información. Pretende mejorar la coordinación de las acciones de los Fuerzas y Cuerpos de Seguridad del Estado en este ámbito. Cuenta con una Oficina de Coordinación Cibernética (OCC) en el CNPIC, punto de contacto del Ministerio de Interior para lo relativo a la ciberseguridad.

El establecimiento del nivel cuatro de amenaza terrorista ha llevado al Ministerio del Interior a reforzar esos planes estratégicos de protección. Actualmente en España hay 93 “operadores críticos”, o sea empresas que ofrecen servicios esenciales a la sociedad. De los que recientemente, y tras la llamada “Ley PIC” de 2011 que reguló su protección, se han designado 54 nuevos en los sectores del agua y el transporte. Previamente, en 2014, se señalaron en el sector eléctrico, nuclear, el del gas, el petróleo y en el sistema financiero. Y próximamente le tocará al sector alimenticio y al sanitario.

El documental American Blackout, realizado por National Geographic, ficciona —basándose en estudios y testimonios científicos— el caos y la devastación que puede seguir a un apagón de las dimensiones de todo Estados Unidos. Lo que inicialmente la gente se toma como una broma y graba con sus móviles en la oscuridad, se convierte en un desastre progresivo que desencadena accidentes, agresividad, saqueos y, en definitiva, un estado de terror generalizado en diez días. El impacto —se simula lo que sucedería si se tratase de un ciberataque que cortase la electricidad—, se propaga en progresión geométrica, y acaba siendo similar al que podría producir un desastre natural como un gran terremoto o un huracán o un atentado brutal.

Uno de los principales refuerzos que ha realizado el Ministerio del Interior es precisamente en materia de prevención de los ciberataques en las infraestructuras críticas. “El hecho de que todo funcione de manera computerizada es una ventaja por comodidad y rapidez pero incrementa ostensiblemente los riesgos del sistema”, reconoce Fernando Sánchez, director de CNPIC. “Nuestra sociedad es ahora, por ese motivo y por la dependencia de las tecnologías, mucho más interdependiente y menos autónoma que hace décadas”, reconoce.

Punto de inflexión

El punto de inflexión, de toma de conciencia de los grandes riesgos, fue el 11-S y después el 11-M. Hasta entonces, la protección de las llamadas infraestructuras críticas —en su mayoría (un 80%) empresas privadas, que prestan servicios esenciales— dependía exclusivamente de sus propietarios. Pero el hecho de que fuesen las responsables de nutrir al sistema y de mantener el correcto funcionamiento de la sociedad por el tipo de servicio que prestaban, las convertía también en un asunto de Estado. Por esa razón se creó el CNPIC y por eso se empezaron a incluir esos “operadores críticos” en una lista en los planes de protección, dando lugar a una especie de mapa de riesgos, que permanece “a buen recaudo”.

Se trata de una colaboración público-privada: “Por una parte las empresas incluidas en ese listado tienen que cumplimentar una serie de requisitos de seguridad porque son auditadas por Interior, y por otro lado entran en una plataforma en la que se establece su protección prioritaria y donde comparten y tienen acceso a información sensible”, explica Sánchez.

La idea es que ese mapa de alto riesgo se vaya completando progresivamente y sean cada vez más las empresas incorporadas y mayor la protección de esos servicios esenciales. Cuantos más elementos incluya ese plano crítico, más seguro será el país al que corresponda.

• Interior vigila las infraestructuras críticas ante la amenaza yihadista
• Interior detectó casi 18.000 ciberataques el año pasado
• El Gobierno crea un plan para proteger infraestructuras estratégicas ante ataques terroristas

Patricia Ortega Dolz Madrid 21 SEP 2015 – 07:31 CEST

http://ccaa.elpais.com/ccaa/2015/09/18/madrid/1442595312_050284.html

Nuevos contenidos mínimos de los Planes de Seguridad del Operador y de los Planes de Protección Específicos

---

Resolución de 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, por la que se aprueban los nuevos contenidos mínimos de los Planes de Seguridad del Operador y de los Planes de Protección Específicos.

http://www.boe.es/boe/dias/2015/09/18/pdfs/BOE-A-2015-10060.pdf

 

Dos detenidos en Barajas por causar daños por valor de 30.000 euros en un avión

Dos jóvenes españoles, uno de ellos menor de edad, fueron detenidos la madrugada del pasado sábado en el aeropuerto de Barajas después de romper el precinto de una puerta de emergencia y causar daños por valor de unos 30.000 euros en el interior de un avión, han informado a Efe fuentes del sector aéreo.

Este hecho ha sido confirmado por Aena, que se ha limitado a señalar que «dos jóvenes accedieron al lado aire del aeropuerto de Barajas, donde fueron detectados y detenidos por agentes de la Guardia Civil, que es la encargada de la seguridad de las instalaciones».

Además, la empresa pública ha resaltado el buen funcionamiento de «sus sistemas de seguridad», que detectaron «enseguida» a los jóvenes y ha destacado que el incidente no afectó a la operatividad de las instalaciones.

Según han comentado a Efe las fuentes del sector, la presencia de los jóvenes en la pasarela de una de las puertas de acceso a los aviones, situada en la terminal 3, fue detectada sobre las 03.45 horas del sábado. Los jóvenes habían accedido al interior de una aeronave «rompiendo el precinto de seguridad de la puerta de emergencia», habían hinchado varios chalecos salvavidas de la aeronave y «habían jugado con las linternas de la tripulación», además de causar daños en la «palanca del tren de aterrizaje del avión y en la radio de abordo», que han sido valorados en unos 30.000 euros.

Las fuentes han manifestado que los jóvenes comentaron que habían accedido al avión «para hacer una gamberrada de fin de semana». Uno de los arrestados tiene 16 años, por lo que fue puesto a disposición de la Fiscalía de Menores de Madrid, mientras que el que tiene 19 ayer ha pasado a disposición judicial, según las fuentes

http://www.abc.es/local-madrid/20130429/abci-detenidos-barajas-avion-201304291924.html

El Congreso debatirá la restricción de mapas ‘online’ por motivos antiterroristas

Vista de la Base Aérea de Torrejón, en Madrid, a través de Google Maps

La Comisión Constitucional del Congreso tiene previsto debatir este jueves una proposición no de ley en la que pide poner coto a los mapas que son accesibles en Internet para proteger la seguridad del Estado frente a posibles actos terroristas. Se trata de una iniciativa en la que los ‘populares’ explican que estas tecnologías, aunque son «muy útiles» para la sociedad, por ejemplo en el uso de los GPS del coche, pueden utilizarse igualmente con fines no deseables.

Central nuclear de Almaraz (Cáceres)

Así, señala que la cartografía por satélite disponible a través de Internet proporciona una información de enclaves e instalaciones sensibles, no sólo militares, que podría poner en riesgo la seguridad nacional y el mantenimiento de la estabilidad internacional. Por ejemplo, indica que algunos grupos terroristas han reconocido públicamente el uso de tales herramientas para la elaboración de sus ataques, mostrando el límite del uso indebido de estas tecnologías.

«Es obvio que el terrorismo no existe por culpa de estas nuevas formas de acceso a la información cartográfica, pero sí pueden facilitar la comisión de actos terroristas si no se protege debidamente la difusión de estos datos sobre instalaciones sensibles», argumenta el Grupo Popular. Igualmente, lamenta que este tipo de información está localizada en bancos de datos situados fuera de las fronteras españolas y no existe legislación internacional o acuerdos referentes a la difusión por empresas privadas de información relevante para la seguridad nacional.

Difuminar o pixelar zonas sensibles

En su opinión, tales dificultades no pueden impedir que se adopten determinadas medidas y, de hecho, destaca que existen iniciativas que propician que zonas determinadas designadas como ‘sensibles’ para la Seguridad Nacional aparezcan pixeladas o difuminadas siendo «imposible» extraer información útil de ellas.

Base aérea de Morón (Sevilla)

Por todo ello, ha registrado esta iniciativa en la que solicita al Gobierno la elaboración de un estudio sobre los efectos, como fuente de información abierta, de los sistemas de cartografiado disponibles a través de los medios telemáticos.

De la misma manera quiere que el Ejecutivo realice un estudio sobre el grado de información que se puede obtener a través de estos medios de instalaciones de interés para la seguridad nacional, además de que desarrolle un listado exhaustivo de aquellas instalaciones civiles y militares que pueden considerarse de interés para la seguridad nacional.

Finalmente, propone al Gobierno que tome las medidas oportunas, incluyendo la promoción de acuerdos bilaterales o a través de organizaciones internacionales, así como con empresas civiles nacionales o internacionales, para limitar los daños potenciales para la seguridad nacional.

http://www.elnortedecastilla.es/rc/20130415/mas-actualidad/tecnologia/congreso-debatira-restriccion-mapas-201304151143.html

EEUU advierte del riesgo de un 11-S informático «inminente»

La secretaria de Seguridad Nacional de Estados Unidos, Janet Napolitano, ha advertido este jueves del riesgo de que se produzca de forma «inminente» un ataque informático de la magnitud de los atentados ‘yihadistas’ del 11 de septiembre de 2001.

Napolitano ha asegurado que hay una amenaza real de que se produzca un ataque informático contra infraestructuras clave para cualquier país, como las de suministro de agua y energía, que podría provocar los mismos estragos que la tormenta tropical ‘Sandy’, que a finales de 2012 recorrió el continente americano dejando decenas de muertos.

La jefa de Interior ha recordado que ya se han producido ataques informáticos contra bancos estadounidenses. «Ya hemos recibido una llamada de atención. Se están produciendo todo el tiempo y vienen de diferentes lugares, con diferentes formas, aunque cada vez más sofisticadas», ha dicho.

Por ello, ha considerado que «no deberíamos esperar a que haya un 11-S informático». «Hay cosas que podemos y debemos hacer ahora mismo para, si no prevenir, al menos mitigar los daños», ha apuntado, durante su intervención en el Centro Wilson, un ‘think tank’ de Washington.

A este respecto, ha instado al Congreso -paralizado por la profunda división entre demócratas y republicanos- a aprobar el proyecto de ley sobre ataques informáticos, que permitirá al Gobierno compartir información con el sector privado, que gestiona dichas infraestructuras, para evitarlos.

La jefa de Interior ha recordado que ya se han producido ataques informáticos contra bancos

Se espera que el presidente estadounidense, Barack Obama, ordene la creación de un sistema destinado a ayudar a las empresas a proteger las infraestructuras que gestionan, que será voluntario y que contendrá incentivos para las compañías que decidan participar.

El sector privado se ha mostrado reacio a dicha legislación al considerar que se trata de una extralimitación del sector público con la que podría acceder a información que en estos momentos no está a su alcance.

Actualmente, el ordenamiento jurídico estadounidense no garantiza la inmunidad legal a las empresas que, voluntariamente, accedan a compartir información con el Gobierno, aunque sea por motivos de seguridad nacional.

http://www.publico.es/449543/eeuu-advierte-del-riesgo-de-un-11-s-informatico-inminente

Una seguridad muy alta y cara

Complejo en In Amenas

Las plantas de gas como la atacada en Argelia son lugares estratégicos muy protegidos por el Ejército y empresas privadas

La seguridad de las instalaciones gasísticas y petrolíferas tiene una relevancia estratégica, y más en Argelia, cuya economía depende del sector de los hidrocarburos —representa entre el 40% y el 45% del PIB— y supone el 98% de sus exportaciones, según el FMI. Por eso el grado de protección de las plantas como la de In Amenas es muy alto, “y aumentó aún más tras la guerra de Libia, cuando hubo que evacuar de manera urgente a todo el personal expatriado de las compañías internacionales. Argelia siempre ha sido una zona de alto riesgo, pero este ataque ha sido tremendo”, explica Vicente de la Cruz, director de la empresa de seguridad privada Avizor Group, con experiencia en protección de este tipo de instalaciones en el extranjero.

En el confuso incidente participaron al menos 60 terroristas, “probablemente con fusiles de asalto, ametralladoras ligeras, lanzagranadas y granadas de mano”, estima De la Cruz. “Es decir, todo el material que circula por la zona desde la guerra de Libia y es fácil de transportar”.

El Ejército es el encargado de proteger estas instalaciones junto con empresas privadas —“en Argelia normalmente son francesas o británicas”, precisa De la Cruz— que se tienen que coordinar con los militares. “El Ejército del país desempeña un papel muy importante, sobre todo en la vigilancia perimetral y en los desplazamientos. Esa zona externa, con garitas de vigilancia, se suele proteger con personal armado con fusiles de asalto como freno a un primer ataque, pero luego normalmente se instala armamento pesado, como ametralladoras, en una unidad militar acantonada”, relata De la Cruz.

Las multinacionales proporcionan a sus empleados expatriados formación para saber qué hacer en caso de evacuación de la planta, de secuestro o de otras contingencias, informa la noruega Statoil, que opera la planta atacada con la británica BP y la argelina Sonatrach.

“Los presupuestos de protección y seguridad de una planta de gas, en esta zona, pueden costar unos seis millones de euros al año a la empresa gasística. Ahí se incluye desde la elaboración de la estrategia de seguridad hasta vehículos, teléfonos por satélite, armamento y personal de seguridad. Parte de ellos son contratados en el país donde está la planta, tras pasar rigurosos filtros, y la otra son expatriados con un coste superior”, dice De la Cruz, que añade que “cada vez es más frecuente que la planta tenga pista de aterrizaje o helipuertos para garantizar la evacuación”.

http://internacional.elpais.com/internacional/2013/01/17/actualidad/1358443546_989865.html