Arquitectura de ciberseguridad sostenible para los Sistemas Instrumentados de Seguridad (SIS)

Cómo elegir una arquitectura SIS que pueda proteger una operación durante todo su ciclo de vida.

0

Por Sergio Diaz y Alexandre Peixoto, gerentes de producto del DeltaV™ DCS y SIS, de Emerson

 

Cuando una organización inicia un proyecto de un Sistema Instrumentado de Seguridad (SIS), una de las primeras decisiones que se debe tomar es la elección de una arquitectura.

Es posible proporcionar sistemas exitosos y reforzados al utilizar una arquitectura SIS integrada o interconectada dentro de las limitaciones de los estándares internacionales de ciberseguridad, tales como la Comisión Electrotécnica Internacional (IEC) 62443 (familia de normas ANSI/ISA 62443) y/o las recomendaciones locales, como las pautas de la Asociación de Usuarios de la Tecnología de Automatización en Industrias de Procesos (NAMUR). El entendimiento de los beneficios y las consideraciones detrás de cada arquitectura es esencial para la toma de una decisión informada, cuya solución satisfará de la mejor manera las necesidades de la organización.

Comprensión de los estándares

Los estándares de ciberseguridad proporcionan pautas que separan los componentes críticos para la seguridad de los no críticos. Bajo las pautas ISA, los activos críticos para la seguridad deben agruparse en zonas que estén lógica o físicamente separadas de los activos no críticos para la seguridad[1]. NAMUR ofrece un conjunto similar de pautas en la hoja de trabajo NA 163, “Evaluación de riesgos de seguridad del SIS”. Las pautas definen tres zonas lógicas: Núcleo SIS, SIS extendido y arquitectura del sistema de control (referido como “Periféricos” por NAMUR) que deben estar física o lógicamente separadas (Figura 1).

El Núcleo SIS tiene los componentes necesarios para ejecutar la función de seguridad (logic solver, componentes de E/S, sensores y elementos finales). El SIS extendido tiene los componentes del sistema de seguridad, pero no es necesario que ejecuten la función de seguridad (por ejemplo, las estaciones de trabajo de ingeniería). Los periféricos son los componentes y sistemas, tales como el sistema de control de procesos básico (BPCS por sus siglas en inglés) que no son ni directa ni indirectamente asignados a SIS, pero podrían usarse en contexto de una función de seguridad (por ejemplo, una solicitud de reinicio de una estación de trabajo BPCS o la visualización de la función de seguridad en un HMI).

Figura 1 – NAMUR ofrece un set de lineamientos similares a los de ISA 62443, con funciones SIS agrupadas en tres zonas: Núcleo SIS, SIS Extendido y Arquitectura del sistema de control (referido como periféricos por NAMUR)

 

 

Es importante reconocer que ninguno de los estándares define una arquitectura requerida. Los usuarios deben decidir la mejor manera de estructurar sus redes SIS, siempre y cuando la solución final proporcione la separación lógica o física suficiente entre el BPCS y el SIS. Generalmente, esto les da a las organizaciones tres opciones para diseñar redes SIS:

  • Un SIS separado, completamente desconectado e independiente del BPCS;
  • Un SIS interconectado, conectado al BPCS por medio de protocolos industriales (generalmente, Modbus);
  • Un SIS integrado, interconectado a un BPCS, pero suficientemente aislado para cumplir los estándares de ciberseguridad.

A menudo se afirma que un SIS separado es más seguro que cualquier otro tipo de implementación SIS. Sin embargo, todas las arquitecturas enumeradas anteriormente pueden ofrecer una postura de seguridad reforzada siempre y cuando la postura se defina de antemano y se aplique durante el diseño, la implementación y el mantenimiento del sistema de seguridad. Aunque es importante, la arquitectura SIS es solo un aspecto de la definición de seguridad en un sistema de seguridad.

 

Maximizar la defensa profunda

Proteger de un modo adecuado el sistema SIS requiere de un enfoque de defensa profunda. Con el aumento de los ataques cibernéticos, una sola capa de protección para los activos críticos de seguridad no es suficiente. Los administradores de redes están empleando muchas capas de seguridad (antivirus, gestión de usuarios, autenticación por múltiples factores, prevención y detección de intrusiones, whitelisting, firewalls y más) que garantizan que usuarios no autorizados se enfrenten a una barrera de entrada insuperable. El objetivo de una estrategia de defensa profunda es aumentar los mecanismos de protección de control de acceso y lo podemos lograr agregando capas de protección que se complementan entre sí.

Defensa profunda – Sistemas separados

Uno de los métodos más comunes de proteger un SIS es separar completamente el sistema, lo que permite que haya espacio físico o “AIR GAP” entre las funciones del Núcleo SIS y del BPCS (Figura 2). A primera vista, los beneficios de este enfoque parecen obvios. Si el SIS está completamente separado de otros sistemas, estará fortalecido contra intrusiones en forma inherente.

Figura 2 – Infraestructura que separa los componentes críticos del SIS de los no críticos, pero no agrega mantenimiento extra para mantener capas de seguridad de defensa profunda en dos sistemas diferentes.

 

 

Sin embargo, aún los sistemas separados no son inmunes a los ataques cibernéticos. Los usuarios eventualmente necesitarán acceso externo al sistema para extraer registros de eventos para la secuencia de análisis de eventos, bypass, anulaciones, registros de pruebas de verificación o simplemente para realizar cambios en las configuraciones y aplicar actualizaciones de seguridad. Las unidades de USB, que son los medios habituales para implementar las actualizaciones, no son fáciles de proteger.

La dependencia de medios externos es una de las razones por las que un SIS separado sigue necesitando capas de protección adicionales, similares a las utilizadas para proteger el BPCS. El fortalecimiento adecuado de los sistemas deja a los usuarios manejando dos conjuntos separados de arquitecturas con defensa profunda. Esto crea una alta posibilidad de más horas de trabajo, periodos de inactividad más largos y áreas adicionales donde los descuidos pueden debilitar las capas de protección.

Defensa profunda – Sistemas interconectados

Los sistemas interconectados funcionan como sistemas separados en el sentido de que las funciones relacionadas con la seguridad están físicamente separadas de las funciones no relacionadas con la seguridad (Figura 3). La diferencia es que, en los sistemas interconectados, los elementos del BCPS y las funciones del Núcleo SIS se conectan mediante enlaces diseñados con protocolos industriales abiertos, como el Modbus. Normalmente, se utilizan firewalls u otros hardware y software de seguridad para restringir el tráfico entre el BPCS y el SIS.