Una debilidad en la seguridad crea un mayor riesgo, que a su vez crea una disminución de la seguridad, por lo que la seguridad y la protección son directamente proporcionales, pero ambas son inversamente proporcionales al riesgo.
En muchos idiomas, solo hay una palabra para seguridad y protección. En alemán, por ejemplo, la palabra es ‘Sicherheit’, en español es ‘seguridad’, en francés es ‘sécurité’ y en italiano es ‘sicurezza’.
Según Merriam-Webster, la definición principal de seguridad es «la condición de estar libre de daño o riesgo», que es esencialmente la misma que la definición principal de seguridad, que es «la cualidad o estado de estar libre de peligro». Sin embargo, existe otra definición de seguridad; es decir, «medidas tomadas para protegerse contra espionaje o sabotaje, crimen, ataque o fuga», y esta es generalmente la definición que usamos cuando nos referimos a seguridad industrial.
Usando estas definiciones, podemos comprender mejor la relación entre seguridad y protección. La relación es tal que una debilidad en la seguridad crea un mayor riesgo, lo que a su vez crea una disminución en la seguridad. De modo que la seguridad y la protección son directamente proporcionales, pero ambas son inversamente proporcionales al riesgo. Si bien todo esto puede parecer elemental, comprender la relación entre seguridad y protección es muy importante para comprender cómo integrar los dos. Aquellos que poseen y operan instalaciones industriales, especialmente aquellas que muchos gobiernos han definido como infraestructuras críticas, ciertamente comprenden el significado y la importancia de la seguridad en relación con sus operaciones.
En el contexto de los sistemas de control y automatización industrial, los sistemas de seguridad son sistemas de control especiales cuya función es detectar una condición peligrosa y tomar medidas (por lo general, detener el proceso) para prevenir un peligro. Por lo general, son una de las muchas capas de defensa en un esquema de protección general para la instalación. Considerando que, la seguridad del sistema de control se refiere a la capacidad de un sistema de control para proporcionar la confianza adecuada de que las personas y los sistemas no autorizados no pueden modificar el software y sus datos ni obtener acceso a las funciones del sistema y, sin embargo, asegurarse de que esto no se le niegue a las personas autorizadas. y sistemas.
Hasta hace poco, las disciplinas de ingeniería del diseño de sistemas de seguridad y la seguridad del sistema de control se encontraban efectivamente en caminos separados pero paralelos. Los estándares de seguridad y las prácticas laborales de ingeniería asociadas son maduros y bien establecidos, basados en décadas de aprendizaje. Por otro lado, la seguridad del sistema de control es un campo mucho más nuevo y tiene sus raíces en los sistemas de información o la seguridad de TI. Algunos dicen que la seguridad del sistema de control es donde estaba la ingeniería del sistema de seguridad hace unos 10 años.
Entonces, ¿por qué hay un interés repentino en integrar las disciplinas de seguridad del sistema de seguridad y del sistema de control? Una razón es que los sistemas integrados de seguridad (SIS), una vez totalmente aislados, están cada vez más conectados o integrados con los sistemas de control de procesos que se conectan con el mundo exterior. Esto es importante porque una violación de seguridad de un SIS podría evitar directamente que el SIS realice su función de protección prevista, lo que podría conducir directamente a un evento catastrófico. Por otro lado, un incidente de seguridad en un sistema de control, si bien aún tiene el potencial de ser muy dañino, debe limitarse a causar un cierre del proceso porque el SIS está ahí para prevenir una situación peligrosa, siempre que haya sido diseñado correctamente y no haya sido también comprometido.La integración de los sistemas de control y seguridad genera preocupaciones importantes sobre la posibilidad de una vulnerabilidad de seguridad común que afecte a ambos sistemas.
Otra razón del repentino interés es un reconocimiento creciente de las muchas similitudes entre los ciclos de vida de la seguridad y la protección, y que se pueden obtener mejoras y eficiencias combinando los dos enfoques. Al abordar tanto la seguridad como la protección fundamentalmente desde el principio, los propietarios de activos podrán evitar la necesidad de realizar un segundo proceso costoso más adelante para encontrar y abordar las vulnerabilidades de seguridad.
Esta interacción entre la seguridad de un sistema crítico y la seguridad se hizo dolorosamente obvia para los propietarios de la instalación nuclear de Hatch en marzo de 2008. Según los datos proporcionados por el Repositorio de Incidentes de Seguridad Industrial ( www.securityincidents.org), la planta de energía nuclear Hatch cerca de Baxley, Georgia, se vio obligada a cerrar durante 48 horas después de que un contratista actualizara el software en una computadora que estaba en la red comercial de la planta. La computadora se utilizó para monitorear datos químicos y de diagnóstico de uno de los sistemas de control primarios de la instalación. El software fue diseñado para sincronizar datos en ambos sistemas. Cuando la computadora actualizada se reinició, reinició los datos en el sistema de control, lo que hizo que el sistema de seguridad interpretara la falta de datos como una caída en los depósitos de agua que enfrían las barras nucleares radiactivas de la planta. El sistema de seguridad se comportó según lo diseñado y provocó una parada. El ingeniero no sabía que el sistema de control también se sincronizaría o que un reinicio restablecería el sistema de control.
El resto de este artículo presentará un enfoque para fusionar el front-end de los ciclos de vida de seguridad y protección para demostrar la posibilidad y los beneficios de adoptar un enfoque integrado de seguridad y protección, especialmente al diseñar un sistema nuevo o modernizar un sistema existente. Si bien los autores creen que también es posible fusionar las fases posteriores de los ciclos de vida de seguridad y protección, está más allá del alcance de este artículo cubrir las últimas fases. Además, creemos que las mayores similitudes se encuentran en la parte inicial de los procesos, y la integración de los procesos por adelantado proporcionará el mayor beneficio durante todo el proceso.
Comencemos por echar un vistazo a los modelos de ciclo de vida para la ingeniería de sistemas de seguridad y la seguridad del sistema de control. El modelo de ciclo de vida de seguridad de IEC 61511 (también ANSI / ISA S84) tiene tres fases principales; Análisis, Realización y Operación. El modelo de ciclo de vida del nivel de seguridad de ANSI / ISA S99.00.01-2007 también tiene tres fases principales; Evaluar, desarrollar, implementar y mantener.
Las fases de análisis de seguridad y evaluación de seguridad tienen la mayor similitud porque, en ambos casos, el propósito de esta fase es determinar la cantidad de riesgo presente y decidir si está dentro de los límites tolerables para la instalación. Determinar la cantidad de riesgo implica identificar las consecuencias (¿qué podría suceder y qué tan grave sería?) Y la probabilidad de que ocurra (¿cómo podría suceder y qué tan probable es que suceda?).
Un primer paso típico en este proceso es el análisis de peligros y operabilidad o HAZOP. Un HAZOP, el método de análisis de peligros más utilizado en las industrias de procesos, es una metodología para identificar y tratar problemas potenciales en los procesos, particularmente aquellos que crearían una situación peligrosa o un deterioro severo del proceso. Un equipo HAZOP, formado por especialistas en el diseño, operación y mantenimiento del proceso, analiza el proceso y determina posibles desviaciones, causas factibles y probables consecuencias. Es importante que el sistema de control y automatización industrial (IACS) se enumere como una causa si la falla del IACS o el acceso no autorizado pudieran iniciar una desviación.
La Figura 1 muestra el diagrama de tuberías e instrumentación (P&ID) para un reactor químico simple. En la Figura 2 se muestra una parte de un HAZOP de ejemplo para el proceso. El texto en rojo resalta las causas relacionadas con IACS.
Desafortunadamente, aparte de identificar el IACS como una causa potencial, un HAZOP no estudia los detalles de las desviaciones del IACS, lo cual es un paso importante, especialmente dado el tamaño y la complejidad de los sistemas de control modernos. Una solución cada vez más popular a este problema es una versión especial de un HAZOP llamada análisis de control de peligros y operabilidad (CHAZOP), que da el siguiente paso para comprender los detalles de los peligros de IACS. Otra técnica es un análisis de modos y efectos de falla (FMEA). Ambas técnicas identifican las causas y consecuencias de las fallas del sistema de control. La técnica CHAZOP amplía el concepto de desviaciones y palabras guía de HAZOP, ampliando la lista de palabras guía para tipos de desviaciones específicas de IACS.El proceso FMEA adopta un enfoque más centrado en el hardware mediante el estudio sistemático de los modos de falla de cada componente y los efectos en el sistema. Cualquiera de las dos técnicas es aceptable. Sin embargo, independientemente de la técnica seleccionada, es importante incluir desviaciones de seguridad o modos de falla en el análisis.
La Figura 3 muestra una parte de un ejemplo de CHAZOP que analiza más a fondo las posibles causas de las desviaciones de IACS. En este ejemplo, el texto rojo resalta las desviaciones relacionadas con la seguridad.
Una vez completado el HAZOP y el CHAZOP o FMEA, deberíamos haber identificado todas las causas de la falla de IACS, incluidas las fallas de seguridad y las consecuencias de esas fallas. Sin embargo, todavía no hemos determinado la probabilidad de que ocurran estos eventos, lo cual es un paso necesario para cuantificar el riesgo, ya que el riesgo es producto de la probabilidad y la consecuencia.
Estimar la probabilidad, particularmente para la seguridad, puede ser una tarea difícil porque puede ser muy difícil estimar la habilidad y determinación de un atacante. Podemos simplificar la tarea al filtrar la lista para incluir solo aquellos con consecuencias intolerables (por ejemplo, que tienen el potencial de causar lesiones, muerte, tiempo de inactividad significativo y daños ambientales o importantes al equipo). Hay una variedad de técnicas disponibles, incluidas matrices de riesgo y gráficos de riesgo. Sin embargo, en seguridad, una de las técnicas más populares para estimar la probabilidad es el análisis de capa de protección (LOPA). Parte de la razón de su popularidad es que le da crédito al usuario por emplear una estrategia de nivel de protección para mitigar el riesgo. El campo de la seguridad utiliza el término defensa en profundidad para describir un concepto muy similar. Sin embargo, aunque la terminología es diferente,la técnica LOPA definitivamente se puede aplicar a las amenazas de seguridad.
Una vez completado el LOPA u otro método para estimar la probabilidad, el paso final en la parte inicial del ciclo de vida combinado de seguridad y protección es comparar los resultados con las pautas de riesgo tolerable de la instalación o corporativas y documentar los resultados. Siempre que el riesgo estimado exceda el riesgo tolerable, hay trabajo por hacer. Ese trabajo se cubre en las fases posteriores del ciclo de vida combinado y se discutirá en los artículos posteriores. Sin embargo, el siguiente estudio de caso de una importante refinería de EE. UU. Ilustra la fase de análisis y la fase posterior de desarrollo / implementación.
Esta refinería en particular estaba preocupada por la seguridad, protección y confiabilidad de sus sistemas de seguridad (y por lo tanto, la seguridad, protección y confiabilidad de toda la instalación). Para empezar, un equipo realizó un análisis de riesgos de seguridad de todos los sistemas de control, ampliando los estudios de seguridad HAZOP existentes. La información sobre esto se utilizó para impulsar un FMEA que mostraba claramente posibles fallas de modo común de los sistemas de control y seguridad debido a tormentas de tráfico de red accidentales o ataques deliberados de denegación de servicio (DoS). Si bien los sistemas de seguridad fallarían de manera «segura», incluso bajo ataque, estaba claro que las consecuencias serían una interrupción significativa (y por lo tanto costosa) de la planta. También,Se estimó que la probabilidad de que ocurriera era alta, ya que el nivel de habilidad necesario para impulsar un ataque de este tipo era cercano a cero (y de hecho podría ser causado accidentalmente), el atractivo del sitio para posibles grupos criminales o terroristas era alto, y las capas de protección eran limitadas.
La falta de capas de seguridad claramente definidas impulsó la decisión de adoptar un modelo de zona y conducto como se define en ANSI / ISA99.02.01 como la solución para la fase de realización / direccionamiento. La red comercial de la planta, la red de gestión, el sistema de control básico, el sistema de supervisión (operador) y el sistema de seguridad se definieron cada uno como una zona de seguridad separada (Ver Figura 4). Entre estos, se definieron «conductos» aprobados para las comunicaciones entre zonas. Por ejemplo, solo se le permitió a la Zona de Supervisión tener conexión directa con el resto de la Zona de la Red Comercial, mientras que la Zona de Seguridad solo tenía un conducto aprobado para la Zona de Supervisión (para obtener información adicional sobre la zona de uso y los modelos de conductos, consulte http: //www.tofinosecurity.com/ansi-isa99 ).
Una vez definida la zona y los conductos, se iniciaron los aspectos técnicos de la solución. El equipo de ingeniería definió los controles de seguridad y protección adecuados en cada uno de los conductos para regular el tráfico entre zonas. Por ejemplo, para gestionar todo el tráfico de red hacia la Zona de seguridad desde la Zona de supervisión, se colocaron cortafuegos industriales Tofino entre las dos zonas. Estos dispositivos de seguridad especialmente diseñados están reforzados para entornos industriales y diseñados específicamente para administrar el tráfico MODBUS / TCP, el protocolo de red particular que se utiliza para comunicarse con el SIS. También se diseñaron para ser transparentes para la red en la puesta en marcha, de modo que no interrumpieran las operaciones de la refinería durante la puesta en servicio. También se colocaron cortafuegos similares entre la Zona de Control Básico y la Zona de Supervisión.
Es interesante que, mientras se instalaban los cortafuegos, el equipo de ingeniería observó que las PC con Windows de la red de supervisión generaban una cantidad significativa de mensajes «multidifusión» en la red de seguridad y control, aunque no eran de utilidad para el SIS. controladores. Mensajes como estos fueron un factor importante en otro famoso incidente de seguridad nuclear que ocurrió en el reactor Brown’s Ferry de Alabama en agosto de 2003, donde el tráfico de la red provocó la falla de un sistema de agua de refrigeración redundante. Esta vez, los firewalls se configuraron para que estos mensajes molestos se eliminen silenciosamente de la red al ingresar a la zona de seguridad. Dos años más tarde, el sistema de seguridad ha funcionado sin incidentes, a pesar de los numerosos cambios en las redes que lo rodean.
Si bien es fácil quedar atrapado en la visión de seguridad de TI y pensar solo en piratas informáticos y virus, para el operador de una instalación de procesamiento de hidrocarburos, la seguridad es mucho más. La seguridad consiste en mantener la confiabilidad y seguridad de todo el sistema. Como resultado, la seguridad de los sistemas de proceso se puede mejorar significativamente con un enfoque coordinado de seguridad y protección, comenzando con el análisis inicial. Siguiendo un proceso bien definido, esta fase de análisis puede ser rentable y mejorar significativamente la confiabilidad de toda la instalación de procesamiento, proporcionando un excelente retorno de la inversión.
John Cusimano es director de la división de servicios de seguridad de exida.
Eric Byres es el director de tecnología de Byres Security Inc.
Get Involved & Participate!
Comments