¿Gestión de riesgo cibernético industrial basada en vulnerabilidades o en consecuencias?

Ya hemos conversado de la necesidad de realizar un análisis de riesgo cibernético industrial, y en esta oportunidad abordaremos uno de los errores más comúnmente asumidos “y aceptados” por los entusiastas en la ciberseguridad industrial.

¿Análisis de riesgo basado en vulnerabilidades o en consecuencias?

Para abordar este análisis primero debemos recordar cómo debe ser calculado y evaluado el riesgo cibernético industrial desde su expresión matemática: R = A x V x C (Ref. ISA/IEC-62443)

De la ecuación se desprende que el incremento o disminución del riesgo será proporcional al incremento o disminución de los factores intervinientes en la multiplicación. Cualquiera de sus variables que sea 0, el riesgo será 0. Analicemos cada factor y la posibilidad de hacerlo tender a cero.

Muchos encuentran una gran dificultad en comprender la ecuación, se quedan mirando fijamente, y no la consiguen comprender en su totalidad. ¡Pero ahí también está la vulnerabilidad!, dicen otros. Para comprender la ecuación de riesgo se requiere conocer cabalmente cómo utilizarla, y para ello se requiere experiencia práctica. No es suficiente con saber hacer cuentas matemáticas, ni estudiar de memoria todas las definiciones de la ISA/IEC-62443. En esencia, la ecuación resulta irrelevante si no se sabe cómo aplicar en la práctica.

Las Amenazas

Las amenazas pueden ser internas, externas, sin intención, intencionadas, con diferentes niveles de motivación y de recursos. Pueden ser naturales, originadas en las personas y/o tecnológicas. Algunas amenazas las podremos controlar y reducir, mientras que otras no podremos hacer nada para controlarlas, ya que no dependen de nosotros (los propietarios de las plantas industriales).

Dejaremos a las Amenazas para otro momento. Si bien forman parte de la ecuación y una parte importante en la metodología, hablaremos más de las amenazas en otra publicación.

Las Vulnerabilidades

Empecemos con las vulnerabilidades haciéndonos la siguiente pregunta:

• ¿Es posible hacer tender a cero las vulnerabilidades involucradas en un proceso industrial, si cada día aparecen nuevas vulnerabilidades?

Las vulnerabilidades se pueden llegar a controlar si son conocidas. Esto es posible por medio de análisis de brecha basado en buenas prácticas y análisis de vulnerabilidades tecnológicos de los componentes cibernéticos.

Debemos tener presente que las vulnerabilidades son cambiantes y aumentan en el tiempo, hay vulnerabilidades que aún no son conocidas y existen personas dedicadas a descubrir nuevas, tanto para bien o para mal. Suele ocurrir que algunas recientemente “descubiertas” o mejor dicho recientemente publicados estuvieron ahí por muchos años.

Si analizamos el riesgo basado en las vulnerabilidades y las ponemos en una gráfica en función del tiempo, podemos evidenciar que, aunque se implementen los controles necesarios y se mitiguen, el hecho de tener nuevas vulnerabilidades lo convierte en un nuevo riesgo o peligro que habrá que volver a mitigar, es decir otro gasto. Así será un esfuerzo constante para evitar de que puedan ocurrir los incidentes cibernéticos.

Aquí viene una pregunta muy importante para reflexionar. ¿Si desconozco de la existencia de una vulnerabilidad, que alguien más puede conocer, significa que no hay riesgo?

Este comportamiento variable de las vulnerabilidades deja a la probabilidad al azar y por lo tanto el riesgo se incrementa y disminuye al mismo ritmo. Este enfoque consiste en una estrategia de mitigación del riesgo de corto plazo. Tan corto como el tiempo que se demora en conocer una nueva vulnerabilidad, que hoy en día es casi lo mismo que la nada. En el ámbito de la seguridad industrial este enfoque no resulta efectivo ni eficiente para resguardar del peligro constante sobre los receptores de riesgos.

Es una práctica frecuente heredada de la seguridad de la información, la de clasificar a la severidad de una vulnerabilidad, haciendo uso de un sistema de valuación (scoring).

Muchos proveedores emplean diversos métodos basados en vulnerabilidades para calcular el riesgo en sistemas industriales. ¿Qué ocurre si repentinamente se descubre que nuestro PLC tiene 3 nuevas vulnerabilidades clasificadas como críticas o muy críticas? El riesgo sería “repentinamente” muy elevado, ¿verdad? Entonces, de ser así …. ¿Deberíamos iniciar “inmediatamente” la evacuación de la planta? ¡Ciertamente que no! Con los enfoques basados en la evaluación de las vulnerabilidades, estaremos cuestionando a la infraestructura digital de la planta todo el tiempo, inclusive estaríamos cuestionando constantemente las decisiones que se han tomado, recientemente.

Cuando se tiene como objetivo proteger a la vida de las personas, al medioambiente y a los equipamientos industriales, estos métodos no resultan adecuados, ni cualquiera que sea de corto plazo. Debemos utilizar métodos y mecanismos para la mitigación de riesgos que sean de largo plazo, que transmitan calma, seguridad y confianza sobre la infraestructura tecnológica industrial.

La obsesión con el estudio de las vulnerabilidades es un enfoque preferido por los amantes y expertos en la seguridad de la información porque en esencia están protegiendo datos e información. Es lo que saben hacer, es lo que han realizado toda su vida. Buscan evitar de que ocurran los incidentes, protegiendo a los activos cibernéticos.

Eh aquí uno de los errores más significativos que la gran mayoría de la comunidad de seguridad de la información comete al momento de abordar a los sistemas industriales. Estos parten de una hipótesis de trabajo incorrecta, asumiendo que “evitando el incidente cibernético están protegiendo a la vida de las personas, al medioambiente y otros receptores de riesgos”. ¡Lo cual es falso, y muy alejado de la realidad!

Es muy importante recalcar que cuando se mira el riesgo desde el punto de vista de las vulnerabilidades, en este caso la compañía se limita en analizar los IACS, perdiendo la dimensión física, cuando en sí mismas no representan un peligro real para la planta. Un ejemplo básico de ello es cuando un PLC se ve afectado por una amenaza y deja de funcionar, este hecho en sí mismo no es relevante, lo relevante es el proceso industrial que se esté controlando, por esta razón analizar las vulnerabilidades del PLC y mitigarlas no significa que se está contribuyendo a la mitigación real de riesgo.

Sin importar cuánto se gaste o invierta, cualquier enfoque de seguridad de la información aplicado sobre los sistemas industriales para proteger a la planta industrial, será insuficiente. Podrá ayudar, pero siempre será insuficiente.

Otros prefieren emplear métodos de cálculos estadísticos, basados en información acumulada sobre un pasado reciente, los cuales también son equivocados y no sirven para el ámbito de la seguridad industrial, pero esto lo dejaremos para otra publicación.

Los métodos y técnicas de seguridad de la información vienen generando muchas expectativas y promesas, pero, la triste realidad es que resultan insuficientes. Peor aún es que requieren de mayor presupuesto, y un mayor gasto constante. ¡Y el riesgo sigue sin ser mitigado!

Las Consecuencias

Ahora sigamos con el análisis de las consecuencias y su impacto respondiendo la siguiente pregunta:

• ¿Es posible evitar de que ocurran las consecuencias a pesar de que en algún momento o circunstancia los componentes cibernéticos sean comprometidos?

La respuesta a esta pregunta es muy importante. Quien no conozca esta respuesta, no comprende a la ISA/IEC-62443-3-2, ni la esencia de la mitigación de riesgo cibernético industrial por diseño. ¡La respuesta a esta pregunta tan importante es “¡SI”, se puede! De hecho, es lo que hace de la ISA/IEC-62443 una norma única. Algunos podrían llegar a decir que este es el corazón de la ISA/IEC-62443.

Por esto es por lo que para la correcta aplicación de la ecuación de riesgos se requiere de una metodología y comprender muy bien los conceptos. Se requiere experiencia práctica (resulta fundamental) y estar muy familiarizados con los requerimientos RAGAGEP (Recognized And Globally Accepted Good Engineering Practices) y las formas de tratamiento del riesgo industrial.

Esto es lo que enseñamos en los cursos IC33 de la ISA y 2160 de WisePlant. El problema es que “si estos conceptos no son puestos en práctica rápidamente la mayoría de las personas los terminan olvidando o malinterpretando”. Requieren experiencia práctica. Es muy simple, dicho de otra forma: “No puedes aprender a andar en bicicleta si no te subes a ella.”

En el ámbito de la ciberseguridad industrial estamos protegiendo a la vida, al medioambiente, al equipamiento industrial, entre otros. Quienes visualicen al riesgo industrial como un mero impacto económico tampoco están bien orientados, infelizmente, siguen sin comprender el entorno industrial sobre el cual están trabajando.

Aquí viene la diferencia sustancial que tiene la ciberseguridad industrial con respecto a la seguridad de la información. Mientras que los expertos de la seguridad de la información buscan evitar los incidentes cibernéticos (a pesar de que no lo consiguen), los expertos en ciberseguridad industrial buscamos evitar de que ocurran las consecuencias. Las consecuencias inaceptables son las que debemos mitigar y evitar de que puedan ocurrir, e inclusive si los sistemas son comprometidos.

La mitigación de riesgo cibernético industrial basada en consecuencias o también llamada “basada en conocimiento” debe estar sustentada por decisiones correctas que permitan influenciar el diseño o el rediseño tanto de los sistemas como de la planta (como uno solo) respetando las leyes de la física, química, etc.

Sin llegar a ser una lista exhaustiva, algunas de las cualidades que se deben incorporar durante el proceso de evaluación de riesgo, son:

• Conocimiento detallado del SuC (Sistema bajo Consideración) es decir, de todos los componentes de los IACS, incluyendo a todos los que no tienen conexión de red.
• Desarrollar un conocimiento sobre el proceso industrial y de las consecuencias que puedan llegar a ocurrir, afectando a todos los potenciales receptores de riesgo y cómo se producen.
• Evaluar la eficacia y eficiencia de las contramedidas (y controles) existentes.
• Decidir cambios, acciones, contramedidas y controles compensatorios que sean efectivos, eficientes y suficientes para mitigar los riesgos cibernéticos industriales (Consecuencias).
• Requiere un trabajo multidisciplinario donde participan principalmente los responsables del proceso industrial y del sistema de control, incluyendo a la operación y el mantenimiento.
• Diseño e implementación de las recomendaciones producto de este análisis para mitigar las consecuencias tomando decisiones responsables y de largo plazo.

Este listado enumera solamente aquello de lo que resulta fundamental como punto de partida para el análisis de riesgo basado en consecuencias, si queremos llegar a lograr la mitigación de todas las consecuencias que sean inaceptables, teniendo presente el impacto que estas pueden causar a los receptores de riesgo.

Los procesos industriales tienen una característica que favorece a la mitigación de las consecuencias con una visión de largo plazo, dado que estos sistemas funcionan muchos años y solo requieren reevaluar el riesgo ante cambios. Esto se traduce en un mantenimiento y monitoreo de bajo costo en comparación con el acercamiento de la seguridad de la información.

Sobre las consecuencias hay muchos temas, para mencionar porque la mayoría de los profesionales encargados de la ciberseguridad industrial malentienden el propósito de la ciberseguridad industrial, que consiste principalmente en proteger a los receptores de riesgo de las consecuencias que puede generar el proceso industrial ante la afectación cibernética a los sistemas de control y automatización industrial (IACS).

Entonces erróneamente centran su atención en los IACS y descuidan las posibles consecuencias que el proceso industrial puede causar en el mundo físico.

Ahora, luego de contextualizar las implicaciones de un análisis de riesgo basado en vulnerabilidades y un análisis de riesgo basado en consecuencias, la siguiente tabla muestra a modo de resumen las principales diferencias.

Conclusiones