Guia sobre Seguridad en Control Industrial de la ENISA
En marzo de 2011 ENISA encargaba un estudio sobre los sistemas de control industrial, bajo el nombre de “Protecting Industrial Control Systems. Recommendations for Europe and Member States”. Es ahora cuando esta organización saca a la luz la versión definitiva del estudio que podéis consultar aquí.
Los sistemas de control industrial (ICS) son los encargados de la regulación automática de operaciones, así como de la integración y coordinación de éstas en un sistema global de producción. El uso de estos sistemas comenzó en los años 50 extendiéndose su uso hasta nuestros días. Los sistemas de control industrial se están utilizando para el control de diversas infraestructuras, algunas, por su origen, pueden ser vitales para la sociedad, como puede ser una central nuclear o una planta química, y forman parte de las infraestructuras críticas. Debido al uso tan extendido y a la delicadeza de su naturaleza son necesarios unos pilares de seguridad en los que asentar a estos sistemas de control.
El equipo de investigadores encargado del estudio ha realizado un arduo trabajo de investigación documental para recopilar toda la información disponible sobre el estado del arte actual de seguridad de los ICS, los principales retos a los que se enfrentan, los proyectos de investigación existentes, los grupos de trabajo, el estado de las normativas en los diferentes estados miembros, así como otras iniciativas de interés a nivel nacional e internacional. Esta labor de investigación documental se complementa con los puntos de vista de más de 60 expertos del ámbito industrial (fabricantes, operadoras de infraestructuras críticas, proveedores de soluciones y servicios de seguridad, organismos de estandarización, organismos públicos, universidades y centros de investigación), a través del análisis de casi 50 cuestionarios y más de 20 entrevistas personales.
El estudio está formado por un documento principal y cinco anexos, todos ellos de alto interés. En el documento principal se proponen 7 recomendaciones de alto nivel orientados a los Estados Miembros y las instituciones europeas, consensuadas con los expertos en la materia y la propia ENISA. Con toda probabilidad estas recomendaciones acabarán definiendo las líneas maestras de las iniciativas políticas europeas en materia de ciberseguridad de los sistemas industriales de las infraestructuras críticas.
A este respecto, Rafal Leszczyna, uno de los editores del informe comenta:
"La seguridad real para los sistemas de control industrial solo pueden conseguirse con un esfuerzo común, caracterizado por la cooperación, intercambio de conocimiento y conocimiento mutuo de todas las partes implicadas" [ENISA]
Conviene destacar que el día 16 de septiembre de 2011 se realizó en Barcelona un workshop en el que se presentaron los primeros resultados de este proyecto a una representación amplia de los expertos que contribuyeron con su conocimiento y experiencia en la elaboración del informe. Este workshop permitió contrastar las principales conclusiones del informe y se discutieron las recomendaciones propuestas. El documento recoge en uno de sus apéndices las opiniones de unos y otros en torno a estas recomendaciones. Se trata de una lectura muy recomendable.
Para finalizar conviene destacar que durante 2011 ENISA ha tratado los principales temas en torno a la seguridad de ICS, comenzando con la valoración de las implicaciones de Stuxnet y el análisis del más reciente DuQu, así como ahora con este informe sobre seguridad en sistemas de control industriales. Esperamos que la lectura de estos documentos sea de vuestro agrado.
El equipo de investigadores encargado del estudio ha realizado un arduo trabajo de investigación documental para recopilar toda la información disponible sobre el estado del arte actual de seguridad de los ICS, los principales retos a los que se enfrentan, los proyectos de investigación existentes, los grupos de trabajo, el estado de las normativas en los diferentes estados miembros, así como otras iniciativas de interés a nivel nacional e internacional. Esta labor de investigación documental se complementa con los puntos de vista de más de 60 expertos del ámbito industrial (fabricantes, operadoras de infraestructuras críticas, proveedores de soluciones y servicios de seguridad, organismos de estandarización, organismos públicos, universidades y centros de investigación), a través del análisis de casi 50 cuestionarios y más de 20 entrevistas personales.
El estudio está formado por un documento principal y cinco anexos, todos ellos de alto interés. En el documento principal se proponen 7 recomendaciones de alto nivel orientados a los Estados Miembros y las instituciones europeas, consensuadas con los expertos en la materia y la propia ENISA. Con toda probabilidad estas recomendaciones acabarán definiendo las líneas maestras de las iniciativas políticas europeas en materia de ciberseguridad de los sistemas industriales de las infraestructuras críticas.
A este respecto, Rafal Leszczyna, uno de los editores del informe comenta:
"La seguridad real para los sistemas de control industrial solo pueden conseguirse con un esfuerzo común, caracterizado por la cooperación, intercambio de conocimiento y conocimiento mutuo de todas las partes implicadas" [ENISA]
Conviene destacar que el día 16 de septiembre de 2011 se realizó en Barcelona un workshop en el que se presentaron los primeros resultados de este proyecto a una representación amplia de los expertos que contribuyeron con su conocimiento y experiencia en la elaboración del informe. Este workshop permitió contrastar las principales conclusiones del informe y se discutieron las recomendaciones propuestas. El documento recoge en uno de sus apéndices las opiniones de unos y otros en torno a estas recomendaciones. Se trata de una lectura muy recomendable.Para finalizar conviene destacar que durante 2011 ENISA ha tratado los principales temas en torno a la seguridad de ICS, comenzando con la valoración de las implicaciones de Stuxnet y el análisis del más reciente DuQu, así como ahora con este informe sobre seguridad en sistemas de control industriales. Esperamos que la lectura de estos documentos sea de vuestro agrado.
Victor Fidalgo Villar
S21sec labs