Inicio / Blog / Nivel de seguridad según el IEC 62443-3-3 en Sistemas de Control Industrial

Nivel de seguridad según el IEC 62443-3-3 en Sistemas de Control Industrial

Publicado el 10/03/2022, por INCIBE
Nivel de seguridad según el IEC 62443-3-3 en sistemas de control

El objetivo principal que busca el estándar IEC 62443 es el de proveer un marco que facilite la identificación de vulnerabilidades actuales y futuras en entornos de sistemas de control y automatización industrial. Una meta que se pretende conseguir añadiendo a los requerimientos del ámbito de TI extensiones de seguridad que garanticen la disponibilidad en sistemas de control industrial (SCI). De esta manera, se definen un conjunto mínimo de requisitos para poder alcanzar, de manera progresiva y mediante mejoras continuas, un nivel de seguridad confiable.

La audiencia a la que va destinada este estándar es la siguiente:

  • Integradores de sistemas de control industrial: configurar las medidas en la red para adecuarse al nivel de seguridad objetivo.
  • Fabricantes de productos: implementar medidas en sus productos (PLC, switches, etc.) para que se adapten a diferentes criterios de seguridad.
  • Proveedores de servicios: instalación y mantenimiento de equipos.

A la hora de diseñar e implementar una arquitectura de seguridad integrada, se necesita un análisis a nivel del sistema y del desarrollo de requerimientos. Ese trabajo debe ser desarrollado por los integradores de sistemas y los fabricantes de productos en conjunto.

Para que una organización esté alineada con el estándar IEC 62443-3-3, es recomendable que previamente disponga de un nivel de madurez alto en lo que se refiere a seguridad. Esto quiere decir que la organización deberá cumplir con los siguientes pasos:

  • Disponer de una arquitectura de red segmentada, procedimientos escritos de todas las operaciones, un inventario de activos TO adecuado y que los empleados tengan una formación y concienciación sobre la ciberseguridad.
  • Realizar un análisis de riesgos a nivel global de la organización, para poder definir la criticidad de los sistemas que componen la empresa.
  • A continuación, por cada sistema, se determinarán las zonas y conductos y a su vez, se definirá un nivel de seguridad objetivo (SL-T, Target Security Level) para cada uno de ellos.
  • Posteriormente, se evaluará en cada zona y conducto el nivel de seguridad alcanzado (SL-A, Achieved Security Level), que indica el nivel actual de seguridad que presenta la empresa.
  • En caso de que el SL-A sea igual al SL-T no habría que tomar medidas adicionales. Si, por el contrario, el SL-A es menor que el SL-T, entonces será necesario calcular nivel de seguridad según capacidad (SL-C, Capability Security Level). El SL-C se describe como el nivel de seguridad que un sistema podría alcanzar con una correcta configuración.
  • En este punto se comprobará si, con una configuración adecuada de todos los componentes del sistema, se puede lograr el SL-T fijado o si hace falta tomar medidas adicionales compensatorias, como la adquisición de nuevos equipos o la modificación de la arquitectura de red.

Para los procesos críticos, la norma IEC 62443-3-3 sitúa los SL-T en los niveles de seguridad 2, 3 y 4. Aun así, será la propia organización quien decida, a partir del análisis de riesgos, qué nivel de seguridad quiere que se implemente en cada zona y conducto. Los niveles de seguridad están caracterizados por los siguientes criterios:

  • Nivel de seguridad 0: no requiere especificaciones o protecciones de seguridad.
  • Nivel de seguridad 1: requiere de protección contra incidentes no intencionados.
  • Nivel de seguridad 2: requiere de protección contra incidentes intencionados, perpetrados con medios sencillos, pocos recursos, conocimientos básicos y baja motivación.
  • Nivel de seguridad 3: requiere de protección contra incidentes intencionados, perpetrados con medios avanzados, recursos suficientes, conocimientos medios y motivación media.
  • Nivel de seguridad 4: requiere de protección contra incidentes intencionados, perpetrados con medios muy avanzados, grandes recursos, conocimientos avanzados y motivación alta.

Una vez definidos todos los SL-T, y conociendo los SL-C, se define un plan de acción para alcanzar los objetivos. La organización se deberá apoyar en los integradores de sistemas para llevar a cabo los cambios necesarios, quienes determinarán qué serie de medidas, de automática o de configuraciones, habrá que incluir en cada zona y conducto de comunicación para adecuarse con los SL-T.

Por otro lado, esta norma es certificable. Esto significa que los fabricantes pueden certificar sistemas completos, es decir, un conjunto de componentes con las configuraciones ya establecidas. Por ejemplo, un SCADA de un fabricante concreto conforma un sistema con todos los componentes que lo forman, y el fabricante podría optar por certificar el SCADA para aportar valor de seguridad a su producto y a sus clientes. Por el momento solo existen dos sistemas certificados.

Requisitos de seguridad en el IEC 62443-3-3

El documento que recoge el estándar IEC 62443-3-3 define una estructura jerárquica de requerimientos, compuesta por tres tipos de requisitos: los requisitos fundamentales (RF), los requisitos de sistemas (RS) y los requisitos de mejora (RM). Cada requisito fundamental contiene diferentes requisitos de sistemas y estos tienen a su vez requisitos de mejora. Este estándar pretende cubrir todas las situaciones que puedan ocurrir durante el ciclo de vida de un sistema, desde su implantación hasta su retirada de la red.

Los diferentes grupos de requisitos fundamentales (RF) son:

  • Identificación y Control de Autentificación (ICA).
  • Control de Uso (CU).
  • Integridad de Sistema (IS).
  • Confidencialidad de los Datos (CD).
  • Restricción del Flujo de Datos (RFD).
  • Tiempo de Respuesta ante Eventos (TRE).
  • Disponibilidad de Recursos (DR).

Los niveles de seguridad se describen en forma de vector. El vector puede indicarse de forma completa para un dispositivo, es decir, con los 7 valores de los requerimientos, o de forma parcial especificando los requerimientos concretos que se evalúan; quedando de la siguiente forma:

  • SL- ([FR], dominio) = {ICA, CU, IS, CD, RFD, TRE, DR}
    • Donde X hará referencia al nivel de seguridad que se está evaluando (A, C, T)
    • FR será opcional y acogerá los valores de FR que se representan. Su no presencia indica que se valoran todos

Se hace una evaluación de cada requisito fundamental por zona y conducto, puntuando con valores entre 0 y 4 según lo detectado. Por ejemplo, para una Estación de Ingeniería (EI) se han establecido los siguientes niveles de seguridad:

SL-A (EI): {0,3,2,1,0,1,1}

SL-C (EI): {1,3,2,2,2,1,2}

SL-T (EI): {2,3,3,3,2,1,2}

Una buena práctica consiste en aplicar el nivel más alto que se haya establecido en el SL-T para unificar todo el sistema al mismo nivel. De esta forma, el SL-T quedaría de la siguiente manera: SL-T (EI): {3,3,3,3,3,3,3}

Requisitos SL1 SL2 SL3 SL4
RF 1 - Identificación y control de autentificación
RS 1.1 – Identificación y control de usuarios
RM (1) Identificación única  
RM (2) Autentificación de múltiples factores en redes no probadas    
RM (3) Autentificación de múltiples factores en todas las redes      

- Ejemplo de algunos RS y RM necesarios en cada nivel de seguridad para el RF ICA. Fuente: Elaboración propia a partir de los controles de IEC63443-3-3 -

En la imagen se muestra un ejemplo de qué requisitos se deben tener en cuenta para poder adecuarse a cada nivel de seguridad. En caso de que al proceso se le haya identificado como nivel uno en el RF ICA (Identificación y control de autentificación), para el RS Identificación y control de usuarios no será necesario cumplir con los RM identificados por la norma, solo con la parte básica del control. Si la identificación es más alta, será necesario cumplir con diferentes RM para poder alcanzar el SL-T.

Mejoras relacionadas con los requisitos fundamentales

El estándar IEC 62443-3-3 es un estándar basado en mejoras continuas, ya que las amenazas evolucionan y surgen nuevos vectores de ataque. Esto implica que una vez se haya llevado a cabo el plan de acción será necesario realizar comprobaciones sobre los cambios realizados, volver a evaluar de nuevo los SL-A y compararlos con los SL-T. De la misma manera que las amenazas evolucionan, las soluciones de seguridad también mejoran y se vuelven más sofisticadas, por lo que se deberán de tener en cuenta tras cada comparación entre los SL-A y los SL-T.

Para aumentar el nivel de seguridad de un sistema no basta con cumplir con el requisito de sistema (RS) sino que, para conseguir un SL-A elevado, hay que cumplir con los requisitos de mejora (RM).

En el Anexo B del estándar IEC 62443-3-3 se especifica qué RS y sus respectivos RM hay que tener en cuenta dependiendo del SL-T. Como se comprueba en las tablas que ahí aparecen, para alcanzar un SL-T cuatro, se deberá aplicar obligatoriamente todos los RM, ya que cuantos más RM se apliquen mayor SL-A se podrá alcanzar.

Conclusión

Con el seguimiento de este artículo se logra tener un adecuado nivel de seguridad, capaz de proporcionar un correcto funcionamiento de los sistemas de control industrial durante todo el ciclo de vida, incluyendo situaciones como la respuesta ante incidentes para poder mitigar al máximo las consecuencias.

En concreto, el estándar IEC 62443-3-3 tiene como objetivo alcanzar los SL-C de cada conducto y zona. Los integradores de sistemas se sirven del estándar para poder comprobar las capacidades que tienen los dispositivos instalados en la organización y así poder determinar las modificaciones necesarias para adecuarse a los SL-T.