Israel Rosales, primer profesional boliviano certificado en CiberSeguridad Industrial

El pasado 12 de Mayo 2017, Israel Rosales Marcó ingeniero de sistemas con más de 13 años de experiencia en seguridad de la información para el sector financiero y petrolero de Bolivia, certificó internacionalmente como  Profesional en CiberSeguridad Indutrial (GICSP por sus siglas en inglés), acreditado por el SANS Institute de EE.UU. y por la entidad certificadora en seguridad de la información GIAC (Global Information Assurance Certification) de ese mismo país. A continuación, algunas consultas que se hicieron al ingeniero Israel Rosales sobre el estado de ciberseguridad en nuestro país y cómo el estado hace frente a estas amenazas.

K.B. En qué nivel se encuentra la ciberseguridad en Bolivia?

I.R. Siendo optimistas podemos decir que se encuentra todavía en un nivel inicial pero que poco a poco está madurando, sobre todo en el sector financiero donde las regulaciones en este sentido están empezando a ser más exigentes. Pero a nivel general (empresas públicas y privadas) nuestros niveles de ciberseguridad son bajos en comparación con los países vecinos.

K.B. A parte de la Banca, que otros sectores deben preocuparse por la ciberseguridad?

I.R. Todas las que son “estratégicas” para la nación, de diferentes rubros como ser: gas y petróleo, transporte aéreo,  energía eléctrica, tratamiento de aguas, telecomunicaciones entre otros que operen con infraestructuras críticas.

K.B. Cuáles son esas infraestructuras críticas?

I.R. Infraestructura Crítica es el conjunto de equipos, dispositivos y redes que soportan a los sistemas de control industrial (ICS por sus siglas en inglés), es decir, son los equipos que garantizan el correcto funcionamiento de los sistemas que supervisan procesos en una planta industrial. Algunos ejemplos de ICS son los sistemas SCADA (Control de Supervisión y Adquisición de Datos) y los DCS (Sistemas de Control Distribuido), ambos utilizados en empresas de producción y refinación de hidrocarburos, transporte de gas por tuberías, de electrificación, fabricación, químicas, farmacéuticas, etc.

K.B. Qué opina sobre el Centro de Ciberseguridad que Bolivia inauguró hace unos meses?

I.R. Es una buena iniciativa de seguridad, sin embargo, esta medida es reactiva, generalmente los controles cuanto más reactivos son más costosos, tener un SOC (Centro de Operaciones de Seguridad) o un CERT (Equipo de Respuesta a Emergencias Informáticas) a esta escala, sería un buen complemento pero una vez que ya se han realizado trabajos preventivos, los cuales aún no se ven en Bolivia, por ejemplo, no existe una sola regulación o ley en Bolivia para la protección de infraestructuras críticas, las iniciativas de ciberseguridad presentadas hasta ahora apuntan a fortificar sitios web, redes y servidores en el dominio boliviano, pero nadie habla sobre las redes de control industrial ni la protección de sistemas SCADA, como se lo hace en otros países de la región y el mundo, con la importancia que se merece.

K.B. Qué es lo que hace falta para proteger infraestructuras críticas?

I.R. Quizá un poco de voluntad desde los diferentes niveles de autoridad, ni la ANH (Agencia Nacional de Hidrocarburos) ni el Ministerio de Hidrocarburos regulan el tema de ciberseguridad en las petroleras que son parte del grupo YPFB. Se requiere participación del Estado como fiscalizador, como control de tercer nivel. No basta con la ley de TICs (Tecnologías de Información y Comunicación)  y reglamentos emergentes, las infraestructuras críticas requieren un tratamiento diferente, ya que para empezar no son TI (Tecnología de Información) sino más bien TO (Tecnología de Operaciones).

K.B. Qué tan diferentes son las TI de las TO y por qué recién surge esta problemática?

I.R.  Son diferentes en muchos sentidos, desde su administración, en muchas empresas sobre todo bolivianas, la gestión de TO está en manos de ingenieros de campo o de automatización no es parte de la gestión de TI, los requerimientos de seguridad son diferentes, por ejemplo: en TI la prioridad generalmente es CID (Confidencialidad, Integridad y Disponibilidad) en ciberseguridad es la disponibilidad es vital, por lo que el orden es DIC, asimismo, la gestión de parches, si en TI es un tema delicado, en TO lo es aún más, se tienen equipos que no fueron actualizados (parchados) en más de 15 años, es decir, desde que fueron puestos en producción, lo mismo pasa con la capacidad de cifrado criptográfico y longitudes de las contraseñas que puede soportar un equipo de TI a diferencia de un equipo de TO, muchas veces con sistema operativo embebido (empotrado), además del soporte local de TI vs soporte generalmente externo de TO, y ni hablar de las herramientas de testeo de seguridad, la mayoría son generales para equipos de TI mientras que pueden provocar un comportamiento anómalo e inestable en las TO.

El problema surge porque la tendencia de TO está cambiando, cada vez se parece más a TI, los sistemas SCADA que trabajaron toda la vida con protocolos inseguros ya no se encuentran aislados, sino que ahora son parte de la red Ethernet para aprovechar los beneficios de mayor y mejor conectividad, misma que viene con mayores amenazas de ciberseguridad. El error que comete la mayoría de las empresas que trabaja con SCADA es confiar en la “seguridad por obscuridad”, es decir, separar su red de campo con la red empresarial utilizando un firewall y olvidarse del problema, cuando en realidad lo único que están haciendo es tirar el problema para otra parte, la red de campo y sus equipos se mantienen vulnerables, esto lo pude apreciar participando como asesor de técnico en algunos servicios de ethical hacking a petroleras nacionales.

K.B. Siempre se pensó que las empresas petroleras son las que más se preocupan por la seguridad, esto es así realmente?

I.R.   Por la seguridad industrial, ocupacional y ambiental posiblemente, ya que se aplica por ley, se protege la vida de las personas, el medio ambiente y la integridad de las instalaciones ante cualquier eventualidad de daño físico, sin embargo, a nivel de CIBERSEGURIDAD INDUSTRIAL, ninguna empresa petrolera boliviana cumple o siquiera se alinea a buenas prácticas para la protección de sistemas SCADA o DCS comentados anteriormente, el no haber sido atacados (que se sepa) hasta ahora es gracias a nuestra invisibilidad y poco atractivo (financiero) como país en el mundo, aunque esto puede variar de un momento a otro según las circunstancias socio-políticas. Es nuestra dura realidad y aunque suene pesimista hay un largo camino por recorrer en ciberseguridad industrial, camino que aún no hemos empezado y que los vecinos ya nos llevan ventaja.

En Bolivia nuestra capacidad de respuesta ante ciberincidentes en el entorno SCADA es tan pobre que si sucediera un ciberataque  en la red de control (Ej. Sobrescribir un PLC y quemarlo) el personal a cargo (tanto de TI como de TO) lo que menos se imaginaría es que sufrió un ataque a través de la red, posiblemente se culparía primero al dispositivo, al proveedor, o agentes climáticos, registrando el incidente como “dispositivo averiado” y comprando otro para reemplazarlo.

En el caso de las petroleras transnacionales, es diferente, vemos que protegen celosamente sus sistemas y redes de control para procesos industriales, bajo normas y estándares internacionales (Ej. ANSI ISA99, NERC, IEC62443, NIST 802-82, etc.), además de tener leyes específicas que así lo instruyen y respaldan desde su país sede.

K.B. Cómo se puede cambiar o mejorar esta situación?

I.R. Se requieren líderes contrastados en ciberseguridad (seniors) para las diferentes empresas estratégicas, que impulsen acciones para la protección de infraestructuras críticas (SCADA o DCS), a través de la implementación de políticas de ciberseguridad, planes de respuesta a ciberincidentes en la red de control, análisis de riesgos y análisis de impacto al negocio, hardening (endurecimiento) de dispositivos en la red de campo, pruebas de Ethical Hacking (test de intrusión) al menos una vez al año específicamente dirigidos a la red de control, análisis de vulnerabilidades en la superficie de sistemas SCADA, ejercicios periódicos de recuperación de sistemas DCS y SCADA en caso de desastre, entre otros. Obviamente, todo esto se debilita y queda solo en buenas intenciones cuando no se tiene el respaldo de las autoridades, éste es un tema de seguridad nacional, por tanto requiere participación del estado, confiamos en que las agencias de gobierno para tecnologías de información así lo harán.

K.B. Nos comenta un poco sobre la certificación  GIAC GICSP, en qué consiste y cómo fue su preparación?

I.R. Es una certificación muy diferente a las otras 15 que pude alcanzar, ya que su enfoque es una combinación de la parte técnica informática y la de seguridad industrial en una planta (programación de HMIs, PLCs, instrumentos y protocolos de campo), lo bueno es que se disfruta mucho aprendiendo nuevos puntos de vista y requerimientos de ciberseguridad. La preparación para el examen toma aproximadamente seis meses, pese a la experiencia que uno pueda tener en el área de ciberseguridad, hace falta recordar épocas de administrador de firewalls, administración de sistemas operativos, hardening de servidores y plataformas web, además de los que corresponden a gestión de seguridad de la información, continuidad del negocio, criptografía y respuesta a incidentes.

Consiste en un examen de 115 preguntas, la mayoría de ellas son casos de estudio para diferentes escenarios con los que uno podría encontrarse en la vida real, es en inglés y el tiempo límite es de 3 horas. No es el clásico examen de pregunta y respuesta, exige análisis por cada caso planteado (ej. diagramas de red de control con diferentes amenazas y configuraciones), donde uno debe realizar troubleshooting si quiere responder de manera acertada, conocer comandos, opciones de herramientas, sin duda la experiencia manejando herramientas de hacking me ayudó bastante.

No es un examen teórico, prueba de ello es que te permiten ingresar con los libros oficiales del curso, apuntes manuscritos, y TODO el material impreso que desees, ya que no se mide la memoria, sino tu capacidad de resolver problemas planteados en entornos ICS.

K.B. Gracias ingeniero Rosales

 

Entrevista de Kelly Baldivieso – Ingeniera Industrial (UAGRM) a Israel Rosales, GIAC CICSP, CISSP, CISA, CISM, CRISC, CEH, CHFI, ISO 27001 LA, ISO 27032 LM, COBIT5

You may also like...

Social Media Auto Publish Powered By : XYZScripts.com