La seguridad física y sus necesidades lógicas

Los responsables de ciberseguridad suelen centrar sus esfuerzos en bastionar el perímetro lógico, mediante cortafuegos, segmentación de red u otras técnicas a su alcance, pero esta labor de asegurar el perímetro, tiene que ir de la mano con un plan de seguridad que incluya medidas de protección físicas, para obtener una defensa integral. De no ser así, siempre se dejaría un riesgo sin contemplar en nuestro plan de ciberseguridad.

La seguridad física en los entornos educativos, y de los datos asociados, debe ser tratada como una pieza más de la ciberseguridad. El principal objetivo de la seguridad física es mantener a las personas alejadas de situaciones peligrosas, permitiéndolas seguir desarrollando su trabajo, teniendo en cuenta siempre, que estas medidas no impliquen un impedimento en situaciones de emergencia. Pero otro de los objetivos principales es mantener un control preestablecido de las personas y las áreas a las que éstas pueden acceder.

Physical security and its logical needs

Security officials tend to focus their efforts on basing the logical perimeter, through firewalls, network segmentation or other techniques at their disposal, but this task of securing the perimeter has to go hand in hand with a security plan that includes security measures. physical protection, to obtain a comprehensive defense. Otherwise, a risk would always be left unchecked in our cybersecurity plan.

Physical security in educational settings, and associated data, should be treated as another piece of cybersecurity. The main objective of physical security is to keep people away from dangerous situations, allowing them to continue developing their work, always taking into account that these measures do not imply an impediment in emergency situations. But another of the main objectives is to maintain a pre-established control of the people and the areas to which they can access.

El apoyo normativo a la seguridad física / Regulatory support for physical security

Todas las normativas y guías de buenas prácticas de seguridad en ICS recogen, de alguna manera, los requerimientos de seguridad física. Las más representativas podrían ser:

• El estándar internacional IEC 62443-2-1 ‘Industrial communication networks – Network and system security – Part 2-1: Establishing an industrial automation and control system security program’. Punto 4.3.3.

• NERC CIP-005-5 ‘Cyber Security - Electronic Security Perimeter(s)’.

• NERC CIP-014-2 ‘Physical Security’.

Otra que no es específica del entorno industrial, pero que podría considerarse referente a la hora de implementar controles de seguridad tanto a nivel físico como especialmente al lógico es:

• ISO/IEC 27001:2013 ‘Information technology -- Security techniques -- Information security management systems – Requirements’. Puntos A.11.1, A.11.2, A.11.4.

----------------------------

Por otra parte, la guía de buenas prácticas del NIST 800-82 recoge de manera muy acertada los atributos que deben considerarse a la hora de realizar una defensa en profundidad aplicada a la seguridad física, que resumimos a continuación:

On the other hand, the good practice guide of NIST 800-82 includes in a very correct way the attributes that must be determined when making a defense in depth applied to physical security, which is summarized below:

------ Protección de las ubicaciones físicas / Protection of physical locations:

• Se refiere a las consideraciones clásicas de seguridad física, estableciendo perímetros de seguridad segmentados, con medidas de seguridad específicos aplicados por capas.

• Refers to the classic physical security considerations, establishing segmented security perimeters, with specific security measures applied by layers.

------ Control de acceso / Access control

• Controles de seguridad que deben garantizar que solo las personas autorizadas tengan acceso a los espacios controlados. Un sistema debe poder verificar que las personas a las que se les concede acceso, son quienes dicen que son (habitualmente usando algo que la persona tiene, como una tarjeta o clave de acceso; algo que conocen, como un número de identificación personal (PIN); o algo que demuestre quien son, un lector biométrico).

• Security controls that must ensure that only authorized persons have access to controlled spaces. A system should be able to verify that the people to whom they are granted access are who they say they are (usually using something that the person has, such as a card or password; something they know, such as a personal identification number (PIN ); or something that shows who they are, a biometric reader).

------ Sistemas de monitorización de accesos / Access monitoring systems

• Se incluyen aquí cámaras fijas y de video, sensores o sistemas de identificación. Estos sistemas no previenen un acceso no autorizado, sino que los almacenan y registran.

• Fixed and video cameras, sensors or identification systems are included here. These systems do not prevent unauthorized access, but store and register them.

------ Sistemas de limitación de acceso / Access limitation systems

• Dentro de este atributo entrarían vallas, cerraduras, o personal de seguridad, por ejemplo.

• Within this attribute would enter fences, locks, or security personnel, for example.

------ Sistemas de gestión de factores ambientales / Environmental factor management systems

• Entornos limpios, libres de electricidad estática, vibraciones, campos magnéticos, etc.

• Clean environments, free of static electricity, vibrations, magnetic fields, etc.

------- Sistemas de control de condiciones ambientales / Environmental conditions control systems

• Sistemas denominados en inglés (HVAC), control de humedad, ventilación y aire acondicionado.

• Systems denominated in English (HVAC), humidity control, ventilation and air conditioning.

------- Sistemas de protección de corriente / Current protection systems

• Sistemas de protección y alimentación ininterrumpida, conocidos como UPS por sus siglas en inglés.

• Protection and uninterruptible power supply systems, known as UPS for its acronym in English.

------- Sistemas de protección adicionales para centro de control / Additional protection systems for control center

• Adicionalmente a los anteriores, las salas de control pueden tener necesidades más específicas de seguridad física como pueden ser: centros de control a prueba de explosiones, o incluso tener redundando el espacio físico del centro de control fuera de las instalaciones, para poder seguir controlándola si fuera necesario.

• In addition to the above, control rooms may have more specific physical security needs such as: explosion-proof control centers, or even having the physical space of the control center redundant outside of the facilities, to be able to continue controlling it if necessary.

-------- Sistemas de protección de cableado / Protection systems

• Este atributo es muy importante ya que el diseño e implementación del cableado para la red de control debe abordarse en el plan de ciberseguridad. El cable de comunicaciones de par trenzado sin blindaje, aunque aceptable para el entorno de IT, generalmente no es recomendable para el entorno OT, debido a su susceptibilidad a la interferencia de campos magnéticos, ondas de radio, etc. Se recomienda el uso de conectores industriales RJ-45, pues proporcionan protección contra la humedad, el polvo y la vibración. El cable de fibra óptica y el cable coaxial son mejores opciones, porque son inmunes a las interferencias eléctricas y de frecuencia de radio que se encuentran típicamente en un entorno de control industrial. El cable y los conectores deben estar codificados por colores y etiquetados para que las redes ICS e IT estén claramente delineadas y se reduzca la posibilidad de una conexión cruzada inadvertida.

• This attribute is very important as the design and implementation of wiring for the control network must be addressed in the cybersecurity plan. The unshielded twisted pair communications cable, although acceptable for the IT environment, is generally not recommended for the OT environment, due to its susceptibility to interference from magnetic fields, radio waves, etc. The use of RJ-45 industrial connectors is recommended, as they provide protection against moisture, dust and vibration. Fiber optic cable and coaxial cable are better options, because they are immune to radio frequency and electrical interference that are typically found in an industrial control environment. The cable and connectors must be color-coded and labeled so that the ICS and IT networks are clearly delineated and the possibility of an inadvertent cross connection is reduced.

Interacción entre la seguridad física y la seguridad lógica

Como nuevos integrantes de la red, estos dispositivos deben ser tratados dentro del plan general de ciberseguridad, realizar un correcto análisis de riesgos, diseñar una arquitectura segura que los englobe, así como segmentar de manera correcta estos sistemas, pensando en una defensa en profundidad. El tráfico generado por estos nuevos dispositivos es bastante predecible y limitado, por lo que gestionarlo mediante elementos de red o reglas dentro de los cortafuegos focalizados, elevaría el nivel de seguridad de manera fácil. A continuación, se indica alguna recomendación a muy alto nivel:

• Todos estos dispositivos deberían tener su propio dominio de colisión, por ejemplo, dentro de una VLAN dedicada. Los usuarios o grupos con permisos de gestión, configuración y acceso a estos dispositivos físicos, es muy reducido, por lo que es recomendable disponer de reglas específicas dentro de los cortafuegos con un nivel de detalle casi de IP-Puerto-Usuario.

• El sistema de recolección de alertas y logs, o el envío de señales en caso de cámaras IP, tienen un solo sentido, si hablamos a nivel de red, por lo que limitar dentro de los cortafuegos el tráfico como solo saliente y no permitir el tráfico entrante, puede evitar propagaciones no deseadas.

Considerar las medidas y sistemas de seguridad físicos, como parte del plan de ciberseguridad, es una práctica que tiene que ser tomada muy en serio. Tener en cuenta, desde el inicio del diseño de una nueva infraestructura, todos los elementos que van a formar parte, de una manera u otra, en la red industrial, es crítico. Realizar un análisis de riesgos de estos dispositivos, conocer cómo puede afectar a la red si alguno de ellos es comprometido, mediante pruebas test de intrusión, son tareas que debe realizar el equipo de ciberseguridad. Al fin y al cabo, la seguridad física es el pilar de la seguridad lógica.

Interaction between physical security and logical security

As new members of the network, these devices must be treated within the general cybersecurity plan, perform a correct risk analysis, design a secure architecture that encompasses them, as well as correctly segment these systems, thinking about a defense in depth. The traffic generated by these new devices is quite predictable and limited, so managing it through network elements or rules within the targeted firewalls would raise the security level easily. Here are some recommendations at a very high level:

• All of these devices should have their own collision domain, for example, within a dedicated VLAN. Users or groups with management, configuration and access permissions to these physical devices, is very small, so it is advisable to have specific rules within the firewall with a level of detail almost IP-Port-User.

• The system for collecting alerts and logs, or sending signals in case of IP cameras, makes only one sense, if we speak at the network level, so limit traffic within the firewalls as outgoing only and not allow traffic Incoming, you can avoid unwanted spreads.

Considering physical security measures and systems, as part of the cybersecurity plan, is a practice that has to be taken very seriously. Taking into account, from the beginning of the design of a new infrastructure, all the elements that will be part, in one way or another, in the industrial network, is critical. Perform a risk analysis of these devices, know how it can affect the network if any of them is compromised, through intrusion test tests, are tasks that the cybersecurity team must perform. After all, physical security is the pillar of logical security.