LA CIBERSEGURIDAD EN LAS
INFRAESTRUCTURAS CRÍTICAS
Modelo español
Jose Luis Bolaños Ventosa
Director de Security Gas Natural Fenosa
23 de Mayo de 2018
1
El comienzo
2
Nos enfrentamos a un nuevo mundo…
¿Estamos preparados?
IMPACTO
Reputación
Los datos de millones de personas
filtrados en el hackeo a Equifax, una de las mayores
agencias crediticias.
140
Económico
Maersk estima
millones de dólares el impacto
directo económico del ciberataque del
malware Petya de 2017.
+1.000
Incremento del número de
ciberataques en Oil & Gas.80%
equipos informáticos de la
petrolera saudí Aramco
inutilizados por un ataque
informático, paralizando
operaciones.
35.000
personas sin electricidad
durante 6 horas por los
efectos del virus
BlackEnergy en Ucrania,
2015.
80.000
Operación
Las víctimas españolas del cibercrimen
acumularon en 2017 pérdidas por valor
de millones de
dólares.
2.100 140 M€.
Wannacry provoca un irreparable daño reputacional
ocasionando unas pérdidas directas en el mundo de
Filtradas más de millones de cuentas de
Facebook con datos personales
87
4
La ciberguerra
comenzó con Stuxnet
Scada systemCiberataque en
remoto al sistema de
distribución de agua en Illinois
Shamoon Ataque cibernético a la mayor petrolera de Arabia Saudi
Ukraine PowerGrid
Acceso en remoto a red
eléctrica ucraniana
SandwormHackers rusos
acceden a la red de infraestructuras críticas en EE. UU.
WannacryDifusión masiva de ransomware
a nivel global
2010 2011 2012 2014 2016 2017
Compañía petrolera atacada via watering hole
attacking
Ciberataques industriales relevantes…
Smart metershackeados
Acelerar
el cambio
Gestionar los ciberriesgos
es uno de los pilares
fundamentales de nuestra
compañía
6
1. Antecedentes y marco regulatorio
2. Modelo Infraestructuras críticas en España
3. Enfoque Gas Natural Fenosa
4. Ciberseguridad en Infraestructuras críticas
7
• Necesarias para suministro de servicios
esenciales.
• Indispensables no hay solución
alternativa
• De carácter públicos y privados
• Con grave impacto sobre la sociedad
Conjunto de activos esenciales para
el funcionamiento de una sociedad y
de su economía.
¿Qué son las infraestructuras críticas?
8
Programa Europeo de Protección de
Infraestructuras Críticas (PEPIC) publicado
en el año 2004.
Directiva 2008/114 del Consejo de la Unión
Europea, de 8 de diciembre.
Infraestructuras críticas
Antecedentes y marco regulatorio. Europa
9
Infraestructuras críticas
Antecedentes y marco regulatorio. España
• Plan Nacional para la Protección de las
Infraestructuras Críticas, de 7 de mayo de 2007
• Centro Nacional para la Protección de las
Infraestructuras Críticas, de 2 de noviembre de 2007
• Ley PIC. Ley 8/2011, de 28 de abril
• Real Decreto 704/2011, Reglamento que desarrolla la Ley
PIC
• Estrategia de ciberseguridad nacional, año 2013
• Estrategia de seguridad nacional, Real Decreto
1008/2017, 1 diciembre 2017
10
Infraestructuras críticas
Modelo infraestructuras críticas en España
Fuerzas y cuerpos
de seguridad
CERTSI - INCIBE
CCI
CNPIC
Operadores
Críticos
CITCO
11
Modelo infraestructuras críticas en España
Infraestructuras críticas
12
Enfoque Gas Natural Fenosa. Nuestro proyecto
Infraestructuras críticas
Proyecto
Incrit
Visión
integrada
entre Unidades
de Negocio y
Áreas
Corporativas
Se
contemplan
nuevos
escenarios
de riesgo
Contemplando
situaciones de
Contingencia,
Recuperación
y Crisis Metodología
única,
integrando
entorno físico
y cibernético
Coordinación
con
Organismos
Públicos y
Privados
Infraestructuras críticas
Enfoque Gas Natural Fenosa. Alcance del proyecto InCrit
Dotar a la Compañía de una
estrategia para la protección de las
infraestructuras críticas
Desplegar la estrategia diseñada en
cada IICC a través de las iniciativas contenidas
en los Planes de Protección
Específicos
Aplicar criterios de protección a
Infraestructuras Esenciales según
CNPIC
14
Análisis de riesgos
Plan de seguridad del operador
Planes de protección específicos
Seguridad física
Ciberseguridad
Resiliencia
Monitorización
Organización
Marco de controlOrganismos oficiales
Asociaciones y grupos de
trabajo internacionales
Asociaciones y grupos de
trabajo del sector energético y
del agua
Diagnóstico Framework Productos y
servicios
Coordinación y
relación pública
Infraestructuras críticasEnfoque Gas Natural Fenosa. Líneas de acción Proyecto InCrit
15
Responsable de Seguridad y
Enlace
CISO/ Responsable TI corporativo
Delegado de Seguridad de
IICC
Infraestructuras críticas
Enfoque Gas Natural Fenosa. Modelo relación Incrit
PROYECTO INCRIT
Cibercrimen Hacktivismo Fraude Ciberterrorismo Cibercrisis
Cómo afrontamos la
ciberseguridad en Gas
Natural Fenosa
ACTORES TECNICAS
• Script kiddies / Cyber Vandalismo
• Empleados de confianza
• hacktivistas
• Corporaciones
• CiberCriminales
• Ciberterroristas
• Estados
• Ingeniería social
• Malware
• Ciberespionaje
• Denegación de servicio
• Acceso externo
IMPLICACIONES
• Seguridad nacional
• Interrupción negocio
• Daño físico a infraestructuras
• Impacto en las personas
• Impacto redes eléctricas
• Pérdidas económicas
• Daños medioambientales
VULNERABILIDADES
• Generación
Instalaciones de generación
Redes de comunicación
• Transmisión y Distribución
(SCADA) system
• Consumo
Smart meters
Fuente: cybersecurity in utilities. Alfa Consulting, Cordence Worldwide
Infraestructuras críticas
Ciberseguridad en Gas Natural Fenosa. Contexto actual
18
Aumentamos nuestra capacidad
operativa para gestionar incidentes
que puedan detectarse en las
Infraestructuras Críticas.
Infraestructuras críticas
SOC de Infraestructuras Críticas
Ciberseguridad en Gas Natural Fenosa. Vigilancia y resiliencia
“Uno de los primeros
referentes en el sector
energético”
19
Infraestructuras críticas
Heading
in Verdana Regular
Seg. Física Atención Usuarios
Comunicaciones
Seguridad SSII
Centro Industrial
Oficina de Gobierno
PMO
Proveedores
Área de sistemas
CERT privado
Servicios
Automatización de la seguridad
Gestión del Servicio e Incidencias
Inteligencia y madurez
Monitorización dispositivos
Prevención de Malware
Respuesta ante incidentes
Gestión de vulnerabilidades
Control de Acceso
Correlación de eventos
Ciberseguridad en Gas Natural Fenosa. Vigilancia y resiliencia
El valor que aporta
conocer y anticipar situaciones de riesgo y reaccionar ante cualquier incidente
Esta presentación es propiedad de Gas Natural Fenosa. Tanto su
contenido temático como diseño gráfico es para uso exclusivo de su
personal.
©Copyright Gas Natural SDG, S.A.
Muchas gracias
Top Related