- El CERT Gubernamental Nacional publica en su portal toda la información relativa a este servicio brindado a los ICS operativos en infraestructuras del Sector Público.
- A través del SAT-ICS, el Centro Criptológico Nacional, en colaboración con el organismo adscrito, puede detectar multitud de tipos de ataque, evitando su expansión, respondiendo de forma rápida ante el incidente detectado y, de forma general, generar normas de actuación que eviten futuros incidentes.
- Cualquier Organismo perteneciente al Sector Público o a empresas y organizaciones de interés estratégico para el país (en coordinación con el CNPIC) que dependan para su operación de tecnologías ICS puede adherirse a este servicio.
El CCN-CERT, del Centro Criptológico Nacional, ha publicado en su portal web toda la información relativa al Servicio de Alerta Temprana para Sistemas de Control Industrial, SAT-ICS. Este servicio tiene como función principal la detección temprana en el caso que se produzca un incidente de seguridad en una infraestructura industrial, con el fin de aplicar las medidas necesarias de contención y de eliminación de la amenaza y evitar que el intento de ataque sea fructífero o, en su caso, minimizar el posible impacto.
A este servicio ofrecido por el CERT Gubernamental Nacional puede adherirse cualquier Organismo perteneciente al Sector Público o a empresas y organizaciones de interés estratégico para el país que dependan para su operación de tecnologías ICS.
Junto a la detección de ataques, el SAT ICS permite a sus miembros el acceso a un mayor número de reglas de detección (tanto propias como externas), la correlación de eventos y por tanto la detección de amenazas complejas que puedan involucrar a distintos organismos y el soporte a la resolución de incidentes brindado por el propio CCN-CERT. El Sistema ofrece también un portal donde el responsable de la ciberseguridad de los ICS del Organismo adscrito puede visualizar en tiempo real los eventos generados por su sonda y que han sido enviados al sistema central. Además, permite acceder a la herramienta LUCIA para la gestión de los incidentes que hayan sido detectados por la sonda y comunicados al organismo.
Nuevas necesidades en los ICS
La puesta en marcha del SAT ICS ha venido motivada por el cambio de paradigma en los sistemas de control industrial. Hasta hace unos pocos años, los sistemas encargados del control de las plantas industriales estaban confinados en redes aisladas del resto de las infraestructuras y sin conexión con el exterior. Eran sistemas con un grado alto de ciberseguridad (a pesar de que este factor no se hubiese considerado como un factor de diseño) cuyas únicas medidas de protección se centraban en la seguridad física pero que, por el contrario, presentaban una serie de limitaciones en cuanto a su funcionalidad.
Las nuevas necesidades de negocio, sobre todo en cuanto a contar con información en tiempo real de lo que sucede en infraestructuras industriales, motivaron una evolución de estas redes industriales hacia arquitecturas más abiertas, de forma que aquellas fronteras comenzaron a ser atravesadas por un número cada vez mayor de conexiones con el exterior: puestos de supervisión centralizados, redes corporativas e, incluso, internet.
De ahí que el CCN-CERT haya decidido implantar este servicio con el fin de que los responsables de seguridad de organismos públicos que explotan o dependen de infraestructuras industriales puedan analizar el tráfico en las redes de supervisión y control y detectar de forma precoz anomalías que pudieran ser indicativas de un incidente de ciberseguridad.
Figura 1. Arquitectura SAT-ICS
CCN-CERT (09/04/2018)
Servicio de Alerta Temprana para Sistemas de Control Industrial, SAT-ICS
