Fallos peligrosos en el SIS Al calcular la Probabilidad de Fallo de una Función Instrumentada de Seguridad (SIF) lo más importante son los fallos peligrosos, como vemos en las siguientes fórmulas de las arquitecturas 1oo1 y 1oo2. El valor Lambda DD es la tasa de fallos peligrosos detectados y Lambda DU corresponde a los no detectados. Podemos desglosar los fallos peligrosos en 4 grupos: Fallos DD: son los fallos peligrosos detectados por los diagnósticos de producto, es decir, por los diagnósticos integrados por el fabricante del PLC de seguridad, del transmisor, posicionador, etc. En las válvulas, al ser elementos mecánicos, no tenemos diagnósticos de producto. Fallos DU convertibles a DD: son los fallos peligrosos no detectados por los diagnósticos automáticos pero que pueden detectarse si implementamos en la SIF algún diagnóstico de aplicación. Son casos típicos, por ejemplo, la detección de la señal analógica fuera de rango o la prueba PST (Partial Stroke Test) en las válvulas de seguridad. Fallos DU1: son fallos peligrosos no detectados por los diagnósticos automáticos pero que detectamos en las pruebas manuales (proof tests) periódicas realizadas a la SIF cada TI horas (Test Interval). A mayor efectividad de estas pruebas mayor valor del parámetro Cpt (coverage proof test) que es muy importante en las fórmulas del cálculo de la probabilidad de fallo. Fallos DU2: son los fallos peligrosos que nunca vamos a detectar, ni con los diagnósticos automáticos ni en las pruebas manuales. Son fallos “ocultos” que no dan la cara en las pruebas y que pueden ser de muy diversa índole. Hay que tener en cuenta que las pruebas que debemos realizar periódicamente a todas las funciones de seguridad nunca son perfectas. La efectividad de las pruebas, por tanto, la podemos definir de la siguiente forma: Cpt= DU1 / (DU1+DU2) En la industria de proceso este valor varía entre el 70 y 95% en los subsistemas SENSOR y LOGIC SOLVER, y entre 40 y 95% en el subsistema ACTUADOR. Profundice en estos y muchos otros conceptos en nuestro CURSO «online» RECOMENDADO sobre Seguridad Funcional:  «Diseño de SIFs y cálculo del SIL»

Ciberseguridad Industrial Desde hace varios años observamos cómo el mundo industrial, y en particular los sistemas de control y los sistemas instrumentados de seguridad (SIS) empiezan a estar afectados por las mismas amenazas y vulnerabilidades que los Sistemas IT. Los sistemas de control utilizan numerosos dispositivos del mundo IT (routers, switches, PCs, etc.) y Ethernet ya es la red más utilizada. Por todo ello, la ciberseguridad industrial ha cobrado un protagonismo extraordinario debido a que el número de ciber-ataques en el entorno industrial no hace más que crecer. Tendencias en la Ciberseguridad Industrial de los Sistemas de Control Los Sistemas de Control (ICS: Industrial Control System) utilizan cada vez más productos hardware y software del mundo no industrial (COTS: Commercial Off The Shelf products). Los ICS ya no son islas. El uso de redes Ethernet en los ICS los expone a las mismas vulnerabilidades que tienen los sistemas IT. Aumentan la monitorización y el acceso remoto que llega de la mano de la denominada transformación digital o Industria 4.0 Las herramientas para automatizar los ciber-ataques están disponibles al alcance de cualquiera. Los ciber-ataques a los negocios, y en particular a los ICS, aumentan. Los mitos de la Ciberseguridad Industrial “Nosotros no nos conectamos a Internet”. Muchos sistemas de control no tienen una conexión regular y continua a Internet, pero la mayoría o se conectan de forma temporal para tareas de mantenimiento o son vulnerables a conexiones de USBs, ordenadores portátiles infectados, etc. “Mi Sistema de Control está protegido por un firewall”. Los dispositivos cortafuegos son fáciles de instalar, pero es difícil configurarlos y mantenerlos correctamente. “Los hackers no entienden los Sistemas de Control industriales”. Hoy en día se pueden realizar cursos on-line de casi todo incluyendo SCADAs, PLCs, etc. Además, muchas de las vulnerabilidades son las mismas que las del mundo IT. “Nuestra planta no es un objetivo de los hackers”. Todas las plantas son un objetivo y nadie se queda fuera. Los ataques con malware están en la red y pueden acabar en cualquier sistema. “Nuestros Sistemas de Safety (SIS) nos protegerán”. La mayoría de los SIS están basados en microprocesadores y se configuran con PCs. Es habitual comunicar el SIS con el Sistema de Control usando Ethernet con protocolos abiertos y no seguros (Modbus TCP, OPC, etc.). Ya se han conocido vulnerabilidades en PLCs de seguridad. La certificación SIL (IEC 61508) se centra en Safety y recomienda analizar la “ciberseguridad” (Security). Amenazas de la Ciberseguridad Industrial que afectan a los ICS y los SCADAs ENISA (European Union Agency for Network and Information Security) tiene diversas publicaciones muy interesantes.   Estadísticas de ciber-ataques a PCs del entorno industrial según análisis de Kaspersky Lab. A continuación mostramos algunas estadísticas interesantes extraídas de un estudio de Kaspersky del primer semestre de 2017. Los productos de Kaspersky bloquearon ataques en el 37,6% de PCs del entorno ICS (Industrial Control Systems). Un 31% se produjeron en el sector manufacturero. El 40% de los PCs tienen una conexión continua o frecuente a internet. El 60% restante se conecta a internet no más de 1 vez al mes, muchos de ellos incluso menos. Este estudio sólo abarca los PCs y no otros dispositivos de la red industrial como pueden ser los PLCs, relés de protección, etc.     Ciberseguridad industrial: Diferencias entre los ICS y los sistemas IT Algunas de las diferencias principales de los Sistemas ICS respecto a los IT son las siguientes: En general la Disponibilidad del Sistema suele ser lo más importante, por encima de la confidencialidad de los datos. Los tiempos de respuesta del ICS son críticos. Los ICS utilizan protocolos de IT e industriales. Las paradas del ICS no son admisibles. El reboot no es aceptable. En algunos sectores industriales (como en Farmacia) se necesita una recertificación lenta y costosa después de cualquier cambio. No es posible realizar pruebas en entornos de producción. Los Upgrades pueden tener un gran impacto en el hardware, software y gráficos. Los ICS funcionan durante 15-20 años lo que dificulta mucho su mantenimiento (parches que no existen, etc.) Los ICS utilizan aplicaciones especiales. El fallo del ICS/SIS puede provocar pérdida de vidas, de equipos y producción con costes muy elevados.   Tecnologías para la seguridad de las redes Este es un tema complejo y que requiere del apoyo de auténticos especialistas. Enumeramos a continuación algunos de los principales elementos a considerar: Dispositivos: switches, routers, firewalls, diodos de datos. Existen modelos robustos y específicos para las redes industriales. Arquitecturas de red (segregación por zonas y conductos, zonas DMZ, etc.). Se requiere un análisis especializado. Criptografía: VPN, Cifrado, Autenticación, Protocolos seguros. Cada vez irán apareciendo más sistemas y componentes tradicionales del control industrial con todas estas características. Sistemas de Detección de Intrusión (IDS). Utilizando el símil de la puerta podemos decir que el firewall es la “cerradura” y el IDS “la alarma antirrobo”. Defensa en profundidad (Defense-in-Depth): El concepto de defensa en profundidad se basa en el uso de distintas técnicas que permitan, al menos, duplicar los elementos de protección para limitar los daños en caso de una intrusión en la primera línea de defensa o componente más expuesto.