occ- cnpic
CNPIC CENTRO NACIONAL DE PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS CIBERDELINCUENCIA, CIBERTERRORISMO Y PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS MINISTERIO DEL INTERIOR MINISTERIO DEL INTERIOR MINISTERIO DEL INTERIOR MINISTERIO DEL INTERIOR MINISTERIO DEL INTERIOR www.cnpic-es.es CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS El 90% de los bienes de consumo se transportan vía marítima…. Fuente: noticiaslogisticaytransporte.com … y el ciberespacio? Fases de un ataque 1. 2. 3. 4. 5. Reconocimiento Explotación Refuerzo Consolidación Pillaje CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS CNPIC Fases de un ataque CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Usuario malicioso Servidor de bases de datos CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Reactor nuclear Davis Besse Ohio (EEUU), 2003 Suceso: El gusano Slammer infecta los sistemas a través de un enlace con una empresa subcontratada. Impacto: Detención de la actividad de parte del Sistema de Parámetros de Seguridad (SPDS) y del Ordenador de Proceso de la Planta (PPC). Tiempo de recuperación: SPDS – 4 horas, 50 minutos PPC – 6 horas, 9 minutos Lecciones aprendidas: • Securizar los accesos remotos • Asegurar la defensa en profundidad www.cnpic.es CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Titan Rain EEUU, 2003 Suceso: ‘Titan Rain’ fue el nombre en clave que se le asignó a una serie de ataques coordinados sobre sistemas de información de EEUU llevados a cabo desde 2003 y que duraron 3 años, con posible origen en China. Impacto: Los atacantes lograron acceso a las redes corporativas de empresas que gestionaban información sensible, como Lockheed Martin, Redstone Arsenal y la NASA, entre otros. Detalles Técnicos: Este ataque es considerado una APT (Advanced Persistent Threat o Amenaza Persistente Avanzada). Grupos organizados y objetivos específicos. Lecciones aprendidas: • Aparece una nueva tipología de ataques muy sofisticados, llevados a cabo por grupos organizados (como agencias de espionaje). • Tener en cuenta que las medidas de seguridad habituales no son efectivas contra este tipo de ataques. www.cnpic.es CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Ciberataque Estatal Estonia, 2007 Suceso: Traslado en Tallin del Soldado de Bronce, monumento a los soviéticos caídos durante la II Guerra Mundial, ciberataques 27 abril 2007. Impacto: Consiguieron bloquear el acceso a sitios web de organizaciones públicas y privadas de Estonia, incluidos el Parlamento, bancos, ministerios, periódicos. En el momento álgido de los ataques, los teléfonos móviles y las tarjetas bancarias dejaron de funcionar. La OTAN y los EEUU enviaron expertos para mitigar el ataque. Quedó evidenciado la alta dependencia de Estonia de las tecnologías de la información. Lecciones aprendidas: • La posibilidad de ataques a gran escala contra las infraestructuras críticas de la información puede llegar a paralizar un país. • Es necesaria la existencia de equipos de respuesta, especializados en la gestión de este tipo de incidentes (CERTs). www.cnpic.es CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Ciberataque Estatal Estonia, 2007 "Sabemos que un ataque a un puerto o a un aeropuerto es un acto de guerra, pero no hay nada sobre ataques con ordenadores" Ministerio de Defensa de Estonia www.cnpic.es CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Acuerdo Consejo de Ministros 2 de Noviembre 2007 • • • • SES: Órgano responsable PIC Desarrollo PNPIC Catálogo IC – Calificación SECRETO Creación CNPIC • Asignación cometidos y responsabilidades • Dotación recursos humanos y materiales CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS www.cnpic.es CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Stuxnet Irán, 2010 Suceso: Stuxnet es un gusano informático que afecta a equipos Windows. Fue el primer gusano conocido dedicado a espiar y manipular sistemas industriales, en concreto sistemas SCADA (Supervisión, Control y Adquisición de Datos de SCI). Impacto: Ataque que tuvo como objetivo los sistemas de centrifugado de las plantas de enriquecimiento de uranio de Irán, logrando retrasar el programa nuclear iraní durante al menos dos años. Se empieza a hablar de CIBERARMAS. Lecciones aprendidas: • Aparece un nuevo tipo de amenaza a considerar: el desarrollo de malware en el que se invierten millones de dólares, en el que probablemente participen agencias gubernamentales, y que tienen objetivos muy específicos. www.cnpic.es CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Ley 8/2011 de PIC. RD 704/2011 España, 2011 • Se crea el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC). • Se crea el Sistema de Protección de Infraestructuras Críticas. • Servicios esenciales, aquellos que garantizan el mantenimiento de las funciones sociales básicas, la salud, la seguridad y el bienestar social y económico de los ciudadanos. • Infraestructuras Estratégicas, aquellas sobre las que descansa el funcionamiento de los servicios esenciales. • Infraestructuras Críticas, aquellas Infraestructuras Estratégicas cuyo funcionamiento es indispensable y su perturbación tendría grave impacto en los servicios esenciales. • Operador Crítico, entidad u organismo responsable del funcionamiento diario de una Infraestructura Crítica. • Se crea la Comisión Nacional para la Protección de Infraestructuras Críticas. www.cnpic.es CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS España, 2011 PNPIC • DESIGNACIÓN MINISTERIOS SISTEMA • DESIGNACIÓN OPERADORES CRÍTICOS ANÁLISIS SECTORIAL RIESGOS LPIC/ RDPIC PLANES SECTORIALES (PES) Parlamento / Gobierno Por GTPIC Definición y propuesta de operadores críticos. Comisión PIC: Desgnación operador crítico. Por cada operador crítico DESIGNACIÓN RESPONSABLE SEGURIDAD Y ENLACE PLANES SEGURIDAD OPERADOR (PSO) DESIGNACIÓN DELEGADO DE SEGURIDAD Y ENLACE PLANES PROTECCIÓN ESPECÍFICOS (PPE) PLANES APOYO OPERATIVO (PAO) Identificación de sus infraestructuras críticas (Plazo: 6 meses desde designación) Para cada infraestructura crítica (Plazo: 4 meses desde aprobación de PSO) Por FCS / Deleg. Gob. (Plazo: 4 meses desde aprobación de PPE) CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Shamoon Agosto 2012 Suceso: El 15 de agosto de 2012, a las 11:08, un grupo denominado "Cutting Sword of Justice" libera un virus en las redes de la compañía petrolera saudí Aramco . Impacto: Se considera uno de los actos de sabotaje industrial más destructivos hasta la fecha. Según el vicepresidente de la compañía, el objetivo era detener el suministro de petroleo y gas a los mercados internacionales, que supone el 40% del total mundial, aunque finalmente no llegó a afectar la operativa de compañía. Se tardó una semana en recuperar la normalidad en los sistemas afectados. Detalles técnicos: El virus borró las tres cuartas partes de los archivos de la compañía (documentos, hojas de cálculo, correos, pdf, etc.) en 30.000 ordenadores personales. •Los archivos borrados fueron sustituidos por una imagen de la bandera de EEUU en llamas. •Reportaba la IP de las máquinas afectadas a un PC de la compañía. •Estaba diseñado para afectar al sector energético. Lecciones aprendidas: • Las infraestructuras críticas situadas en zonas de conflicto o inestables son más propicias a ser atacadas. • Se cree que el ataque fue perpetrado por ciberactivistas. Esto significa que su “modus operandi”, más allá del DDoS, ha evolucionado. • Un plan de respuesta ante este tipo de incidentes es crítico. • Las técnicas de defensa en profundidad fueron efectivas para mantener la producción . www.cnpic.es CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Octubre, 2012 Convenio Marco de Colaboración en materia de Ciberseguridad CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Red October Internacional, 2013 Evento: Red October es un malware cuya función principal es el ciberespionaje masivo. Se cree que estuvo operando durante 5 años antes de ser detectado. Impacto: Se han detectado sistemas objetivo de este malware en 39 países. A día de hoy se está estudiando aún su estructura, diseño y funciones específicas, ya que se trata de un malware muy complejo, lo que hace indicar que posiblemente una gran potencia esté detrás de su desarrollo. Lecciones aprendidas: • Necesidad de unidades especializadas en el análisis de este tipo de malware (reversing). Muy complejo. • Ámbito global, una APT afecta a muchos estados. www.cnpic.es CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS El ciberespacio y el nuevo ecosistema de la ciberseguridad CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Fuente: Cyberspace Operations Concept Capability Plan 2016-2028 CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Mayo, 2013 CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Diciembre, 2013 Líneas de Acción 1. Capacidad prevención, detección, respuesta y recuperación. 2. Seguridad S.I. de las AA.PP. 3. Seguridad S.I. de las IC. 4. Investigación y persecución ciberterrorismo y ciberdelincuencia. 5. 6. 7. 8. Seguridad TIC sector privado. Conocimientos, competencias, I+D. Cultura ciberseguridad Compromiso internacional. ISP ISP CERT CERT CERT Computer Emergency Response Team Security Operations Center ISP • • • • • • SOC • • ACME S.A. • BBDD Soporte técnico Captura de evidencias Análisis forense Análisis de logs Contacto directo con ISP Contacto con otros CERTs Difundir cultura de la ciberseguridad Auditorías de ciberseguridad …… CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS OCC - INST 15/2014 de SES CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS La Oficina de Coordinación Cibernética (OCC) es el órgano técnico de coordinación de la Secretaría de Estado de Seguridad en materia de ciberseguridad. OCC - INST 15/2014 de SES CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS • Actuar de enlace de la SES con las autoridades competentes en materia de ciberseguridad, tanto a nivel nacional como internacional. • Coordinar técnicamente la SES y sus órganos dependientes con el CERTSI. OCC - INST 15/2014 de SES CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS • Desarrollar mecanismos de coordinación de respuesta ante un ciberincidente que recaiga en los ámbitos competenciales del Ministerio del Interior, teniendo capacidades para: – Enlazar con el CERT de Seguridad e Industria para establecer la respuesta técnica apropiada. – Enlazar con la unidad tecnológica de las FCSE para iniciar la investigación y persecución del delito. OCC - OBJETIVOS CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS • Conocer el estado general de la situación en cuanto a volumen e impacto de ciberamenazas, vulnerabilidades, ciberataques y estado del arte de los avances tecnológicos en estos campos OCC - INST 15/2014 de SES CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS • Habilitar los mecanismos de comunicación y coordinación entre los órganos dependientes de la SES. Establecerá, en el ámbito del Ministerio del Interior, un canal de alerta temprana e intercambio de información permanente en lo relativo a vulnerabilidades, ciberamenazas y ciberataques. OCC - INST 15/2014 de SES CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS • Asesorar al Secretario de Estado de Seguridad en materia de ciberseguridad, aportando la información estratégica y técnica necesaria para facilitar la toma de decisiones. CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS El día a día Respuesta a incidentes ANONIMIZADO CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Respuesta a incidentes Análisis y resolución de incidentes en Operadores Servicio en formato 24x7x365: [email protected] 647 300 717 CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Respuesta a incidentes 2014 CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Respuesta a incidentes INCIDENTES GESTIONADOS EL ÚLTIMO AÑO 14 12 10 8 6 4 2 0 CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Ciberejercicios Ciberejercicios: – CIISCT2 – CMX14 – CE2014 – Locked Shields CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Alerta temprana e Intercambio de Información CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Alerta temprana e Intercambio de Información Pastebin Redes sociales Noticias Foros… CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Alerta temprana e Intercambio de Información CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Dispositivos Extraordinarios de Ciberseguridad CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS Proclamación de Felipe VI como Rey de España CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS “Dejad que cada cual se entregue a la práctica de aquel oficio que conozca bien.” Cicerón CNPIC CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS GOBIERNO DE ESPAÑA MINISTERIO DEL INTERIOR
© Copyright 2024