occ- cnpic

CNPIC
CENTRO NACIONAL DE PROTECCIÓN
DE INFRAESTRUCTURAS CRÍTICAS
CIBERDELINCUENCIA, CIBERTERRORISMO Y
PROTECCIÓN DE
INFRAESTRUCTURAS CRÍTICAS
 MINISTERIO DEL INTERIOR  MINISTERIO DEL INTERIOR  MINISTERIO DEL INTERIOR  MINISTERIO DEL INTERIOR  MINISTERIO DEL INTERIOR 
www.cnpic-es.es
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
El 90% de los bienes de consumo se transportan vía marítima….
Fuente: noticiaslogisticaytransporte.com
… y el ciberespacio?
Fases de un ataque
1.
2.
3.
4.
5.
Reconocimiento
Explotación
Refuerzo
Consolidación
Pillaje
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
CNPIC
Fases de un ataque
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Usuario malicioso
Servidor de
bases de datos
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Reactor nuclear Davis Besse
Ohio (EEUU), 2003
Suceso: El gusano Slammer infecta los
sistemas a través de un enlace con una
empresa subcontratada.
Impacto: Detención de la actividad de
parte del Sistema de Parámetros de
Seguridad (SPDS) y del Ordenador de
Proceso de la Planta (PPC).
Tiempo de recuperación:
SPDS – 4 horas, 50 minutos
PPC – 6 horas, 9 minutos
Lecciones aprendidas:
• Securizar los accesos
remotos
• Asegurar la defensa
en profundidad
www.cnpic.es
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Titan Rain
EEUU, 2003
Suceso: ‘Titan Rain’ fue el nombre en clave que
se le asignó a una serie de ataques coordinados
sobre sistemas de información de EEUU llevados
a cabo desde 2003 y que duraron 3 años, con
posible origen en China.
Impacto: Los atacantes lograron acceso a las
redes
corporativas
de
empresas
que
gestionaban información sensible, como
Lockheed Martin, Redstone Arsenal y la NASA,
entre otros.
Detalles Técnicos: Este ataque es considerado
una APT (Advanced Persistent Threat o
Amenaza Persistente Avanzada). Grupos
organizados y objetivos específicos.
Lecciones aprendidas:
• Aparece una nueva tipología
de ataques muy sofisticados,
llevados a cabo por grupos
organizados (como agencias de
espionaje).
• Tener en cuenta que las
medidas de seguridad
habituales no son efectivas
contra este tipo de ataques.
www.cnpic.es
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Ciberataque Estatal
Estonia, 2007
Suceso: Traslado en Tallin del Soldado de
Bronce, monumento a los soviéticos caídos
durante la II Guerra Mundial, ciberataques 27
abril 2007.
Impacto: Consiguieron bloquear el acceso a
sitios web de organizaciones públicas y
privadas de Estonia, incluidos el Parlamento,
bancos, ministerios, periódicos. En el
momento álgido de los ataques, los teléfonos
móviles y las tarjetas bancarias dejaron de
funcionar.
La OTAN y los EEUU enviaron expertos para
mitigar el ataque.
Quedó evidenciado la alta dependencia de
Estonia de las tecnologías de la información.
Lecciones aprendidas:
• La posibilidad de ataques a
gran
escala
contra
las
infraestructuras críticas de la
información
puede
llegar
a
paralizar un país.
• Es necesaria la existencia de
equipos
de
respuesta,
especializados en la gestión de
este tipo de incidentes (CERTs).
www.cnpic.es
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Ciberataque Estatal
Estonia, 2007
"Sabemos que un ataque a un
puerto o a un aeropuerto es un
acto de guerra, pero no hay nada
sobre ataques con ordenadores"
Ministerio de Defensa de Estonia
www.cnpic.es
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Acuerdo Consejo de Ministros
2 de Noviembre 2007
•
•
•
•
SES: Órgano responsable PIC
Desarrollo PNPIC
Catálogo IC – Calificación SECRETO
Creación CNPIC
• Asignación cometidos y responsabilidades
• Dotación recursos humanos y materiales
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS
www.cnpic.es
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Stuxnet
Irán, 2010
Suceso: Stuxnet es un gusano informático
que afecta a equipos Windows. Fue el
primer gusano conocido dedicado a espiar
y manipular sistemas industriales, en
concreto sistemas SCADA (Supervisión,
Control y Adquisición de Datos de SCI).
Impacto: Ataque que tuvo como objetivo
los sistemas de centrifugado de las plantas
de enriquecimiento de uranio de Irán,
logrando retrasar el programa nuclear iraní
durante al menos dos años.
Se empieza a hablar de CIBERARMAS.
Lecciones aprendidas:
• Aparece un nuevo tipo de
amenaza a considerar: el
desarrollo de malware en el
que se invierten millones de
dólares, en el que
probablemente participen
agencias gubernamentales, y
que tienen objetivos muy
específicos.
www.cnpic.es
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Ley 8/2011 de PIC. RD 704/2011
España, 2011
• Se crea el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC).
• Se crea el Sistema de Protección de Infraestructuras Críticas.
• Servicios esenciales, aquellos que garantizan el mantenimiento de las
funciones sociales básicas, la salud, la seguridad y el bienestar social y
económico de los ciudadanos.
• Infraestructuras Estratégicas, aquellas sobre las que descansa el
funcionamiento de los servicios esenciales.
• Infraestructuras Críticas, aquellas Infraestructuras Estratégicas cuyo
funcionamiento es indispensable y su perturbación tendría grave impacto en los
servicios esenciales.
• Operador Crítico, entidad u organismo responsable del funcionamiento diario
de una Infraestructura Crítica.
• Se crea la Comisión Nacional para la Protección de Infraestructuras Críticas.
www.cnpic.es
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
España, 2011
PNPIC
• DESIGNACIÓN MINISTERIOS SISTEMA
• DESIGNACIÓN OPERADORES CRÍTICOS
ANÁLISIS SECTORIAL RIESGOS
LPIC/
RDPIC
PLANES
SECTORIALES
(PES)
Parlamento / Gobierno
Por GTPIC
Definición y propuesta de operadores críticos.
Comisión PIC: Desgnación operador crítico.
Por cada operador crítico
DESIGNACIÓN RESPONSABLE
SEGURIDAD Y ENLACE
PLANES SEGURIDAD
OPERADOR (PSO)
DESIGNACIÓN DELEGADO DE
SEGURIDAD Y ENLACE
PLANES PROTECCIÓN
ESPECÍFICOS (PPE)
PLANES APOYO OPERATIVO (PAO)
Identificación de sus infraestructuras
críticas
(Plazo: 6 meses desde designación)
Para cada infraestructura
crítica
(Plazo: 4 meses desde
aprobación de PSO)
Por FCS / Deleg. Gob.
(Plazo: 4 meses desde
aprobación de PPE)
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Shamoon
Agosto 2012
Suceso: El 15 de agosto de 2012, a las 11:08, un grupo
denominado "Cutting Sword of Justice" libera un virus
en las redes de la compañía petrolera saudí Aramco .
Impacto: Se considera uno de los actos de sabotaje
industrial más destructivos hasta la fecha. Según el
vicepresidente de la compañía, el objetivo era detener el
suministro de petroleo y gas a los mercados
internacionales, que supone el 40% del total mundial,
aunque finalmente no llegó a afectar la operativa de
compañía. Se tardó una semana en recuperar la
normalidad en los sistemas afectados.
Detalles técnicos: El virus borró las tres cuartas partes
de los archivos de la compañía (documentos, hojas de
cálculo, correos, pdf, etc.) en 30.000 ordenadores
personales.
•Los archivos borrados fueron sustituidos por una
imagen de la bandera de EEUU en llamas.
•Reportaba la IP de las máquinas afectadas a un PC de la
compañía.
•Estaba diseñado para afectar al sector energético.
Lecciones aprendidas:
• Las infraestructuras críticas situadas en zonas de conflicto o
inestables son más propicias a ser atacadas.
• Se cree que el ataque fue perpetrado por ciberactivistas. Esto
significa que su “modus operandi”, más allá del DDoS, ha
evolucionado.
• Un plan de respuesta ante este tipo de incidentes es crítico.
• Las técnicas de defensa en profundidad fueron efectivas para
mantener la producción .
www.cnpic.es
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Octubre, 2012
Convenio Marco de Colaboración
en materia de Ciberseguridad
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Red October
Internacional, 2013
Evento: Red October es un malware cuya
función principal es el ciberespionaje
masivo. Se cree que estuvo operando
durante 5 años antes de ser detectado.
Impacto: Se han detectado sistemas
objetivo de este malware en 39 países. A
día de hoy se está estudiando aún su
estructura, diseño y funciones específicas,
ya que se trata de un malware muy
complejo, lo que hace indicar que
posiblemente una gran potencia esté
detrás de su desarrollo.
Lecciones aprendidas:
• Necesidad de unidades especializadas
en el análisis de este tipo de malware
(reversing). Muy complejo.
• Ámbito global, una APT afecta a
muchos estados.
www.cnpic.es
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
El ciberespacio y el nuevo
ecosistema de la ciberseguridad
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Fuente: Cyberspace Operations Concept Capability Plan 2016-2028
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Mayo, 2013
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Diciembre, 2013
Líneas de Acción
1. Capacidad prevención, detección,
respuesta y recuperación.
2. Seguridad S.I. de las AA.PP.
3. Seguridad S.I. de las IC.
4. Investigación y persecución
ciberterrorismo y ciberdelincuencia.
5.
6.
7.
8.
Seguridad TIC sector privado.
Conocimientos, competencias, I+D.
Cultura ciberseguridad
Compromiso internacional.
ISP
ISP
CERT
CERT
CERT
Computer
Emergency
Response
Team
Security
Operations
Center
ISP
•
•
•
•
•
•
SOC
•
•
ACME
S.A.
•
BBDD
Soporte técnico
Captura de
evidencias
Análisis forense
Análisis de logs
Contacto directo
con ISP
Contacto con
otros CERTs
Difundir cultura
de la
ciberseguridad
Auditorías de
ciberseguridad
……
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
OCC - INST 15/2014 de SES
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
La Oficina de Coordinación Cibernética (OCC) es el
órgano técnico de coordinación de la Secretaría de
Estado de Seguridad en materia de ciberseguridad.
OCC - INST 15/2014 de SES
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
• Actuar de enlace de la SES con las autoridades competentes
en materia de ciberseguridad, tanto a nivel nacional como
internacional.
• Coordinar técnicamente la SES y sus órganos dependientes
con el CERTSI.
OCC - INST 15/2014 de SES
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
• Desarrollar mecanismos de coordinación de
respuesta ante un ciberincidente que recaiga en los
ámbitos competenciales del Ministerio del Interior,
teniendo capacidades para:
– Enlazar con el CERT de Seguridad e Industria para
establecer la respuesta técnica apropiada.
– Enlazar con la unidad tecnológica de las FCSE para iniciar
la investigación y persecución del delito.
OCC - OBJETIVOS
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
• Conocer el estado general de la situación en cuanto
a volumen e impacto de ciberamenazas,
vulnerabilidades, ciberataques y estado del arte de
los avances tecnológicos en estos campos
OCC - INST 15/2014 de SES
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
• Habilitar los mecanismos de comunicación y
coordinación entre los órganos dependientes de la
SES. Establecerá, en el ámbito del Ministerio del
Interior, un canal de alerta temprana e intercambio
de información permanente en lo relativo a
vulnerabilidades, ciberamenazas y ciberataques.
OCC - INST 15/2014 de SES
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
• Asesorar al Secretario de Estado de Seguridad en
materia de ciberseguridad, aportando la
información estratégica y técnica necesaria para
facilitar la toma de decisiones.
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
El día a día
Respuesta a incidentes
ANONIMIZADO
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Respuesta a incidentes
Análisis y resolución de incidentes en Operadores
Servicio en formato 24x7x365:
[email protected]
647 300 717
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Respuesta a incidentes
2014
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Respuesta a incidentes
INCIDENTES GESTIONADOS EL ÚLTIMO AÑO
14
12
10
8
6
4
2
0
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Ciberejercicios
Ciberejercicios:
– CIISCT2
– CMX14
– CE2014
– Locked Shields
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Alerta temprana e Intercambio de Información
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Alerta temprana e Intercambio de Información
Pastebin
Redes sociales
Noticias
Foros…
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Alerta temprana e Intercambio de Información
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Dispositivos Extraordinarios de Ciberseguridad
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
Proclamación de Felipe VI como Rey de España
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
“Dejad que cada cual se entregue a la práctica
de aquel oficio que conozca bien.”
Cicerón
CNPIC
CENTRO NACIONAL PARA LA PROTECCIÓN
DE LAS INFRAESTRUCTURAS CRÍTICAS
GOBIERNO
DE ESPAÑA
MINISTERIO
DEL INTERIOR