En este artículo presento algunos conceptos de análisis de riesgos de ciberseguridad y desarrollo un ejemplo de su posible aplicación en los sistemas integrados del puente de un buque.

En primer lugar, presento definiciones y una metodología para realizar análisis de riesgos de ciberseguridad.
A continuación, desarrollo la aplicación de los conceptos anteriores a los Sistemas de Tecnologías de Información y Comunicaciones TIC del puente de un buque en el que los activos de información son considerados el objetivo potencial de los atacantes.

 

Introducción

La seguridad de la información se caracteriza generalmente por tres dimensiones según se definen en la norma de seguridad de la información ISO27000:

  • Confidencialidad: propiedad por la que la información no está disponible o es revelada a individuos, entidades o procesos no autorizados.
  • Integridad: propiedad de proteger la exactitud e integridad de la información y los activos.
  • Disponibilidad: propiedad de los activos de ser accesibles y utilizables cuando se requiere por una persona o entidad autorizada.

De acuerdo con el NIST SP800-30, el riesgo es una medida del grado en que una entidad se ve amenazada por una circunstancia o evento potencial siendo típicamente una función de:

  • Impactos adversos que surgirían si se produce la circunstancia o acontecimiento
  • Probabilidad de ocurrencia.

Cuando un atacante compromete un activo de información cualquiera de las dimensiones de seguridad anteriores pueden verse afectados.

Los riesgos de seguridad de la información son los riesgos que se derivan de la pérdida de confidencialidad, integridad o disponibilidad de sistemas de información o de TI y reflejan los posibles impactos adversos en las operaciones por dicha pérdida.

El impacto de la pérdida de confidencialidad, integridad o disponibilidad será diferente en función de la misión de la organización. Para una empresa de negocios la confidencialidad suele ser importante. Sin embargo, en la navegación de un buque las dimensiones importantes por lo general serán integridad y disponibilidad.

El riesgo puede ser evaluado como la probabilidad de que una amenaza explote una o varias vulnerabilidades resultando en consecuencias indeseables.
La evaluación del riesgo puede calcularse usando la siguiente fórmula:

Riesgo=Amenaza x Vulnerabilidad x Impacto

El nivel de amenaza se evaluará teniendo en cuenta las ciberamenazas que puedan ser aplicables en el contexto del puente de un buque.

El nivel de vulnerabilidad se evaluará en función de la vulnerabilidad de los activos de Tecnologías de Información y Comunicaciones TIC que permiten la materialización de las amenazas.

El impacto se calcula como el valor agregado de pérdida de confidencialidad, integridad o disponibilidad en caso de que alguna de estas dimensiones de la seguridad de los activos se vea comprometida.

 

Para este ejemplo, se utiliza un enfoque semi-cuantitativo. Para los valores de amenazas y vulnerabilidades se asignan como valores posibles bajo, medio y alto. El impacto y riesgo se evaluarán utilizando una escala numérica ad-hoc según lo siguiente:

  • Nivel de impacto de los activos estará entre 0 (sin impacto) y 10 (máximo impacto).
  • A la probabilidad de las amenazas se le asignarán como posibles valores: baja (1), media (2) y alta (3).
  • Al nivel de vulnerabilidad de los activos se le asignarán como posibles valores: bajo (1), medio (2) y alto (3).
  • La probabilidad agregada de un incidente de seguridad será calculada como el producto de la probabilidad de la amenaza por el nivel de vulnerabilidad del activo pudiendo tomar valores entre 0 (más baja) y 9 (más alta).
  • El nivel de riesgo podrá tener un valor entre 1 (más bajo) y 100 (más alto).

Como podemos ver, en el cálculo de riesgos damos la misma importancia a los niveles de amenaza y vulnerabilidad y significativamente más relevancia a los niveles de impacto de los activos y al nivel de riesgo.

La metodología y los pasos recomendados al realizar un análisis de riesgos son:

  • Definir el alcance del análisis y activos a evaluar
  • Identificar las fuentes y eventos de amenazas
  • Identificar las vulnerabilidades
  • Determinar la probabilidad de ocurrencia
  • Determinar la magnitud del impacto
  • Determinar nivel de riesgo
  • Comunicar nivel de riesgo
  • Gestionar los niveles de riesgo
  • Revisar periódicamente el análisis

En los párrafos siguientes aplico la metodología anterior para desarrollar un ejemplo de un análisis de riesgos de ciberseguridad de los sistemas integrados en el puente de un buque.

 

Definir el alcance del análisis y activos a evaluar

El primer paso es definir el contexto y el alcance del sistema a analizar. En este caso, el contexto del análisis es el puente de un buque sujeto al convenio SOLAS y los riesgos a los que puede estar sujeto por posibles ciberataques.

El alcance incluirá los activos TIC del puente que soportan las operaciones del buque, así como los impactos en caso que la confidencialidad, integridad o disponibilidad de los mismos sea comprometida.

Las amenazas consideradas serán del tipo ataque deliberado (adversarial threat) originado en individuos, grupos u organizaciones que buscan explotar la dependencia del buque en sistemas de información y comunicaciones.

No se considerarán otro tipo de amenazas tales como accidentales, errores humanos, ambientales, estructurales o económicas. Estas amenazas estarán normalmente contempladas en el Manual de Gestión de la Seguridad del Buque (Safety Management Manual SMM) o en el análisis de riesgos corporativos de la compañía.

Para la identificación de activos y funciones realizadas, he partido de los activos mencionados en la recomendación de IMO para la aplicación de la regulación V/15 del convenio SOLAS Bridge Design, Equipment Arrangement and Procedures (BDEAP). En particular, he consultado el anexo A de dicha recomendación y realizado algunas modificaciones para este ejemplo.

 

La siguiente tabla refleja los activos seleccionados y sus funciones en el puente del buque.

Activos TIC puente del buque

 

 

Identificar las fuentes de amenazas y eventos

Necesitamos identificar las ciberamenazas aplicables al puente del buque.

Para este paso, se pueden consultar varias referencias tales como NIST SP800-30 e ISO27005.

He seleccionado algunas amenazas del catálogo de amenazas de NIST SP800-30, apéndice E, tabla E-2 “Representative examples – Adversarial Threat events”.

Amenazas NIST SP800-30

 

Ahora determinamos la probabilidad de que estas amenazas estén presentes en el puente del buque con valores de probabilidad baja (1), media (2) o alta (3).

Probabilidad de amenaza

 

Identificar las vulnerabilidades

En este paso, identificamos el nivel de vulnerabilidad de cada activo. Seleccionamos el valor de vulnerabilidad que corresponda bajo (1), medio (2) o alto (3).

NiveL de vulnerabilidad

He asumido valores medios de vulnerabilidad en GNSS y AIS ya que estos sistemas son susceptibles a interferencias e interceptaciones deliberadas.

En este ejemplo, asigno al sistema ECDIS el valor más alto de vulnerabilidad ya que está instalado en una máquina Windows antigua (más de tres años), no se han aplicado parches de seguridad durante los últimos tres años y no tiene instalado ningún sistema de protección anti-virus o anti-malware.

Para el resto de sistemas, he asumido valores bajos de vulnerabilidad.

 

Determinar la probabilidad de ocurrencia

Ahora necesitamos determinar el valor de la probabilidad de ocurrencia con éxito de la amenaza. Este valor se calcula como la probabilidad de que las amenazas exploten las vulnerabilidades en los sistemas objeto de análisis.

Lo denominamos probabilidad del incidente y se calcula como el producto de la probabilidad de que la amenaza esté presente y el nivel de vulnerabilidad del activo.

Probabilidad de ocurrencia del incidente

 

Determinar la magnitud del impacto

El valor de impacto se calcula como el valor de la pérdida en caso de que la confidencialidad, integridad o disponibilidad de la información o de los activos sea comprometida.

Nivel de impacto

En este ejemplo, al impacto en los activos debido a la pérdida de la confidencialidad, integridad o disponibilidad se le asigna un valor entre 0 (sin pérdida) al 10 (pérdida máxima). El valor de impacto agregado es la suma de los efectos individuales de cada activo.

He asumido valores de impacto nulo en la pérdida de confidencialidad y valores estimados no nulos en caso de pérdida de integridad y de disponibilidad.

Los valores de impacto de los activos tienen en cuenta las posibles dependencias de activos. Por ejemplo, la pérdida de GNSS podría degradar significativamente la funcionalidad ECDIS aunque no totalmente, ya que aún estarían disponibles las cartas electrónicas, planificación de rutas y determinación de posiciones estimadas.

En un escenario real, la evaluación de impacto debe ser específica para el buque y puente analizados y determinada con la participación del capitán y oficiales. Los valores de impacto finales deberían ser aprobados por el capitán del buque.

 

Determinar nivel de riesgo

Ahora calculamos el nivel de riesgo de cada activo y el nivel de riesgo total para los sistemas del puente del buque.

El nivel de riesgo de cada activo es calculado como el producto de:

  • Valor de impacto del activo por pérdida de integridad o disponibilidad (2-20)
  • Probabilidad del incidente (1-9)

Esto da un valor de riesgo individual de activos entre 2 (más bajo) y 180 (más alto).

El nivel de riesgo para el conjunto del Puente es calculado como la suma de los niveles de riesgo de los activos individuales.

Esto da un valor de riesgo para el puente que depende del número de activos considerados (10 en este caso) y da un valor entre 20 (2×10, más bajo) y 1800 (180×10, más alto).

Nivel de riesgo inherente

 

Ahora necesitamos ajustar el nivel de riesgo a la escala seleccionada (1-100). Para ello aplicamos la siguiente fórmula:

  • Riesgo del activo (1-100) = [Riesgo de activo (2-180) /180]*100

Siendo 180 el nivel máximo de riesgo de un activo individual.

  • Riesgo del sistema (1-100) = [Σ Riesgo de activos (2-180) / 1800]*100

Siendo 1800 el nivel máximo de riesgo para e conjunto del sistema.

 

Y el resultado del análisis de riesgos sería:

Nivel de riesgo inherente

 

Para evaluar los niveles de riesgo usaremos al siguiente tabla, adaptada con algunas modificaciones, del documento NIST SP800-30 r1. Table I-3 Assessment scale level of risk:

Niveles de riesgo NIST SP800-30

 

La organización debería determinar el nivel de riesgo aceptable. Para este ejemplo, he asumido que los riesgos son inaceptables si se cumple alguna de las siguientes condiciones:

  • Nivel de riesgo de un activo es igual o mayor de 40
  • Nivel de riesgo del sistema es igual o mayor de 50

En este ejemplo vemos que aunque el nivel de riesgo del sistema es aceptable, necesitamos gestionar riesgos no aceptables en los activos ECDIS, AIS y GNSS.

Los niveles de riesgo calculados hasta ahora se denominan riesgos inherentes. En el siguiente paso una vez han sido gestionados los riesgos inherentes no aceptables, obtendremos nuevos niveles de riesgo que denominaremos riesgos residuales.

 

Comunicar niveles de riesgo.

Los resultados del análisis de riesgos deben ser comunicados a las personas relevantes en el buque y en la compañía.

Al menos se debería informar al capitán del buque y a la persona designada de la compañía para la gestión del código IGS.

Esto es especialmente importante cuando se detecta una situación de riesgo alto o muy alto.

 

Gestionar niveles de riesgo.

La gestión de riesgos trata la reducción de los niveles de riesgo a niveles aceptables.

Existen tres factores que determinan si un ataque puede tener éxito:

  • Capacidad del atacante de explotar vulnerabilidades
  • Oportunidad que se presenta al atacante para explotar las vulnerabilidades
  • Intención y beneficio del atacante si el ataque es exitoso.

Normalmente no podemos influir en la capacidad e intención del atacante por lo que actuamos para reducir la probabilidad de que las amenazas exploten las vulnerabilidades y su impacto

En este ejemplo tenemos los activos AIS y GNSS con niveles de riesgos moderado y el activo ECDIS con nivel de riesgo muy alto.

Asumimos que reducimos los niveles de riesgo definiendo e implementando los siguientes controles.

Para reducir los niveles de vulnerabilidad se realiza lo siguiente:

  • Se instalan parches de seguridad y anti-virus en el equipo ECDIS
  • Se consulta con los fabricantes de los equipos AIS y GNSS para comprobar si existen recomendaciones de seguridad que no se hayan implementado relativas a la interceptación de señales. Se aplican las recomendaciones de los fabricantes.
  • Se aprueba una política de la compañía para requerir la comprobación periódica con los fabricantes de posibles vulnerabilidades de seguridad en los equipos ECDIS, AIS y GNSS. Caso de existir, se aplican parches de seguridad lo antes posible.

Una vez aplicados estos controles, los nuevos niveles de vulnerabilidad son los siguientes:

  • ECDIS: bajo (1)
  • AIS: bajo (1)
  • GNSS: bajo (1)

 

Para reducir los niveles de impacto se realiza lo siguiente:

  • El sistema de gestión de la seguridad SMS se actualizará para incluir procedimientos detallados de operación en caso que los equipos ECDIS, AIS o GNSS no estén disponibles.
  • Los oficiales asistirán a un curso de simulación para practicar los procedimientos de operación en caso que los equipos ECDIS, AIS o GNSS dejen de estar disponibles en el puente.

Con la aplicación de estos controles se reduce el nivel de impacto por falta de disponibilidad al valor 4. Los nuevos valores de impacto son los siguientes:

  • ECDIS: 14
  • AIS: 12
  • GNSS: 14

 

La matriz de riesgos residual quedaría de este modo: Matriz Riesgo residual

 

Ajustando los niveles de riesgo a la escala seleccionada (1-100):

 Nivel de riesgo residual

La nueva matriz muestra que los niveles de riesgo de los activos y del sistema están ahora dentro de valores aceptables.

Los resultados del análisis, controles implantados y riesgos residuales se comunican a las personas relevantes tanto en el buque como en la compañía.

Como mínimo, el Capitán del buque y persona designada en la compañía deben estar informados y tienen que aprobar los controles a implantar y niveles de riesgo residuales.

 

Revisar el análisis periódicamente

El análisis de riesgos debe ser realizado periódicamente y los resultados comunicados a todas las partes responsables en el buque y en la compañía de tal modo que las medidas adecuadas para reducir el riesgo a niveles aceptables puedan ser aplicadas.

 

Conclusión

El análisis de riesgos de ciberseguridad debería ser realizado no solo para el puente sino también para otros sistemas relevantes del buque tales como propulsión, control de carga y lastre, sistemas auxiliares, sistemas de negocio así como redes sociales y de entretenimiento.

Para este ejemplo, he utilizado una metodología de análisis de riesgos de tecnologías de la información TI, he seleccionado algunas amenazas y vulnerabilidades y calculado los resultados mediante una hoja de cálculo Excel.

Cuando se analizan sistemas complejos o si el sistema objeto de análisis tiene muchos activos interdependientes, se recomienda utilizar una herramienta automatizada que implemente un modelo matemático formal y que incorpore catálogos de amenazas, vulnerabilidades y controles de seguridad. Para una lista de posibles herramientas se puede consultar “ENISA Risk management tools” in la sección de referencias más abajo.

El análisis debería ser realizado periódicamente y los resultados comunicados adecuadamente. La persona designada por la compañía para el sistema de gestión de seguridad SMS y el capitán del buque normalmente tendrán que definir el nivel de apetito por el riesgo y valores de riesgo no aceptable.

Así mismo, el capitán y la persona designada por la compañía tienen que realizar un papel relevante para asegurar que los riesgos de ciberseguridad se reducen a niveles aceptables mediante la definición e implantación de controles de ciberseguridad.

 

Referencias: