LA CIBERSEGURIDAD EN LAS

INFRAESTRUCTURAS CRÍTICAS

Modelo español

Jose Luis Bolaños Ventosa

Director de Security Gas Natural Fenosa

23 de Mayo de 2018

1

El comienzo

2

Nos enfrentamos a un nuevo mundo…

¿Estamos preparados?

IMPACTO

Reputación

Los datos de millones de personas

filtrados en el hackeo a Equifax, una de las mayores

agencias crediticias.

140

Económico

Maersk estima

millones de dólares el impacto

directo económico del ciberataque del

malware Petya de 2017.

+1.000

Incremento del número de

ciberataques en Oil & Gas.80%

equipos informáticos de la

petrolera saudí Aramco

inutilizados por un ataque

informático, paralizando

operaciones.

35.000

personas sin electricidad

durante 6 horas por los

efectos del virus

BlackEnergy en Ucrania,

2015.

80.000

Operación

Las víctimas españolas del cibercrimen

acumularon en 2017 pérdidas por valor

de millones de

dólares.

2.100 140 M€.

Wannacry provoca un irreparable daño reputacional

ocasionando unas pérdidas directas en el mundo de

Filtradas más de millones de cuentas de

Facebook con datos personales

87

4

La ciberguerra

comenzó con Stuxnet

Scada systemCiberataque en

remoto al sistema de

distribución de agua en Illinois

Shamoon Ataque cibernético a la mayor petrolera de Arabia Saudi

Ukraine PowerGrid

Acceso en remoto a red

eléctrica ucraniana

SandwormHackers rusos

acceden a la red de infraestructuras críticas en EE. UU.

WannacryDifusión masiva de ransomware

a nivel global

2010 2011 2012 2014 2016 2017

Compañía petrolera atacada via watering hole

attacking

Ciberataques industriales relevantes…

Smart metershackeados

Acelerar

el cambio

Gestionar los ciberriesgos

es uno de los pilares

fundamentales de nuestra

compañía

6

1. Antecedentes y marco regulatorio

2. Modelo Infraestructuras críticas en España

3. Enfoque Gas Natural Fenosa

4. Ciberseguridad en Infraestructuras críticas

7

• Necesarias para suministro de servicios

esenciales.

• Indispensables no hay solución

alternativa

• De carácter públicos y privados

• Con grave impacto sobre la sociedad

Conjunto de activos esenciales para

el funcionamiento de una sociedad y

de su economía.

¿Qué son las infraestructuras críticas?

8

Programa Europeo de Protección de

Infraestructuras Críticas (PEPIC) publicado

en el año 2004.

Directiva 2008/114 del Consejo de la Unión

Europea, de 8 de diciembre.

Infraestructuras críticas

Antecedentes y marco regulatorio. Europa

9

Infraestructuras críticas

Antecedentes y marco regulatorio. España

• Plan Nacional para la Protección de las

Infraestructuras Críticas, de 7 de mayo de 2007

• Centro Nacional para la Protección de las

Infraestructuras Críticas, de 2 de noviembre de 2007

• Ley PIC. Ley 8/2011, de 28 de abril

• Real Decreto 704/2011, Reglamento que desarrolla la Ley

PIC

• Estrategia de ciberseguridad nacional, año 2013

• Estrategia de seguridad nacional, Real Decreto

1008/2017, 1 diciembre 2017

10

Infraestructuras críticas

Modelo infraestructuras críticas en España

Fuerzas y cuerpos

de seguridad

CERTSI - INCIBE

CCI

CNPIC

Operadores

Críticos

CITCO

11

Modelo infraestructuras críticas en España

Infraestructuras críticas

12

Enfoque Gas Natural Fenosa. Nuestro proyecto

Infraestructuras críticas

Proyecto

Incrit

Visión

integrada

entre Unidades

de Negocio y

Áreas

Corporativas

Se

contemplan

nuevos

escenarios

de riesgo

Contemplando

situaciones de

Contingencia,

Recuperación

y Crisis Metodología

única,

integrando

entorno físico

y cibernético

Coordinación

con

Organismos

Públicos y

Privados

Infraestructuras críticas

Enfoque Gas Natural Fenosa. Alcance del proyecto InCrit

Dotar a la Compañía de una

estrategia para la protección de las

infraestructuras críticas

Desplegar la estrategia diseñada en

cada IICC a través de las iniciativas contenidas

en los Planes de Protección

Específicos

Aplicar criterios de protección a

Infraestructuras Esenciales según

CNPIC

14

Análisis de riesgos

Plan de seguridad del operador

Planes de protección específicos

Seguridad física

Ciberseguridad

Resiliencia

Monitorización

Organización

Marco de controlOrganismos oficiales

Asociaciones y grupos de

trabajo internacionales

Asociaciones y grupos de

trabajo del sector energético y

del agua

Diagnóstico Framework Productos y

servicios

Coordinación y

relación pública

Infraestructuras críticasEnfoque Gas Natural Fenosa. Líneas de acción Proyecto InCrit

15

Responsable de Seguridad y

Enlace

CISO/ Responsable TI corporativo

Delegado de Seguridad de

IICC

Infraestructuras críticas

Enfoque Gas Natural Fenosa. Modelo relación Incrit

PROYECTO INCRIT

Cibercrimen Hacktivismo Fraude Ciberterrorismo Cibercrisis

Cómo afrontamos la

ciberseguridad en Gas

Natural Fenosa

ACTORES TECNICAS

• Script kiddies / Cyber Vandalismo

• Empleados de confianza

• hacktivistas

• Corporaciones

• CiberCriminales

• Ciberterroristas

• Estados

• Ingeniería social

• Malware

• Ciberespionaje

• Denegación de servicio

• Acceso externo

IMPLICACIONES

• Seguridad nacional

• Interrupción negocio

• Daño físico a infraestructuras

• Impacto en las personas

• Impacto redes eléctricas

• Pérdidas económicas

• Daños medioambientales

VULNERABILIDADES

• Generación

Instalaciones de generación

Redes de comunicación

• Transmisión y Distribución

(SCADA) system

• Consumo

Smart meters

Fuente: cybersecurity in utilities. Alfa Consulting, Cordence Worldwide

Infraestructuras críticas

Ciberseguridad en Gas Natural Fenosa. Contexto actual

18

Aumentamos nuestra capacidad

operativa para gestionar incidentes

que puedan detectarse en las

Infraestructuras Críticas.

Infraestructuras críticas

SOC de Infraestructuras Críticas

Ciberseguridad en Gas Natural Fenosa. Vigilancia y resiliencia

“Uno de los primeros

referentes en el sector

energético”

19

Infraestructuras críticas

Heading

in Verdana Regular

Seg. Física Atención Usuarios

Comunicaciones

Seguridad SSII

Centro Industrial

Oficina de Gobierno

PMO

Proveedores

Área de sistemas

CERT privado

Servicios

Automatización de la seguridad

Gestión del Servicio e Incidencias

Inteligencia y madurez

Monitorización dispositivos

Prevención de Malware

Respuesta ante incidentes

Gestión de vulnerabilidades

Control de Acceso

Correlación de eventos

Ciberseguridad en Gas Natural Fenosa. Vigilancia y resiliencia

El valor que aporta

conocer y anticipar situaciones de riesgo y reaccionar ante cualquier incidente

Esta presentación es propiedad de Gas Natural Fenosa. Tanto su

contenido temático como diseño gráfico es para uso exclusivo de su

personal.

©Copyright Gas Natural SDG, S.A.

Muchas gracias