Un ejercicio de equilibrio
Por Tijmen Molema | Componentes de seguridad El | Marzo 1, 2024
10 minuto de lectura
Los sistemas electrónicos de seguridad programables han transformado el diseño de ascensores y escaleras mecánicas al aumentar la flexibilidad, el diagnóstico y el tiempo de actividad, pero conectar estos sistemas a internet los expone a malware, ataques de denegación de servicio y ataques dirigidos que entran en conflicto con los principios de seguridad funcional. La seguridad funcional presupone un entorno controlado y completamente conocido, con actualizaciones lentas y documentadas y manuales transparentes, mientras que la ciberseguridad considera al mundo exterior como poco fiable, exige confidencialidad, parches rápidos y una autenticación sólida. Armonizar ambos enfoques requiere decisiones de diseño como la conmutación por error en modo isla, pilas de software separadas, documentación clara pero restringida, responsabilidades de seguridad diferenciadas y una gestión de seguridad continua posterior a la comercialización para mantener los sistemas seguros y resilientes.
Los conflictos entre ciberseguridad y seguridad funcional
por Tijmen Molema
Este artículo se presentó en el Simposio internacional de ascensores y escaleras mecánicas de 2023 en Edimburgo, Escocia.
En el panorama tecnológico en rápida evolución, garantizar la seguridad y confiabilidad de los sistemas de ascensores y escaleras mecánicas siempre ha sido de suma importancia. A lo largo de los años, la industria ha sido testigo de un cambio significativo hacia la adopción de soluciones innovadoras. Durante la última década, los sistemas de seguridad electrónicos programables (PESS) han demostrado ser seguros y “llegaron para quedarse”. Son más flexibles, más baratos, permiten nuevos diseños, son más fáciles de actualizar y pueden proporcionar información (de diagnóstico). Incorporados con la Industria 4.0, permiten mantenimiento preventivo, monitoreo de cuasi accidentes, mayor tiempo de actividad y tiempos de rescate aún más cortos.
Sin embargo, las nuevas posibilidades conllevan nuevos desafíos: las amenazas cibernéticas como el malware, la denegación de servicio (DOS) y los ataques "intermediarios" son preocupaciones importantes y pueden afectar su sistema de seguridad cuidadosamente diseñado. ¿Es posible hacer también un PESS ciberseguro? ¿Y dónde entran en conflicto los estándares de seguridad funcional (IEC-61508) y ciberseguridad (IEC-62443)? ¿Cómo podemos abordar esto?
Este artículo profundiza en la intrigante interacción entre los estándares y leyes de seguridad funcional y ciberseguridad, descifrando hábilmente sus demandas contradictorias. Al desentrañar la lógica detrás de estas disparidades, ofrece soluciones perspicaces para armonizar eficazmente los dos ámbitos.
Aumento de la complejidad
Aunque el mundo que nos rodea está cambiando rápidamente, nuestro principal objetivo es "garantizar la seguridad de los ascensores". La seguridad se define como “libertad de riesgo inaceptable” (IEC61508-4, 3.1.11) y el riesgo se define como probabilidad x consecuencia (Guía ISO/IEC 51:1999, definición 3.1). A medida que aumenta la complejidad de un sistema, también aumentan las posibilidades de que se produzcan fallos: más componentes pueden romperse de más formas y mayores posibilidades de fallo humano. Como resultado, los sistemas PESS complejos tienen altas exigencias en cuanto a componentes y procesos definidos. Sin embargo, la mayoría de los ascensores funcionan en el interior seguro del edificio: el hueco. Este es un entorno totalmente controlado; La norma EN 81-20 no permite ningún otro cable o sistema. Esta es también la razón por la que la seguridad no fue un problema real hasta que llegó el Internet de las cosas (IoT). Tan pronto como el mundo exterior llega al controlador, las cosas se vuelven interesantes.

Ciberseguridad
Al conectar un sistema PESS a Internet, surgen nuevos desafíos. Internet, que consta de miles de enrutadores, conmutadores, bases de datos, etc., no está diseñado ni validado según la serie IEC 61508. Por eso la conexión se llama “comunicación del canal negro”.
Con la comunicación del canal negro, no hay control total sobre el equipo utilizado y no hay confianza en el software/hardware. Aquí es donde la ciberseguridad encuentra su primera gran diferencia con la seguridad funcional. La seguridad funcional se encuentra en un entorno controlado donde se conoce todo el software y el hardware, pero con la ciberseguridad, este no es el caso. Peor aún, el mundo del hacking está mejorando por sí solo y está más allá del control de los diseñadores de sistemas. En otras palabras, no hay manera de saber qué te sucederá mañana. A medida que las herramientas de piratería se vuelven más baratas y más fácilmente disponibles y, por lo tanto, más accesibles, las amenazas cibernéticas aumentan rápidamente.
Tipos de piratas informáticos
Para poder ajustar el nivel de seguridad como mecanismo defensivo para los piratas informáticos, es importante comprender los diferentes tipos de piratas informáticos y sus motivos. Con diferentes intereses y objetivos, tienden a adoptar diferentes estrategias.
El primer grupo de hackers es el más numeroso, pero el que menos conocimientos tiene. Con el creciente flujo de herramientas, se pueden realizar ataques altamente sofisticados con un conocimiento mínimo. Un término muy conocido para los hackers con conocimientos mínimos es "script kiddies". En un informe de Carnegie Mellon preparado para el Departamento de Defensa del Reino Unido en 2000, los script kiddies se definen como:
“En Internet, los explotadores de seguridad más inmaduros, pero lamentablemente a menudo igual de peligrosos, cometen fallos. El típico script kiddy utiliza técnicas y programas o scripts existentes, frecuentemente bien conocidos y fáciles de encontrar, para buscar y explotar debilidades en otras computadoras en Internet, a menudo de forma aleatoria y sin tener en cuenta o incluso comprender las consecuencias potencialmente dañinas. .”
El segundo grupo de hackers se define como aquellos con dinero, recursos y tiempo limitados. A menudo son entusiastas de la técnica o grupos de piratas informáticos más pequeños que buscan información o dinero. Crean una ciberamenaza para su propio beneficio y, a menudo, buscan objetivos con poco esfuerzo, bajo riesgo y la mayor rentabilidad.
El tercer grupo de hackers tiene dinero, recursos y tiempo ilimitados (en su mayoría financiados por los gobiernos). Realizan ataques dirigidos a sistemas de interés. Actualmente, los servicios públicos estratégicos como la energía, el agua y los medios de transporte (trenes, metros) son el principal objetivo de estos grupos. Sin embargo, existe una tendencia creciente de ataques a fabricantes (Threat Intelligence Index, IBM, 2021), por ejemplo, el espionaje. Debido a los recursos ilimitados de estos piratas informáticos, es difícil defenderse de estos grupos. Siempre será un juego del gato y el ratón. Tenga en cuenta que no siempre está claro a qué nivel operan los piratas informáticos y si reciben financiación del gobierno o no.
Daño deliberado
Lo que tienen en común los tres grupos de hackers es que su objetivo es causar daño y siempre trabajan por sus propios intereses. Sistemas de secuestro y demandas de rescate (ransomware), venta de datos relacionados con la privacidad o uso de un sistema para extraer tokens criptográficos; el dinero hace que el mundo gire. Esto es fundamentalmente diferente de la seguridad funcional, donde las amenazas no se crean para causar daño, sino a partir de fallas en un paso del ciclo de vida. Mientras que un ingeniero de seguridad funcional asume que las buenas intenciones de los desarrolladores y los errores detectados pueden poner un sistema en un estado seguro, el ingeniero de ciberseguridad considera que todo el mundo exterior no es confiable y cualquier intento o mal comportamiento tiene el potencial de destruir completamente el sistema.
Fail-Safe
En ingeniería de seguridad, los mejores sistemas posibles son a prueba de fallos; Independientemente de lo que se estropee, los sistemas siempre pasan a un estado seguro definido. El hacker puede hacer un mal uso de este comportamiento. Al ejecutar un ataque, el sistema detecta que está bajo ataque y puede entrar en un estado seguro detenido. La seguridad funcional crea la posibilidad de secuestrar el ascensor y posiblemente tomar como rehenes los activos del edificio. Los ataques distribuidos de DOS (DDOS) se encuentran entre los ataques más realizados. Son uno de los ataques más fáciles de realizar con un presupuesto razonable y pueden ser los más difíciles de defender. Una vez que el sistema depende de una conexión a Internet para realizar su tarea, un ataque DDOS se convierte en una amenaza importante. Una posible solución se puede aprender de la seguridad funcional, donde un estado ciberseguro puede describirse como "sin conexiones con el mundo exterior" o modo isla. Tan pronto como el sistema detecta que alguien está intentando manipularlo, entra en modo isla. Una consecuencia de ello es que esto impone limitaciones al diseño, ya que las funciones de seguridad no pueden depender de la red.
Actualizar o no actualizar
Las ciberamenazas se deben en un 99% a problemas o errores de software. Afortunadamente, el software es fácil de actualizar. Cuando se encuentra un error en un producto o biblioteca, se puede crear un parche. Los piratas informáticos inspeccionarán este parche, junto con las notas del parche. Como resultado, el error ahora es de conocimiento público y pronto será utilizado por hackers de todos los niveles. Se crearán herramientas que llegarán a los script kiddies. Mantener el software actualizado es una de las piedras angulares de la ciberseguridad.
La seguridad funcional exige un control estricto sobre los cambios y actualizaciones del sistema para evitar la introducción de posibles errores o fallas. Para cada actualización se iniciará un proceso con un análisis de impacto. Cada paso del proceso deberá verificarse y documentarse, finalizando con pruebas y verificación para garantizar que no se agregue ningún riesgo adicional. Este proceso podría tardar meses porque se deben hacer pruebas de resistencia para ganar confianza en el sistema.
El aumento del plazo de entrega puede provocar graves conflictos dentro de la empresa. La solución inicial es una evaluación de riesgos. En dicha evaluación, se decide qué acción tiene mayor riesgo y si es necesaria una actualización. Pensándolo bien, esta forma de trabajar es una táctica de mitigación más que una solución real. Es mejor dividir las pilas de software que ya se encuentran en la fase de diseño, para que la seguridad funcional no se vea afectada por las actualizaciones de ciberseguridad.
Documentación
Dentro de la seguridad funcional, es una buena práctica compartir información sobre el sistema con instaladores, empleados de mantenimiento, integradores de sistemas y organismos de inspección. Al compartir los límites del sistema y el mantenimiento prescrito, el estado general del sistema y, por tanto, la seguridad se mantiene en el nivel deseado.
Cuando se combinan varios subsistemas de diferentes fabricantes, se necesita información arquitectónica detallada para evaluar el nivel de seguridad general. Normalmente, un manual de seguridad describirá todas las demandas de los sistemas circundantes de un subsistema.
En ciberseguridad es al revés. Los documentos serán restringidos y confidenciales para dar a los atacantes puntos de partida mínimos. Como resultado, la primera etapa de un ciberataque (Fase de reconocimiento, fase de preparación inicial para que el atacante prepare un ataque recopilando información sobre el objetivo) puede retrasarse, a veces hasta el punto de no atacar. Cuando el tiempo y el dinero son limitados, los piratas informáticos tienden a buscar un objetivo más fácil.
Por lo tanto, la “seguridad a través de la oscuridad” no es el objetivo, y ni siquiera es segura en absoluto y El principio de Kerckhoff siempre debe ser respetado. Podrá explicar la seguridad a sus partes de confianza (por ejemplo, un organismo notificado), sin darles las claves o los certificados y seguir estando seguro, incluso frente a ellos.
Seguridad y protección en la industria de los ascensores
La seguridad funcional se encuentra actualmente en la fase de “gran mayoría”. Está ampliamente difundido y los requisitos y limitaciones se comprenden en el campo. El campo de la ciberseguridad apenas está surgiendo para la industria de los ascensores. Principalmente, la tarea de la ciberseguridad se asigna al grupo de seguridad funcional, porque "la seguridad y la protección son casi lo mismo, ¿verdad?" Sin embargo, como muestra este artículo, toda la filosofía es claramente diferente y podría dar lugar a conflictos si no se respeta cualquiera de los dos campos. Un proyecto está condenado a retrasos y sobrecostos, con la consecuencia final de sistemas inseguros o inseguros.
Ejemplo de un conflicto
Un fabricante de controladores de ascensor dispone de un sistema conectado a Internet que también ofrece varias funciones de seguridad. El departamento de seguridad exige al menos una autenticación de dos factores para todos los inicios de sesión (locales), ya que esta es la mejor práctica actualmente. Sin embargo, después de una revisión de requisitos, se rechaza la autenticación multifactor.
La implementación de medidas de seguridad no debe causar pérdida de protección, pérdida de control, pérdida de visibilidad o pérdida de otras funciones esenciales (IEC62443-3-3). La seguridad no interrumpirá las operaciones esenciales. Dado que el mantenimiento forma parte del manual de seguridad y para el mantenimiento el operador debe iniciar sesión y realizar varias funciones de seguridad, esta demanda no se puede satisfacer. Se debe encontrar una estrategia diferente para mantener el sistema seguro.
Conclusión y Recomendaciones
Los mundos de la ciberseguridad y la seguridad funcional tienen grandes diferencias en filosofía, diseño y soluciones. Las nuevas tecnologías crean nuevos desafíos donde los estándares pueden generar demandas contradictorias. Comprender ambos mundos y los orígenes de sus demandas es la base para un diseño adecuado.
Recommendations
- Asegúrese de que una función de seguridad nunca dependa de una conexión a Internet y de que el ascensor pueda funcionar de forma segura en modo isla o al menos evacuar.
- Divida la pila de software para seguridad funcional y ciberseguridad tanto como sea posible para que las actualizaciones de seguridad se puedan realizar de manera oportuna.
- Al igual que con la seguridad, asegúrese de poder explicar sus sistemas de seguridad sin perder la seguridad. Por motivos de seguridad, comunique esta información únicamente a organismos de confianza.
- Divida la responsabilidad de seguridad funcional y ciberseguridad en dos grupos y asegúrese de que exista una buena comunicación y comprensión entre ellos.
- Tenga en cuenta que una vez que su sistema conectado esté en el mercado, nunca habrá terminado con la ciberseguridad. Considere la certificación como el punto de partida de su viaje hacia la ciberseguridad.
Los conflictos entre ciberseguridad y seguridad funcional son inevitables en el mundo cada vez más interconectado y tecnológicamente complejo en el que vivimos. Sin embargo, estos conflictos no deben verse como desafíos insuperables. Más bien, deberían verse como oportunidades para desarrollar un enfoque más amplio e integrado para el diseño y la gestión de sistemas. La colaboración entre ingenieros de seguridad y expertos en ciberseguridad, el cumplimiento de los estándares de seguridad establecidos y una mentalidad proactiva para abordar estos conflictos serán clave para crear sistemas sólidos y seguros. Sólo mediante un enfoque equilibrado y armonizado podremos garantizar que la tecnología siga impulsando el progreso y salvaguardando al mismo tiempo el bienestar de las personas y de la sociedad en su conjunto.
Referencias
[1] Mead, Nancy R.; Bueno, Eric; Stehney, Theodore R. (31 de octubre de 2005). Metodología de Ingeniería de Requisitos de Calidad de Seguridad (SQUARE) (Reporte). Universidad de Carnegie mellon. doi:10.1184/R1/6583673.v1.