Análisis de riesgos y elaboración de controles para un prototipo de control y automatización industrial en la empresa intecmo sas

Abstract

Con la realización del presente proyecto se tiene como finalidad desarrollar un estudio tipo explicativo en la que se identifiquen las amenazas y riesgos a los que pueden estar expuestas las TIC de un sistema de control de procesos tipo SCADA (Supervisión, Control y Adquisición de Datos) de una planta de procesos químicos industrial, procesos que en términos funcionales son considerados críticos para la operación del negocio propio de una compañía, razón por la cual se deben implementar las medidas para salvaguardar la información y el flujo de datos, de esta forma evitar que personas mal intencionadas puedan acceder a ellos con fines fraudulentos o intereses de terceros, ocasionando inconvenientes para el buen funcionamiento de la planta. El análisis de riesgos se realizó considerando que los sistemas de control industrial tipo SCADA se caracterizan y diferencian de otros sistemas TIC en: 1) la utilidad, ya que son sistemas que desde el punto de vista funcional están diseñados para trabajar de manera continua, la disponibilidad del servicio prestado es la prioridad absoluta, lo cual hace que tengan un enfoque diferente respecto a la pirámide CIA (Confidentiality, Integrity, Availability, en español Confidencialidad, Integridad, Disponibilidad) ; 2) diseño inicial, los SCADA en su inicio fueron diseñados para trabajar en entornos aislados y eran empleados en plantas con procesos complejos y de gran escala, hoy en día la masificación de la tecnología y la economía de escala los ha puesto al alcance de empresas de diferentes tamaños y han hecho que se encuentren conectados con redes corporativas; 3) Su rápida evolución específica en los últimos años y la necesidad de mantener un servicio continuo han causado que las actualizaciones de sistemas y aplicaciones generalmente no se han realizado con la frecuencia adecuada. El aumento de la cobertura de los SCADA en diferentes industrias sumado a su funcionalidad de controlar algún tipo de proceso o al menos recabar algún tipo de información del proceso en tiempo real los ha convertido en foco de atención y objetivo de posibles ataques cibernéticos con motivaciones variadas, conformando amenazas que no fueron concebidas en sus orígenes dado que fueron concebidos para trabajar en entornos aislados.Una vez identificadas las amenazas se empleará un análisis de riesgos basado en el estudio de árboles de ataque y elaboración de una matriz de riesgos, a partir de los cuales se extraerá información para priorizar y plantear contramedidas. Como caso de análisis se ha empleado la Planta Piloto de Absorción del Laboratorio de Ingeniería Química de la Universidad Nacional de Colombia sede Bogotá, la cual ha sido tratada y mencionada en este proyecto como si fuera una planta industrial, dado que su diseño, arquitectura, equipos y características son completamente equiparables a los de una planta industrial de su tipo, la única diferencia radica en su escala de producción.

The purpose of this project is to develop an explanatory research that identifies the threats and risks to which the control system (SCADA) of an industrial chemical process plant may be exposed, processes that in functional terms are considered critical for the operation of a company's own business, which is why measures must be implemented to safeguard the information and the flow of data, in order to prevent ill-intentioned persons from accessing them for fraudulent purposes or third-party interests , causing inconveniences for the proper functioning of the plant. The risk analysis was carried out considering that SCADA-type industrial control systems are characterized and differentiated from other ICT systems in: 1) utility, since they are systems that are functionally designed to work in a continuous manner; availability of the service provided is the absolute priority, which makes them have a different approach to the CIA pyramid (Confidentiality, Integrity, Availability, in Spanish Confidentiality, Integrity, Availability); 2) initial design, the SCADA at the beginning were designed to work in isolated environments and were used in plants with complex and large scale processes, nowadays the massification of technology and economy of scale has made them available to companies of different sizes and have made them are connected with corporate networks; 3) Its rapid specific evolution in recent years and the need to maintain a continuous service have meant that system and application updates have not generally been carried out with the proper frequency. The increase of the coverage of the SCADA in different industries added to its functionality to control some type of process or at least to gather some type of information of the process in real time has turned them into focus of attention and objective of possible cybernetic attacks with varied motivations, conforming threats that were not conceived in their origins since they were conceived to work in isolated environments. Once the threats have been identified, a risk analysis based on the study of attack trees and the preparation of a risk matrix will be used. It will extract information to prioritize and propose countermeasures. As a case of analysis, the Absorption Pilot Plant of the Chemical Engineering Laboratory of the Universidad Nacional de Colombia - Bogotá has been used, which has been treated and mentioned in this project as if it were an industrial plant, given that its design, architecture, equipment and characteristics are completely comparable to those of an industrial plant of its type, the only difference lies in its scale of production.