¿Como Cumplir Con El Requisito De Seguridad Cibernetica Durante El PHA? Una Propuesta Simple

Actualmente, es una realidad que una violación de la seguridad, física o cibernética, en los Sistemas Automatizados de Control Industrial (SACI) puede tener el mismo tipo de consecuencias sobre el proceso que una falla de un lazo de control, un error operacional o un fallo mecánico.

En la última actualización del estándar IEC 61511:2016 [1] y de ANSI/ISA 61511:2018 [2], se incluyeron una serie de requisitos que buscan identificar y tratar vulnerabilidades de los Sistemas Instrumentados de Seguridad (SIS) y los Sistemas Básicos de Control de Procesos (SBCP), procurando ajustarse a la realidad de la industria de procesos. Específicamente, duarte el PHA, se indica que debe llevarse a cabo una evaluación de riesgos de seguridad para identificar las vulnerabilidades de seguridad del SIS, haciendo referencia a la evaluación de eventos de seguridad física y seguridad cibernética que puedan tener consecuencias de importancia sobre el proceso productivo. Dar cumplimiento a este requisito puede ser difícil, debido a que no existen herramientas tan conocidas como para la identificación de peligros y riesgos del proceso (por ejemplo, HAZOP o What If), aunque se dispone de guías específicas como ISA TR84.00.09:2007 [3] e IEC 62443-2-1:2010 [4] que pueden ayudarnos en la realización de este tipo de análisis.

Durante un PHA, podemos desarrollar (en las mismas sesiones) un análisis de vulnerabilidades del SIS y el BPCS. Tenemos al personal que puede estimar adecuadamente el impacto sobre el proceso y la documentación de ingeniería requerida. Entonces, ¿por qué no hacer una adecuación de nuestras prácticas de trabajo para realizar este análisis?

Una evaluación de la seguridad cibernética sobre los sistemas automatizados debe cubrir (como mínimo) los siguientes aspectos:

• Dispositivos incluidos, por ejemplo, SIS, BPCS o cualquier otro dispositivo conectado al SIS.
• Descripción de las amenazas que podrían ser utilizar las vulnerabilidades y generar un evento: incluidos los ataques intencionales al hardware, los programas de aplicación y el software, así como los eventos no intencionales resultantes de un error humano.
• Descripción de las posibles consecuencias de los eventos de seguridad y la probabilidad de que estos eventos ocurran.
• Requisitos o medidas que ayuden a reducir o eliminar las amenazas.

Así como en el pasado se han ido adecuando nuestras prácticas de trabajo para ampliar el alcance de un HAZOP, incluyendo el análisis de todos los modos de operación del proceso, análisis de procedimientos operacionales, entre otros, es necesario explorar la inclusión del análisis de vulnerabilidades de los Sistemas Automatizados de Control Industrial (IACS).

Este trabajo propone la incorporación del análisis de las vulnerabilidades de seguridad del SIS al PHA, en una forma directa y sencilla, con la intención de identificar los riesgos asociados a cada tipo de activo cibernético, cuando su disponibilidad, integridad o confidencialidad es comprometida.

[1] International Electrotechnical Commission (IEC). IEC 61511 - Functional Safety: Safety Instrumented Systems for the Process Sector. Edition 2.0 2016.

[2] International Society of Automation (ISA). ANSI/ISA 61511-1 - Functional Safety –Safety Instrumented Systems for the Process Industry Sector. 2018

[3] ISA-TR84.00.09-2017 Cybersecurity Related to the Functional Safety Lifecycle

[4] IEC 62443 Security for Industrial Automation and Control Systems (Serie).