Prayukth KV
Un análisis profundo de la nueva política de ciberseguridad de los Ferrocarriles Indios para los sistemas SCADA
Los Ferrocarriles Indios, un componente crítico de la infraestructura de la nación, han lanzado una política de ciberseguridad robusta para salvaguardar sus sistemas de Supervisión, Control y Adquisición de Datos (SCADA). Declarados como Infraestructura de Información Crítica (CII) por la Secretaría del Consejo de Seguridad Nacional, estos sistemas son esenciales para el monitoreo y control de las operaciones ferroviarias.
La nueva política, esbozada en una instrucción técnica emitida por la Organización de Investigación de Diseños y Estándares (RDSO) en febrero de 2025, proporciona un marco comprensivo para asegurar la disponibilidad, integridad y confidencialidad de estos activos vitales.
En la entrada del blog de hoy, hacemos un análisis profundo de las recomendaciones de este documento de política.
Nombre: Política de ciberseguridad para los sistemas SCADA de los Ferrocarriles Indios
Alcance
Esta política es aplicable a todos los sistemas SCADA, sus componentes y la infraestructura de red asociada bajo el control de los Ferrocarriles Indios. Cubre todas las fases del ciclo de vida del sistema, incluyendo diseño, implementación, operación y mantenimiento.
Pilares clave de la política de ciberseguridad de los Ferrocarriles Indios
El documento de política, esencialmente una Instrucción Técnica de la RDSO, proporciona un conjunto comprensivo de recomendaciones para proteger los sistemas SCADA de los Ferrocarriles Indios. Estas no son meras sugerencias, sino directivas obligatorias para asegurar la integridad y seguridad de la Infraestructura de Información Crítica (CII) de la nación. El documento de política describe medidas de ciberseguridad y procedimientos operativos estándar para proteger los sistemas SCADA operados por los Ferrocarriles Indios.
Política y gobernanza
Política de Seguridad Cibernética y Resiliencia: La política requiere la creación de una política formal de Seguridad Cibernética y Resiliencia, que debe estar alineada con las directrices del Consejo Ferroviario, RDSO y NCIIPC. Este documento no es estático; debe ser revisado anualmente por un experto en la materia, y cualquier actualización requiere la aprobación del Consejo Ferroviario. Esto asegura que la política se mantenga actual y responda a las amenazas emergentes.
Estructura Organizativa: La política requiere el nombramiento de un Director de Seguridad de la Información (CISO), quien es responsable de gestionar los riesgos cibernéticos y asegurar el cumplimiento con las reglas de TI. Esto establece una responsabilidad clara. También se exige una división dedicada a la ciberseguridad con personal calificado y un presupuesto suficiente, destacando el compromiso con una postura de seguridad robusta.
Seguridad del sistema y la red
Aislamiento Fuerte de Sistemas OT: Esta es una recomendación crucial. La política requiere un "aislamiento fuerte" completo de la red de Tecnología Operativa (OT) de cualquier sistema de Tecnología de la Información (TI) accesible desde internet. Esto se logra mediante la segmentación de la red utilizando cortafuegos. Esta separación física y lógica tiene como objetivo prevenir el acceso directo desde internet público, un vector primario para ciberataques.
Protocolo Estricto de Transferencia de Datos: Para prevenir la introducción de malware, la política restringe severamente las transferencias de datos del sistema IT a OT. Cualquier transferencia de datos necesaria debe realizarse utilizando dispositivos en la lista blanca y debe escanearse en busca de virus y malware en un sistema independiente. Se deben mantener registros digitales detallados de estas actividades durante al menos seis meses para fines forenses.
Whitelisting: Se ha encargado al CISO la responsabilidad de crear y mantener una lista comprensiva de direcciones IP en la lista blanca para todos los cortafuegos dentro del entorno CII. Este enfoque de "negar por defecto" o privilegio mínimo asegura que solo el tráfico explícitamente permitido pueda entrar o salir de la red.
Adquisiciones y cadena de suministro
Fuente Confiable: Para mitigar el riesgo de ataques a la cadena de suministro, todo el equipo de Tecnología de la Información y las Comunicaciones (ICT) utilizado en la CII debe adquirirse de una lista de "Fuentes Confiables". Esta lista es mantenida por el Consejo Ferroviario y RDSO, asegurando que solo hardware y software evaluados y seguros sean utilizados en sistemas críticos.
Gestión de Riesgos y Respuesta a Incidentes
"Identificar, Proteger, Detectar, Responder y Recuperar" Marco: La política adopta este marco de ciberseguridad bien conocido para gestionar riesgos de manera integral:
Identificar: Todos los activos SCADA críticos han sido identificados.
Proteger: El despliegue de los controles y herramientas necesarios, según lo especificado por RDSO, es un paso obligatorio.
Detectar: Esto implica una monitorización constante a través de revisiones regulares de los registros de cortafuegos y el uso de Sistemas de Detección de Intrusos (IDS) y soluciones de Gestión de Información y Eventos de Seguridad (SIEM).
Responder: La política requiere un equipo de respuesta a incidentes dedicado con un plan documentado para manejar brechas de seguridad de manera efectiva.
Recuperar: Esta etapa final incluye la implementación de marcos de gestión de incidentes, recuperación ante desastres y continuidad del negocio para asegurar una restauración rápida de los servicios después de un incidente.
Estas recomendaciones ofrecen un enfoque de defensa en profundidad y múltiples capas para la ciberseguridad, reconociendo que proteger infraestructura crítica requiere una combinación de gobernanza fuerte, controles técnicos y una estrategia de respuesta proactiva. Además de lo anterior, para fortalecer la política, Shieldworkz recomienda estas medidas adicionales:
Evaluaciones de riesgo cibernético basadas en IEC 62443/TS 50701 deben realizarse para los sistemas OT cada año con las brechas identificadas siendo remediadas mucho antes del siguiente ciclo de evaluación
Los sistemas heredados y/o las joyas de la corona deben protegerse a través de microsegmentación
La estrategia de respuesta a incidentes debe probarse usando simulacros de respuesta a incidentes simulando múltiples escenarios
Los equipos de respuesta a incidentes deben estar respaldados por equipos con capacidades de ciberforense para investigar cada incidente y obtener aprendizajes
Todo el personal que maneje SCADA y aquellos conectados a operaciones SCADA deben ser capacitados en prácticas de seguridad OT
Todos los activos SCADA deben inventariarse de manera continua. Cada activo debe ser identificado y monitoreado para detectar vulnerabilidades, fin de vida y estado de parche
Los roles y responsabilidades para cada función deben ser claramente detallados desde un punto de vista de ciberseguridad
El Sistema de Detección de Intrusos debe tener acceso a inteligencia de amenazas específica para OT
Aprenda cómo su infraestructura ferroviaria puede asegurarse usando IEC 62443.
Obtenga más información sobre nuestra solución NDR para operadores ferroviarios.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
How Iranian threat actors are operating without connectivity
Prayukth K V
As global conflicts escalate, APT playbooks are quietly changing
Prayukth K V
Iranian threat actors return; actually they never left
Prayukth K V
NERC CIP-015-2 Explicado: Ampliación de INSM a EACMS y PACS
Equipo Shieldworkz
Protegiendo la infraestructura crítica de los grupos APT durante eventos geopolíticos
Prayukth K V
Decodificando el silencio estratégico de los grupos cibernéticos iraníes
Equipo Shieldworkz
