Zibersegurtasuna

• Telekontrola eta automatizazioa: Ekipoak eta prozesuak urrutitik kontrolatzea eta monitorizatzea.
• Telekomunikazioak: Sare elektrikoan komunikatzeko teknologiak.

• Banaketa elektrikoko enpresa baten arkitektura digital operatiboa diseinatzea: Enpresa baten sare elektrikoan sistema digitalak nola konektatuko diren eta funtzionatuko duten azaltzen duen plan bat sortzea.
• Ohiko sare elektrikoa goi-mailan diseinatzea (Sorkuntza Garraioa Banaketa): Irudikatu elektrizitatea energia-instalazioetan nola sortzen den, linea elektrikoen bidez nola garraiatzen den eta etxeetara eta negozioetara nola iristen den erakusten duen eskema bat.
• Sare elektrikoa aldatzea, sorkuntza banatua eta jatorri berriztagarriko sorkuntza kontuan hartuta: Sare elektrikoa egokitzea energia-iturri berriztagarriak eta banatuak sartzeko, hala nola eguzki-panelak eta turbina eolikoak.
• Sare elektriko horretan behar diren elementu digitalak identifikatzea (kontrol-sistemak, kontrol-zentroak, urruneko kontagailuak, kontagailu adimendunak): Elektrizitate-fluxua kontrolatzen duten sistemak, eragiketak koordinatzen dituzten zentroak, denbora errealean ikuskatzeko urruneko gailuak eta energia-kontsumoa neurtzeko kontagailu adimendunak aukeratzea, eta sareko operadoreei bidaltzea.

• Edukiak:
• Arau nagusiak identifikatzea: NERC CIP, NIST, IEC 62443, IEC 62351, NIS2, CRA…
• IEC 62443.
• IEC 62351.

Horiek guztiak sistema eta azpiegitura garrantzitsuak babesteko diseinatutako arauak eta gidak dira.

• Erronkak:
• Gailu digitaletarako eta sistemetarako segurtasun-baldintzak identifikatzea.

• Edukiak:
• Aktiboen dentifikazioa: Egin instalazio industrial batean erabiltzen diren sentsore, kontrolagailu, makina eta ekipo guztien zerrenda xehea.
• OT inguruneetako arrisku espezifikoak identifikatzea eta aztertzea: Energia-instalazio baten funtzionamendua eten dezaketen eraso edo akats teknikoen arriskua ebaluatzea.
• Sistema industrialetako arriskuak ebaluatzeko metodoak eta tresnak: Aipatutako zeregina egiteko erabiltzen diren tresnei buruz ikastea.

• Erronkak:
• Egin dezatela diseinatu duten arkitekturaren arriskuen analisia, probabilitate-inpaktu matrizea eginez eta elementu kritikoenak identifikatuz: Egin taula bat, izan daitezkeen arazoak zerrendatuz (hala nola ekipoko akatsak edo eraso informatikoak), zenbatetsi arazo bakoitza zein probablea den eta zein larria litzatekeen. Probabilitate-inpaktuaren matrizea, funtsean, zerbait gertatzeko probabilitatea eta larritasuna adierazten dituen taula bat da.

• Edukiak:
• Teknologia operatiboaren (OT) oinarriak eta segurtasun industrialean duten garrantzia: Lantegi batean makinak kontrolatzen dituzten sistemek seguruak izan behar dutela ulertzea, istripurik eta hutsegiterik ez gertatzeko.
• OT inguruneetako zibersegurtasun-erronka eta -arrisku espezifikoak: OT sistemei eragiten dieten segurtasun-arazoak eta -mehatxuak ezagutzea. Azken finean, ez da gauza bera telefono mugikor batek edo fabrika bateko gailu batek behar duen segurtasuna, eta arrisku espezifiko horiek ezagutu behar dira.
• OTrako zibersegurtasun-arkitekturen oinarrizko printzipioak: Jakitea nola antolatu eta babestu kontrol industrialeko sare bat, segurtasun-arriskuak minimizatzeko.

• Erronkak:
• Diseinatu arkitektura "segurua" 1. kapsulan proposatutako banaketa-ingurunerako: Diseinatu segurtasun-neurriak (adibidez, suebakiak, sistemetara zer kanpo-ekintza sar daitezkeen eta zer ez kontrolatzeko iragazkiak) eta sare elektrikoa babesteko baimenik gabeko sartzeak detektatzeko sistemak dituen eskema.

• Edukiak:
• OT sistemen topologia eta osagaiak: Kontrol industrialeko sare bateko gailu guztiak elkarrekin nola konektatzen diren jakitea.
• Sareak segmentatzea eta sistema kritikoak isolatzea: Sistema garrantzitsuenak isolatzea, sarearen gainerako erasoen mende erori ezin direnak, sistema osoa hobeto babesteko.

• Erronkak:
• Konfiguratu eremu desmilitarizatu bat, operazio-informazioa aplikazioekin trukatzeko: Konfigurazio horren bidez, fabrikako sistemak datuak truka ditzake kanpoko aplikazioekin edo gailuekin, erabat sartu gabe eta sistema seguru mantenduz.

• Edukiak:
• OT sistemetako autentifikazioa eta baimena + Sarbideen kontrola eta identitateen kudeaketa ingurune industrialetan: Sistemekin lan egingo duten erabiltzaileen identitatea nola egiaztatu eta baimen egokiak ematen ikastea, bakoitzak behar duena bakarrik eskura dezan eta segurtasun-arazoak saihets ditzan. Jendearen pasaportea egiaztatzea bezala litzateke, jakiteko herrialdera sar daitezkeen edo ez.
• Least privilege printzipioak eta OT sistemetako pribilegioen kudeaketa: Erabiltzaileei ahalik eta baimen gutxien ematea litzateke, eta, hortik aurrera, baimen gehiago ematea, benetan behar badituzte, baina sobera ez dutela ziurtatuz.

• Erronkak:
• LDAP bidezko praktikaren bat: LDAP bat da jendeak gailuetako fitxategietara edo aplikazioetara duen sarbidea kontrolatzeko modu bat. Institutuek ordenagailuekin egiten duten kontrolaren antzera funtzionatuko luke; zuk zure ikasle erabiltzailea eta pasahitza sartzen dituzu, eta ikasleentzako gauzak bakarrik ikus ditzakezu, baina irakasleenak sartzen badituzu, gehiago ikus ditzakezu.

• Edukiak:
• Komunikazioen zifratzea: Enkriptatze-teknikak erabiltzea, sarean dabiltzan datuak baimenik ez duten pertsonek irakurri ezin dituztela ziurtatzeko. Informazioa transmititzeko kode sekretu bat erabiltzea bezala izango litzateke, horrela informazio hori ikusten duen jendeak ezin izango du ulertu.
• Ziurtagiriak erabiltzea: Esan dezagun erakunde batek sinatutako NAN moduko bat dela, beste erabiltzaile batzuekin komunikatzen zarenean erabil dezazun eta inoren identitatea ordezkatzen ari ez zarela ziurtatzeko.
• Gailuen babesa, bastioia, adabakia, end point protection: Softwarea eguneratzea edo erasoak saihesteko babes-tresnak erabiltzea bezalako neurriak hartzean datza. Mugikorraren bertsioa eguneratzearen antzekoa eta ordenagailuan antibirusa jartzearen antzekoa, baina modu profesionalagoan.

• Erronkak:
• PKI arkitekturaren diseinua ekipoen firmwarerako: Sistemak konfiguratu behar dira, sistemek erabiltzen dituzten programak eguneratzean seguruak bakarrik eskura ez daitezen. Funtsean, WhatsAppen eguneratzeak App Storetik deskargatzen direla egiaztatzea litzateke, Interneteko birusak sartzen dituen random orrialde batetik deskargatu beharrean.

• Edukiak:
• Mehatxuak eta gertaerak denbora errealean monitorizatzea OT sistemetan: Tresnak erabiltzea operadoreak ohartarazteko baimenik gabeko sarbide-saiakerak edo sarean ohiz kanpoko jarduerak daudela.
• Ingurune industrialetan baimenik gabeko sartzeak detektatzeko metodoak: Sarean gertatzen den guztia aztertzen duten eta jarduera susmagarriak bilatzen dituzten baimenik gabeko sartzeak detektatzeko sistemekin lan egitea.
• OTrako gorabehera espezifikoei erantzuteko estrategiak: Plan bat izatea erasoren bat gertatuz gero nola erreakzionatu eta kaltetutako sistemak lehenbailehen isolatzeko.

• Erronkak:
• Baimenik gabe sartzeko saiakerak detektatzeko praktika: Eraso bat simulatzea eta eskura dauden tresnak erabiltzea hura detektatzeko eta sistemetan izan dezakeen eragina murrizteko.

• Edukiak:
• OT inguruneetako komunikazio-protokoloak eta haien ahuleziak: Datuak gailu industrialen artean nola transmititzen diren aztertzea eta erasotzaileek aprobetxa ditzaketen ahuleziak ezagutzea.
• Kontrol industrialeko sistemei aplikatu beharreko segurtasun-estandarrak: Kontrol industrialeko sistemak nola babestu zehazten duten nazioarteko estandarrak aplikatzea. Azken finean, badaude mehatxu posibleei aurre egiteko modu zehatzak eta horiek ezagutzea komeni da.
• Kriptografia eta sinadura digitalak OT inguruneetan: Datuak zifratzen dira eta beste mekanismo batzuk erabiltzen dira datuen osotasuna eta benetakotasuna mantentzen dela ziurtatzeko.

• Erronkak:
• Wireshark aplikazioarekin erlazionatutako zerbait egiten dugu tramak aztertzeko: Wireshark sarean gertatzen den guztia ikusteko balio duen aplikazio bat da. Adibidez, Interneten zerbait bilatzen baduzu edo zerbait deskargatzen baduzu edo sarean beste edozein konexio edo jarduera badago, aztertu egin daiteke. Funtsean, sarean gertatzen den guztia ikustea litzateke.

• Edukiak:
• CVE: Hirugarrenen programak/liburutegiak zer kasutan konprometitu diren jakitea eta kasu horietan arazoak nola saihestu daitezkeen ulertzea. Pilotuak iraganeko istripuak aztertzen ari direnean bezala, pixka bat.

• Erronkak:
• Arkitektura mistoko proposamena, hirugarrenen moduluak erabiliz: Osagai propioak eta kanpoko liburutegiak konbinatzen dituen egitura bat diseinatzea.
• Arriskuak identifikatzea eta seguru isolatzea: Ziurtatu goian aipatutakoa segurua dela. Azken finean, lan bat egiten ari bazara eta lagun bati eskatzen badiozu zati bat eginda pasatzeko eta kopiatzeko, ziur egon behar duzu lagunak egindakoa ondo dagoela, bestela ezin duzu pentsatu.
• liburutegien definizioa AA moduluan azaltzen da

• Edukiak:
• Diseinu seguruaren printzipioak.
• Software seguruaren arkitektura.
• Sistemen diseinuko segurtasun-eredu nagusiak.
• Oro har, sistema bat kontuan hartuta programatu ahal izateko oinarria dela esan liteke, gehitu beharreko segurtasuna egiten den bitartean. Makina bat programatu eta gero segurtasuna izan dezan gehigarriak gehitu beharrean, ideia da oinarritik jada pentsatzea nola egin, segurua izan dadin.

• Erronkak:
• Datu-erregistratzaile baten (edo beste elementu baten) blokeen diseinua egitea, barneko zerbitzari batera igotzeko (62443 arauaren 4-1 atalean oinarritua): Datu-erregistratzaile bat diseinatzea litzateke (adibidez, eguzki-panel baten kW/h-ko neurgailu bat), araudi jakin batean oinarrituta datuak barneko zerbitzari batean gordetzea lortzeko, datuen segurtasunari eutsiz.

• Edukiak:
• Kodetze seguruko praktikak: ahulezia ezagunak (adibidez, SQL injekzioa) saihesteko kodeak idazteko teknikak ikastea. Zenbait eraso-mota oso ohikoak dira, eta horiei aurre nola egin aztertzen da atal honetan; adibidez, mediku batek katarroa, gripea... kasu arruntenetan zer sendagai errezetatu behar diren ikastea.
• Autentifikazioaren eta baimenaren kudeaketa. Erabiltzaileen identitatea egiaztatzeko eta baimenak kudeatzeko sistemak sortu ahal izatea.
• Garapenari aplikatutako kriptografia: datuak enkriptatu eta aplikazioetan edo sistemetan modu seguruan mantentzeko aukera ematen duten kodeak edo liburutegiak inplementatzea.

• Erronkak:
• Identifikatu kodifikazio seguruko jardunbide onenak (OWASPen laburpena): OWASPen aipatutako jardunbide onenen laburpen bat egingo litzateke. OWASP aplikazio seguruen garapenarekin lotutako hainbat baliabide eskaintzen dituen mundu-erakundea da.

• Edukiak:
• Segurtasun-proben teknikak: Segurtasun-arazoei aurre egiteko edo, besterik gabe, sistemak kontrolatzeko dauden teknikak ikastea.
• Segurtasun-proben automatizazioa: Goian aipatutakoa automatikoki sistemak berrikusteaz edo seguru mantentzeaz arduratzen diren programen bidez egin ahal izatea.
• Kodearen analisi estatikoa eta dinamikoa: Analisi estatikoa programen kodea diren bezala aztertzea da. Dinamikoa exekutatzen ari den bitartean aztertzea litzateke. Funtsean, kapota ireki, eta autoak matxura bat duen begiratu, edo motorra abiarazi, olioa nondik galtzen duen ikusteko.

• Erronkak:
• Praktika CPPCheck-ekin: CPPCheck kodeak aztertzen dituen tresna bat da, akatsak edo ahuleziak aurkitzeko eta garatzaileek horiek zuzen ditzaten.
• Zuzendu garatutako moduluaren erroreak: CPPCheck bidez analisia egin ondoren, identifikatutako erroreak zuzendu egingo dira.

• Erronkak:
• Oinarrizko pentesta Kali / nessus esentials-ekin: Sarea/segurtasuna kontrolatzeko sistema eragile bat (Kali) eta nessus tresna erabiliz, oinarrizko pentest (penetration test) bat egingo litzateke, sistemak izan ditzakeen ahultasunak bilatzeko. Pentesta egiten duen programak sistemarekiko mota guztietako erasoak probatzen ditu, eta ikusten du zeintzuk diren arrakastatsuak eta zeintzuk ez.

• Edukiak:
• Jardunbide egokiak software segurua garatzeko eta mantentzeko: Softwarearen garapen-fase guztietan (programak) segurtasuna bermatzen duten prozedurak erabiltzea.
• Etika eta erantzukizuna segurtasun informatikoan: Profesionalek erabakiak hartzerakoan jarraitu behar dituzten printzipio eta estandar moralak aztertzen dira. Printzipio horiei esker, profesionalek hartzen dituzten ekintzak legezkoak eta gizartearen intereserako izango direla ziurtatzen da. Segurtasun-profesional batek ziurtatu behar du bezeroen datu pertsonalak ez direla zabaltzen, eta erantzukizuna bere gain hartu behar du sistema bat arriskuan jartzen bada.

• Edukiak:
• Arau-eskakizunak sartzea OT segurtasun-estrategietan: Legeek eta erregulazioek sistema eragile industrialen segurtasunari nola eragiten dioten eta segurtasun-estrategietan nola txertatu ikastea.

• Erronkak:
• Gobernantza proposamena: rolak eta baimenak diseinatzean datza, enpresako langile taldean arduradun bat esleitzeaz gain, horrela sistemen segurtasuna mantendu ahal izateko.
• Aseguru-plan bat garatzea: OT sistemek arauak eta erregulazioak betetzen dituztela ziurtatzen duen plan zehatz bat lantzea. Zenbait segurtasun-arau ez dira betetzen enpresaren onerako bakarrik, baita kontsumitzaileen onerako ere, eta, beraz, gutxieneko segurtasun-neurri batzuk bete behar dira.

• Edukiak:
• OTrako segurtasun-politika espezifikoak garatzea eta ezartzea: Hainbat politika definitzen lan egitea, hala nola sarbide-kontrola (baimenak kudeatzeko), pasahitzak kudeatzea (pasahitz seguruak mantentzeko), sistemak eguneratzea (aldian behin berrikusteko)...

• Edukiak:
• OT inguruneetako gorabehera zibernetikoei erantzuteko estrategiak: gerta daitezkeen segurtasun-gorabeherei azkar eta eraginkortasunez erantzuten ikastea.
• Sistema industrialetarako negozioaren jarraitutasuna planifikatzea: sistema industrialak ahalik eta ondoen funtziona dezaten planifikatzea, eraso bat jasotzean edo jaso ondoren. Eraso bat jaso arren, enpresaren funtzionamenduari eusten saiatzea.
• Hondamendien aurrean berreskuratzeko neurriak ezartzea teknologia operatiboan. Gorabeheran galdu den guztia berreskuratzeko sistemak diseinatzea, segurtasun-kopien bidez, adibidez.

• Erronkak:
• Gorabeherei erantzuteko plan bat garatzea: Edukian landutakoa praktikan jartzea.

• Edukiak:
• Negozioaren jarraitutasuna planifikatzea OT sistemetarako: Planak sortzea OT sistemek etenaldietan lan egiten jarraitu ahal izatea bermatzeko.
• Industria-inguruneetako hondamendien aurrean leheneratzeko estrategiak: Hondamendi naturalek eragiten dietenean sistemak azkar berreskuratzeko prozedurak ezartzea.
• Eragiketa kritikoen mantentze-lanak eta segurtasuna: Sistema/eragiketa garrantzitsuenen segurtasuna bermatzea eta kontrolpean izatea.

• Erronkak:
• Berreskuratze-plana garatzea: plan bat garatuko litzateke, eta, bertan, sistemak leheneratuko lirateke hauen bidez: segurtasun-kopiak, datuen osotasuna egiaztatzea eta eragiketak modu seguruan berrabiaraztea.

• Azpiestazioaren aurkako “red team blue team” ariketa. Proba-ingurune batean lan eginez gero, azpiestazioko IED baten ordezkatze maltzurra simulatuko da. Azpiestazioa eraso-mota bat da, erasotzaileak sistema kontrolatzen du eta ekipoetan kalteak eragiteko edo argi-etenak eta itzalaldiak egiteko aginduak eman ditzake.