Ciberincidentes. ¿Por qué hacemos oídos sordos a palabras que NO son necias?

Desde este foro llevamos mucho tiempo hablando de las amenazas que se ciernen sobre distintos tipos de infraestructuras en nuestro país (véase por ejemplo los informes sobre infraestructuras críticas de nuestro sitio web o los numerosos posts que en nuestro blog se refieren a este asunto) y aún nos encontramos con responsables de la gestión de esas infraestructuras que ponen “cara de póker” cuando les cuentas alguna “batallita”, según ellos, sobre las posibilidades de sufrir un incidente digital o un ciberincidente. La verdad es que, aunque se lo cuentas basándote en hechos reales acaecidos hace semanas o meses en distintos lugares del planeta, siempre encuentras esa mirada escéptica del que se ha leído la trilogía de Millenium, del fallecido Stieg Larsson, protagonizada por Lisbeth Salander, y te mira pensando que este tío se está quedando conmigo. Por una parte es cierto que esta actividad es una buena parte de nuestro negocio y que, precisamente por ello, en mi modesta opinión, sabemos mucho en nuestra empresa de Explotación y Seguridad de procesos de misión crítica, pero esto no justificaría en ningún caso que nos dedicásemos a hacer apología de los ciberincidentes. También es cierto, por otra parte, que, como ciudadano, tengo derecho a veces a estar un poco indignado por la falta de profesionalidad que, en este sentido, pueden tener ciertas personas que, evidentemente, siempre por desconocimiento o incredulidad y nunca por mala fe, ponen en riesgo la “felicidad”, o la tranquilidad, e incluso la vida, de muchos ciudadanos.

Uso mucho un ejemplo para escenificar el nivel de la amenaza del que estamos hablando. Intento no poner un ejemplo sobre una infraestructura crítica, ya que las consecuencias en estos casos son evidentes y parece que estés jugando con la alarma, que el simple nombre de una central nuclear o una central eléctrica, crea en los lectores. Me voy a algo mucho más cotidiano, por tanto mucho más probable y con un riesgo también considerable. Imagínense ustedes una gran actuación en alguno de los palacios de la ópera que hay distribuidos por España, e imagínense ustedes una actuación magistral en su punto culminante de una opera famosa. Un palacio lleno, con muchas autoridades y sus equipos de seguridad. Evidentemente las instalaciones son impecables (no cabe pensar otra cosa en nuestro país) y por tanto disponen de los sistemas de control más sofisticados y modernos que existen hasta tal punto que el SCADA (Sistema de control industrial) de turno se puede manejar desde cualquier punto de la red interna o externa y por tanto permite su operación al responsable de mantenimiento, para que todo vaya como la seda, incluso desde su casa. El sistema es accesible para el responsable de mantenimiento, pero también, si la seguridad del sistema no se cuida y vigila convenientemente, para otro tipo de personas que, con los conocimientos adecuados, pueden acceder al mismo. Pregúntese qué pasaría si simplemente ese ”fulano” con malas intenciones disparase el sistema de extinción de incendios porque hay un supuesto fuego que en realidad ni existe. Luces apagadas. Caos. Personas corriendo en todas direcciones. Los equipos de seguridad de las autoridades queriendo sacar a sus protegidos. Carreras. ¿Heridos? ¿Muertos? Familiares. Indignación. ¡¡No hubo incendio!!, pero si un follón espectacular y quién sabe si algo más.

¿Por qué no conseguimos que los responsables de las infraestructuras sean conscientes de los peligros reales que estamos corriendo? Las personas que trabajamos en el mundo de la tecnología creo que sí que estamos concienciados, aunque muchas veces tampoco podemos o queremos tomar cartas en el asunto seriamente, pero ¿que pasa con otros colectivos profesionales: ingenieros industriales (como yo), de caminos, aeroespaciales, arquitectos, navales, etc. que tienen entre sus responsabilidades la gestión de “infraestructuras importantes” como las del ejemplo y a veces incluso de infraestructuras críticas?

Les invito a que lean el artículo que el Presidente de los Estados Unidos, Barack Obama, escribió el 20 de julio en el Wall Street Journal, “Taking the Cyberattack Threat Seriously” en el que hizo una reflexión sobre la posibilidad real de recibir ciberataques de grandes dimensiones en los EEUU y en el que se refirió públicamente y personalmente a las simulaciones de ataques que se estaban realizando y a los ciberataques, sin consecuencias importantes, que había recibido su País recientemente con una intrusión en la red de empresas que operan los gaseoductos o la publicación de fotos de los controles internos de una planta de agua. No es una novela, ni el protagonista es un ser de ficción como el caso de Listbeth Salander. Es la vida real, son incidentes reales en los que se habla sin tapujos sobre posibilidades que pueden incluso superar la imaginación de Steig Larsson.

¿Qué podemos hacer nosotros para que este grupo de profesionales, con tan alta responsabilidad, tome conciencia de la magnitud de este asunto? ¿Por qué, a pesar de que se publican leyes como la Ley de Infraestructuras Críticas basadas en directivas europeas, hay organizaciones o personas que no le prestan la importancia que se merecen?¿Tendremos que esperar a sufrir un episodio de estas características para que la sociedad se lo tome en serio?

Espero que no.

Comments

  1. En youtube hay algunos videos de Obama sobre estos temas. Por ejemplo, este: http://www.youtube.com/watch?v=YRAGMX6bhpw

    Resumido (pongamos a 3 minutos) y con subtitulos, puede ser una buena herramienta para enseñar a la dirección, tal y como me demostró en su momento un compañero de trabajo.

  2. Buenos días José.

    Me has hecho recordar la mítica película Juegos de Guerra del 83 (http://www.filmaffinity.com/es/film553168.html).

    Creo que no nos tomaremos el cibercrimen enserio hasta que ocurra algo como en la pelicula, porque creo que estamos hablando de un nuevo tipo de terrorismo y no olvidemos que cada vez nuestra sociedad se basa más en las comunicaciones e “internet”.

    Muy triste el asunto, sobretodo para la gente que sabe lo que puede llegar a ocurrir.

    Gracias por el articulo

  3. Qué paranoico eres. ¿Quién va a querer hacer una cosa así? Si vivimos en el mundo de Yupi ;)

    Gran trabajo el que haces, aunque muchas veces sea como hablar en el desierto.