Ciberseguridad en entornos industriales. La hora de despertar

En ocasiones uno tiene que hacer un esfuerzo para compatibilizar sentimientos contradictorios. Este es el caso desde que trabajo en cuestiones de ciberseguridad industrial. He pasado gran parte de mi vida profesional dedicado a trabajar en el diseño y construcción de infraestructuras públicas, especialmente en el ámbito del tratamiento de aguas. En el desempeño de mis labores como ingeniero estuve al cargo del diseño de procesos industriales y sus sistemas de control, tanto las lógicas de funcionamiento como los esquemas eléctricos de fuerza y control, las arquitecturas de las redes de control y sus componentes, etc. En definitiva, los procesos y los sistemas SCADA asociados. Me gustaría creer que hice un buen trabajo.

He vivido la evolución que ha tenido lugar en los últimos años, que se podrían ejemplificar en algo simbólico: la desaparición del sinóptico tradicional con sus lámparas verdes y rojas y sus indicadores analógicos. Recuerdo perfectamente la primera vez que instalamos, en lugar del citado sinóptico, un monitor de plasma de 42”, algo pasmoso en aquel entonces. Ahora, rodeado de informáticos, me siento como si hubiese escogido la famosa pastilla roja de Matrix. Desde esta nueva perspectiva, repaso todos estos años en los que los ingenieros hemos ido adoptando las nuevas ventajas de la tecnología con una fe en el progreso digna de la era Victoriana. No tengo palabras para expresar el estupor que me causa comprobar cómo, en muchos casos, construimos castillos sobre cimientos de arena. Ahora veo la gravedad de la situación reflejada en la gran cantidad de equipos y sistemas de control expuestos a Internet sin las más mínimas medidas de seguridad. Y no son especulaciones. Los he visto. Es terrorífico comprobar que uno tiene en sus manos la capacidad de detener por completo el proceso de producción de una fábrica sin moverse de su silla (caso real). Pero, ¿puede acusarse de cruzar en rojo a quién nunca ha visto un semáforo?

Sin embargo, ha llegado la hora de despertar. La amenaza sobre miles de sistemas es demasiado grave para buscar excusas. A pesar de todo, en la mayoría de los casos, la primera reacción es la negación o la incredulidad. Es fácil de entender ya que los mecanismos de ataque son, en la mayoría de los casos, imposibles de concebir para los responsables de estas instalaciones. ¿Por dónde empezar, entonces? Aquí van algunas ideas para mis compañeros del ámbito industrial. Pueden ser repetidas como un mantra cada mañana para ayudar a tomar conciencia:

1. El riego existe, sí. También para mí.
2. Quizá yo no conciba ninguna razón para que un atacante se fije en nosotros. Pero eso es irrelevante. No importan mis razones, sino sus razones.
3. No importa el tamaño o entidad de mi sistema, y menos en comparación con otros. Si mi sistema es atacado el daño lo sufriré yo al 100%. Mi pequeño tamaño no me protegerá.
4. En estos casos no está de más recordar el chiste de los dos tipos que huyen de un oso. Uno de ellos cambia su calzado para poder huir más rápidamente y el otro le indica que es inútil, ya que no podrá correr más que el animal. La respuesta es evidente: no quiero correr más que el oso, sino más que tú. Nuestro primer objetivo, pues, consiste en no ser el blanco más fácil de la pista de tiro.
5. Formularse preguntas es un buen primer paso. Comenzar por ésta: ¿cuál es el estado actual de mi instalación?
6. Por último, recordar: todos somos responsables, por acción u omisión, en mayor o menor grado, de la ciberseguridad de los sistemas con los que trabajamos.

No esperemos a recibir el primer golpe. En palabras de Bob Marley: ‘Wake up, stand up…


La Asociación Profesional de Peritos Informáticos (ASPEI, www.aspei.es), asociación sin ánimo de lucro cuya actividad se organiza en proyectos de I+D relacionados con la prueba electrónica, el peritaje informático y la informática forense, organizar un Curso de Peritaje Informático e Introducción a la Informática Forenseque tendrá lugar el próximo 14 de diciembre (17h – 21h) y 15 de diciembre (9h – 19h) en Madrid.

Los objetivos del curso es ofrecer los conocimientos mínimos, técnicos, legales y de procedimiento, requeridos para ejercer la profesión de perito informático. Está orientado a informáticos, pero hemos agrupado los temas más generales en el primer día para perfiles como abogados, investigadores privados o similares, que no estén interesados en los aspectos más detallados del segundo día.

Pueden obtener los detalles del programa y el curso a través de este enlace. Plazas limitadas.

Nota: la organización ofrece un descuento de 100 € a los lectores de Security Art Work. Para aprovecharse de éste, los alumnos deberían comunicar, en el momento de solicitar la inscripción, que han conocido el curso a través de este blog.

 

Comments

  1. Pues quizá me apunte, creo que el curso tiene muy pero que muy buena pinta

  2. Yo creo que puedo responder a tu pregunta Oscar. Claro que hiciste un buen trabajo. Tú y tantos otros que, con la mejor de las intenciones, montaron todos esos sistemas de control sobre los que ahora debemos analizar su seguridad.
    Ninguno podíamos imaginar una situación como la que tenemos ahora. Yo creo que era imposible prever el resultado de determinadas acciones, aunque si deberíamos haber tomado ciertas precauciones lógicas.
    Creo que mirar hacia atrás no tiene ningún sentido, sobre todo porque no va a arreglar el problema. Lo que sería intolerable, a la vista de lo que sabemos hoy, es la inacción.

  3. Sergio, hay un descuento de 100 € para los lectores de Security Art Work. Si te apuntas, dí que has conocido el curso a través del blog.