La conexión masiva de los últimos años de todo tipo de equipamiento a Internet ha configurado un nuevo mundo digital donde la información, los individuos y las máquinas se comunican entre sí a todos los niveles.
Empezamos esta revolución del ciberespacio con la incorporación masiva de la información, seguimos incorporándonos nosotros, con el fenómeno de las redes sociales, y, en paralelo, estamos incorporando paulatinamente a las máquinas. Poco más nos queda. Estamos todos. Empieza el espectáculo.
A principios de 2012 CISCO estimaba que en el mundo existían 14.000 millones de dispositivos conectados a Internet sobre una población del orden de 7.000 millones de personas y un total de direcciones IP en torno a 4.300 millones. La misma compañía estimaba, según el ritmo de crecimiento previsto, que en 2020 esa cifra llegaría a 50.000 millones. Evidentemente hablamos de todo tipo de dispositivos smartphones, laptops, PLCs, ordenadores, sistemas de control y un largo etcétera.
Ya tenemos aquí esa cibersociedad montada sobre el ciberespacio bautizado por William Gibson en su novela Johnny Mnemonic (1981) y popularizado en su novela de ciencia ficción Neuromante(1984), con miles de millones de “individuos digitales” comunicándose entre sí. Lógicamente necesitamos trabajar para que esa cibersociedad sea cibersegura. Ahora bien, para avanzar en la seguridad de la cibersociedad debemos analizar con detalle la seguridad de las partes que lo componen.
El sector de la seguridad conoce bien los Sistemas de Información Corporativa y trabaja en su seguridad desde hace bastante tiempo. Los Sistemas de Control Industrial son otra cosa. Nuevos sistemas y nuevos escenarios que requieren nuevas soluciones. Es necesario caracterizar el nuevo escenario para diseñar las soluciones que requiere. Una buena forma de hacerlo es compararlo con lo que ya conocemos.
Por este motivo quería centrarme en este post en analizar algunas de las diferencias fundamentales entre dos grandes sistemas con los que tradicionalmente hemos convivido. Uno de ellos es un gran conocido para todos nosotros: Los Sistemas de Información Corporativa (SIC). Quien más y quien menos, directa o indirectamente, se habrá topado con uno de ellos cara a cara. Ya sea en su propio trabajo, en la oficina del banco o con la banca online, en el supermercado cuando la cajera hace la cuenta de lo comprado o en la compañía telefónica cuando se consulta el tiempo de permanencia que nos queda antes de que podamos cambiar de compañía sin coste para nuestro bolsillo. Detrás de todas estas operaciones hay sistemas de información de las compañías en las que trabajamos o nos dan servicio. Tal vez no sea tan evidente la existencia del otro gran tipo de sistemas: Los Sistemas de Control Industrial (SCI) que, aunque muchos de nosotros no nos topemos cara a cara diariamente con ellos, si sentimos su presencia. Hablamos de los sistemas que controlan las líneas de producción, los sistemas que controlan el suministro de bienes esenciales como la luz, el agua o el gas, los sistemas que gestionan la seguridad de locales de pública concurrencia y un largo etcétera.
Ambos llevan mucho tiempo con nosotros. Incluso los Sistemas de Control Industrial, aunque no lo parezca, llevan mucho más tiempo con nosotros que los Sistemas de Información Corporativa. Tal vez no tan sofisticados, y desde luego no tan “conectados”, pero sin duda más antiguos. A pesar de ser más “jóvenes”, los Sistemas de Información Corporativa se incorporaron mucho antes al ciberespacio y, por tanto, llevan ya un largo camino recorrido en lo que tiene que ver con la ciberseguridad.
Aunque son sistemas totalmente diferentes, no solo por su función sino también por su diseño y concepción, hoy por hoy comparten ya en muchos casos las tecnologías y los medios por los que se comunican. En gran medida ambos tipos de sistemas forman parte de la cibersociedad que comentábamos antes, son piezas de lo que llamamos el “Internet de las cosas” (IoT) y están todos en el ciberespacio.
Una de las principales diferencias entre ambos tipos de sistemas es el tipo de profesionales que los gestiona. Por su propia naturaleza, los Sistemas de Información Corporativa están gestionados tradicionalmente por Ingenieros Informáticos e Ingenieros de Telecomunicaciones, mientras que los Sistemas de Control Industrial han estado gestionados por Ingenieros Industriales, de Caminos, Aeronáuticos, Agrónomos, Químicos, etc… Ambos perfiles tienen grandes diferencias en todas sus facetas profesionales. Los primeros nacidos en la era de las TIC. Los segundos formados teniendo a las TIC como un medio y no como un fin y prestándole, años atrás, poca atención a lo que las TIC implicaban para los sistemas que gestionaban. Lenguajes diferentes para describir una misma realidad. Esta diferencia supone, sin duda alguna, un obstáculo a la hora de abordar el problema de la incorporación segura de los Sistemas de Control Industrial al ciberespacio.
Otra gran diferencia la encontramos en el significado del concepto de “tiempo real” en los dos mundos. Me gusta mucho la diferenciación que en algunos textos se hace del “right time” para los Sistemas de Información Corporativa frente al “real time” para los Sistemas de Control Industrial. Creo que este juego de palabras identifica muy bien las necesidades, en este sentido, de cada tipo de sistema.
Es también importante, a la hora de establecer las peculiaridades de cada sistema, contemplar la imposibilidad de apagar y encender un equipo como medida preventiva o correctiva en un Sistema de Control Industrial y, por tanto, la necesidad imperiosa de mantener la disponibilidad de este tipo de sistemas, frente a la necesidad de vigilar la confidencialidad e integridad de la información en los Sistemas de Información Corporativa. Por este motivo en los Sistemas de Información Corporativa se diseña la estrategia de la seguridad para la defensa de la información, mientras que en los Sistemas de Control Industrial se diseña una estrategia de defensa donde el TOP (Target of Protection) es, en este caso, el equipo en sí mismo.
En los Sistemas de Control Industrial la tolerancia a fallos es un parámetro vital de diseño. En los Sistemas de Información Corporativa, en general, se valora, pero puede no ser imprescindible en muchos casos y, desde luego, no siempre es un parámetro de diseño. Otro aspecto en el que se marcan distancias.
En la informática corporativa estamos acostumbrados a que la actualización de las aplicaciones a través de la distribución de parches sea frecuente y, en términos generales, sencilla. En la informática industrial las actualizaciones son complejas y requieren períodos de estudio y planes de contingencia y marcha atrás en el caso de que sea necesaria su aplicación. Esto, en sí mismo, al conectarse los equipos a Internet es un problema que se agrava si pensamos en el hecho que si bien el equipamiento que da servicio a los Sistemas de Información Corporativa se diseña con vidas útiles entre los 3 y los 5 años, el equipamiento que da servicio a los Sistemas de Control Industrial se diseñan para una vida útil entre 15 y 20 años, lo que hace más necesaria, si cabe, su actualización.
Para terminar, creo que es importante analizar el hecho de que hasta hace algunos años los Sistemas de Control Industrial estaban completamente aislados del mundo y no solo porque no estuviesen conectados al ciberespacio sino también porque utilizaban protocolos propietarios. Esta es otra gran diferencia en su origen y concepción. Los Sistemas de Información Corporativos manejan protocolos estándares desde hace mucho tiempo para lo bueno y para lo malo. Los Sistemas de Control Industrial se encuentran actualmente en un punto intermedio. Existen protocolos estándares conviviendo con soluciones propietarias pero conectadas cada vez más al ciberespacio. A este respecto he de decir que la seguridad por oscuridad no es una buena estrategia y que lo que debemos conseguir como sociedad es manejar estándares seguros, no desconocidos.
Aunque las diferencias entre ambos tipos de sistemas son muchas más, hemos contemplado las que en mi opinión resultan más relevantes. El análisis pausado de estas diferencias entre ambos tipos de sistemas nos ha llevado, de hecho, a contemplar la necesidad de crear un Centro de Seguridad con características específicas para abordar la Ciberseguridad de los Sistemas de Control Industrial: el iSOC (Industrial Security Operation Center), manteniendo el tradicional SOC (Security Operation Center) como Centro de Operaciones de Seguridad para Sistemas de Información Corporativa y contemplando, en cada caso, las características principales de los sistemas a los que se orienta.
Cada día se aprende algo nuevo. A pesar de que efectivamente los Sistemas de Control Industrial son muy antiguos. Y a pesar también de que uno pertenece a la generación de la casi olvidada guerra civil española. De ahí mi sincera felicitación a ese grupo de innovadores que no paráis de enviarnos mensajes.