Una visión global de la ciberseguridad de los sistemas de control (I)

(N.d.E. Este artículo fue publicado en el número 106 de la revista SIC, correspondiente a Septiembre de 2013. Sus autores son Óscar Navarro Carrasco, Responsable de ciberseguridad industrial, y Antonio Villalón Huerta, Director de seguridad. Ambos trabajan en S2 Grupo y pueden ser contactados vía onavarro en s2grupo.es y avillalon en s2grupo.es)
La ciberseguridad de los sistemas de control industrial y la protección de infraestructuras críticas se encuentra a caballo entre dos mundos: el de los expertos en seguridad y el de los profesionales de los sistemas industriales. Actualmente la aproximación a este problema se ha realizado exclusivamente desde una perspectiva, la tecnológica, posiblemente por incomparecencia de la otra parte. Sin embargo la aportación de ambas visiones del problema es fundamental para una adecuada protección de nuestras infraestructuras.

Es un hecho que la ciberseguridad de los sistemas de control industrial constituye una de los grandes asuntos del momento. Desde hace algunos años existe una preocupación generalizada acerca de las amenazas que se ciernen sobre estos elementos críticos para el funcionamiento de las sociedades modernas y su capacidad para enfrentarse a ellas. Sin embargo, el progreso es exasperadamente lento y, en términos prácticos, poco parece haberse avanzado. ¿Por qué? ¿Acaso la magnitud del riesgo no justificaría que se adoptasen medidas con la máxima urgencia?

Para descubrir la causa de esta aparente contradicción hay que comenzar por cuestionarse incluso lo que parece evidente. Y para empezar, nada mejor que repasar la primera afirmación de este texto:

¿Es un hecho que la ciberseguridad de los sistemas de control industrial constituye uno de los grandes asuntos del momento? ¿Constituye este asunto una preocupación generalizada?

Pues, lamentablemente, NO, al menos para el conjunto de profesionales que, desde uno u otro lado, trabajan en el ámbito del control industrial o, para acotar más el problema, en el ámbito del control industrial asociado a infraestructuras críticas.

La afirmación sería cierta si acotásemos su ámbito de aplicación al mundo de los expertos en seguridad o, por ser más específicos, en seguridad tecnológica. En el contexto actual de superespecialización es fácil ser víctima del efecto túnel, confundir la parte por el todo. Por ello es necesario levantar la cabeza y mirar alrededor, más allá de los límites de nuestra actividad diaria, de nuestros clientes, compañeros de trabajo, revistas y blogs profesionales.

La mutua invisibilidad entre los dos ámbitos profesionales que confluyen en esta cuestión supone un riesgo al menos igual al de las propias amenazas tecnológicas. Como en tantas cosas, el mensaje es tan importante como los medios empleados para transmitirlo; e ignorar este hecho, independientemente de la razón que se pueda tener, es una receta segura para el desastre.

Los sistemas de control industrial no son diseñados, construidos y explotados por expertos en seguridad TIC. Es más, la participación de ingenieros informáticos es muy limitada y, en muchos casos, por desgracia inexistente. Las decisiones acerca de las especificaciones de diseño de los nuevos sistemas y las modificaciones de los existentes serán adoptadas por profesionales que desarrollan su actividad en el ámbito de la ingeniería industrial, la obra civil y la explotación de infraestructuras. Pongamos un ejemplo: el jefe de una planta de tratamiento de aguas es, en ocasiones, un licenciado en farmacia que ni sabe, ni quiere saber, mucho de seguridad y según él su trabajo será, estemos o no de acuerdo, que la planta funcione.

La pregunta, por tanto, es: “Para los responsables del diseño, construcción y explotación de infraestructuras, ¿constituye la ciberseguridad de los sistemas de control industrial una de sus principales preocupaciones?”

Nuevamente, la respuesta es, lamentablemente, NO.

Expectativas y avance real, práctico y material

Tenemos la impresión de que existe una gran separación entre las expectativas de los expertos en seguridad o, concretando, en seguridad TIC y el grado de avance real, práctico y material en la cuestión. El hecho de que se escriban ríos de tinta, de que se promulgue nueva legislación, se organicen charlas, congresos y similares sirve de poco si todo este esfuerzo se produce únicamente en el ámbito tecnológico, por expertos TIC, apadrinado por entes, agencias y organismos de vocación y formación TIC y dirigido a (o, al menos, asimilado) casi exclusivamente por personal TIC.

foto

En nuestra opinión, la mutua invisibilidad entre los dos ámbitos profesionales que confluyen en esta cuestión supone un riesgo al menos igual al de las propias amenazas tecnológicas. Como en tantas cosas, el mensaje es tan importante como los medios empleados para transmitirlo e ignorar este hecho, independientemente de la razón que se pueda tener, es una receta segura para el desastre. Así pues, ¿a qué se debe esta situación?

Comencemos por el principio. Como es sabido, los sistemas de control industrial eran, en su origen, desarrollos propietarios, cerrados, no estándares, aislados. El cambio de todas estas condiciones es el responsable de la situación actual de inseguridad, y se ha producido, principalmente, por la adopción por el sector industrial de sistemas de propósito general, como Windows o Linux, y de comunicaciones basadas en TCP/IP, principalmente (uno de los aspectos de la famosa convergencia). Ello supone, nadie lo niega, una ganancia en productividad, prestaciones, funcionalidad e interoperabilidad muy importante; ojo, y también un ahorro, también muy importante. Y también constituye la puerta de entrada para los expertos en seguridad tecnológica en un mundo hasta ese momento desconocido para ellos, al igual que para muchos expertos en el ámbito industrial es desconocido el concepto de seguridad. Pero atención: que podamos circular con nuestro coche estándar por carreteras estándar siguiendo un código de circulación común no quiere decir que conozcamos el territorio que atravesamos. Hay algunos hechos que debemos tener en cuenta si no queremos perdernos.

Se ha hablado mucho y no vamos a insistir en la falta de formación en ciberseguridad de los profesionales del ámbito industrial. De concienciación. Sin duda, son aspectos en los que se debe trabajar. Pero hay dos cuestiones en los que no se suele reparar y que son de la mayor importancia: la inercia/conservadurismo y el corporativismo.

En el sector de la gestión del proyecto, construcción y explotación de infraestructuras y sistemas industriales hay una gran renuencia a adoptar cambios. Y es perfectamente comprensible en un área en la que las inversiones se miden en cientos de miles y millones de euros. Los fallos cuestan caros (o, incluso, vidas) y no se pueden resolver con parches. Sólo se adoptan soluciones probadas y las innovaciones se prueban en instalaciones piloto durante un tiempo que puede llegar a medirse en años. ¿Hay algo comparable en el mundo TIC a un transformador de transporte de energía eléctrica, con una vida útil de 30 años? Aunque seguro que existe algún ejemplo, no será la tónica habitual… Esta aversión al riesgo está grabada a fuego en la mentalidad de un ingeniero industrial y una visión realista del problema debe tener en cuenta este hecho.

Por otra parte, no debe desdeñarse la cuestión del corporativismo, clasismo o como le queramos llamar. Tradicionalmente la gestión de infraestructuras ha sido terreno propio de la Administración. En un principio directamente, posteriormente a través de empresas públicas, y sólo recientemente por las empresas resultantes de la privatización de estos servicios. Estas empresas tienden a tener estructuras muy rígidas y jerarquizadas, con ámbitos de responsabilidad (o autoridad, o, directamente, cotos) muy definidos sobre los que existe casi un sentimiento ‘patrimonial’. Por tanto, existe una gradación casi feudal en función del nivel (ingeniero superior, ingeniero técnico, técnico) e incluso de la titulación (ingenieros de caminos, ingenieros industriales, ingenieros informáticos…). En muchas ocasiones, los hechos no son tan importantes como la persona o departamento que se hace cargo de ellos, y la ciberseguridad es uno de estos casos.

foto

Todas estas rigideces se trasladan al propio proceso proyecto-construcción-explotación, el cual se lleva a cabo siguiendo unos usos y relaciones entre las personas y empresas intervinientes tan antiguo y procedimentado que casi lo podríamos denominar ‘ritual’. Lamentablemente, en muchos casos el control del proceso está en manos de personas con gran experiencia en obra civil y muy poca en sistemas de control, cuánto menos en seguridad. Estas últimas, quizá las más próximas a entender los riesgos de la falta de ciberseguridad, son precisamente los más alejados de los foros en los que se adoptan las decisiones en la obra.

Tampoco hemos de perder de vista la forma en que se ejecutan las obras públicas y se produce su paso a explotación. Por lo general, las personas que intervienen en la construcción pierden el contacto con la obra tan pronto ésta termina. Serán sustituidas por otras que se dedicarán a gestionar la explotación y que, normalmente, se enfrentan a su trabajo con un conocimiento limitado de las decisiones que se tomaron durante la construcción y la realidad de las instalaciones ejecutadas (un sistema conectado a Internet durante la obra probablemente quedará configurado por defecto y sin conocimiento de los responsables, durante mucho tiempo). Y no hay que perder de vista, además, que cada participante posee sus propios intereses (la empresa explotadora se centrará en aquellas tareas que tengan repercusión inmediata en la determinación de su remuneración, por ejemplo) razón por la cual decisiones erróneas en fases previas a la explotación quedan ‘fosilizadas’, ya que no es evidente la relación entre el esfuerzo dedicado a labores como éstas y la remuneración percibida (podríamos hablar largo y tendido del coste de la no seguridad). Es la maldición del responsable de mantenimiento, víctima en muchas ocasiones del síndrome de Casandra.

El enfoque actual de la ciberseguridad industrial

En este punto podemos formular una nueva pregunta: ¿tiene en cuenta el enfoque actual de la ciberseguridad industrial este contexto?

(La semana que viene, la segunda parte del artículo y el PDF de la publicación)

Comments

  1. He vivido en mis carnes esa separación entre la tecnología de control de “Produccion o Fabricacion” y la tecnología de “Administración” durante los 42 años de mi carrera. Es una vieja tendencia y hay mucho corporativismo en ambos grupos, pero sobre todo en el primero. La realidad es que como profesional de la Informática y de la Seguridad, nunca me he visto involucrado en proyectos de la tecnoogía de control de la produccion en sí, aunque sí, por supuesto, de sus consecuencias. La fábrica no se toca, solo los proveedores, materias primas,planes de producción y producto terminado, pero los flujos de seguridad, control y operación son de oro mundo.Este es el discurso que permanece. Si además no se va a explotar el produco que se fabrica, la cosa empeora.

    El retrato que haces es exacto Oscar.

  2. Excelente artículo y que además refleja un peligro real y presente, por no decir futuro. Da miedo ponerse a pensar en la cantidad de infraestructura crítica que permanece vulnerable, desde plantas de fabricación de bienes hasta gasoductos, oleoductos, plantas térmicas, nucleares, etc.

    Andando se hace el camino, por lo que me parece que solo se tomará en serio esto cuando las consecuencias empiecen a “justificarlo” para las mentes pensantes. Eso, y una legislación más acorde con los peligros que acechan hoy en día.

  3. Muy interesante el artículo, es muy cierto el hecho de que en la etapa de diseño y aun la de construcción de una instalación industrial no se tiene en cuenta la ciberseguridad. Me desarrollo en el sector de Automatización y Control Industrial de procesos y actualmente estamos en un proceso de implementación del plan de recuperación de desastre de un gaseoducto incluyendo la tecnología de los sistemas de control industrial, puesto que el negocio tiene la figura de TICA (tecnología de la información, comunicación y automatización), sin embargo no hay mucha información donde se haya aplicado DRP en los sistemas de control.

  4. Uno de los mejores artículos que sobre ciberseguridad industrial he leído en los últimos tiempos. Ya lo tenía subrayado en la SIC de Septiembre. Agradezco verlo ahora publicado en Securityartwork.

  5. MUY INTERESANTE,
    EN LA EKO-PARTY (CONFERENCIA DE SEGURIDAD INFORMATICA ARGENTINA) PRESENTARON UNA CHARLA MUY INTERESANTE AL RESPECTO. DEJO LINK PARA MAS INFO:
    “Compromising Industrial Facilities From 40 Miles Away ”

    http://www.ekoparty.org//charlas.php?a=2013&c=magen&m=49

    SALUDOS!!!

  6. Creo que es extremadamente importante que muchos grupos de informática como en particular el de seguridad trabajen de forma paralela con otros que así lo requieren, no entiendo la separación de los mismos en proyectos similares o algunos en los que he trabajado, como siempre “el fallo humano” es el principal desastre en todo

  7. Muy entretenido e instructivo!! a favoritos, saludos!