El reto de la Ciberseguridad Industrial

En los últimos años estamos asistiendo a un cambio vertiginoso y radical en el Mapa de Riesgos que afectan a los sistemas de control industrial (ICS).

Tradicionalmente este tipo de sistemas han estado aislados físicamente y desarrollados con sistemas y protocolos específicos pero, en aras de la eficiencia y la flexibilidad, se han integrado con los sistemas estándar de las tecnologías de la información y comunicaciones, con la particularidad de que un fallo en su funcionamiento puede causar la destrucción de equipamiento de costes elevados, la interrupción de operaciones críticas a todos los niveles, un gran impacto económico, una pérdida importante de confianza e incluso la pérdida de vidas humanas.

Los ICS (Sistemas de Control Industrial, por sus siglas en inglés: Industrial Control Systems) en general, encargados de controlar líneas de producción, sistemas de protección contra incendios, arranque y parada de grupos electrógenos, etc, o los distintos tipos en particular: PLCs (Programable Logic Controllers), SCADAS (Supervisory Control and Data Aquisition), RTE (Real Time Embedded Systems), RTU (Remote Terminal Unit), etc., integrados en el mundo TI aprovechan, por tanto, las grandes ventajas de esta tecnología, pero están expuestos a un mundo lleno de nuevas amenazas.

Nos encontramos con un problema añadido al abordar la seguridad de este tipo de sistemas. La convergencia entre los Sistemas de Información Corporativa y los Sistemas de Control Industrial nos ha trasladado a un mundo en el que máquinas, personas e información están interconectados entre sí intercambiando datos, órdenes de control o información a todos los niveles. Mientras los Sistemas de Información Corporativa han estado habitualmente gestionados por profesionales del mundo TIC, los Sistemas de Control Industrial han estado gestionados por otros colectivos como el de los Ingenieros Industriales que, en líneas generales, se ha mantenido alejado y distante del mundo digital y, sobre todo, de sus amenazas. Este es uno de los grandes obstáculos que tenemos que salvar: la incredulidad de los profesionales que gestionan y manejan este tipo de sistemas de control ante la posibilidad de sufrir un “Ciberataque” que afecte al normal funcionamiento de los Sistemas de Control Industrial. Por decirlo de otra manera, una gran mayoría de estos profesionales, directamente, no creen que este tipo de incidentes, ya sea de una forma fortuita o deliberada, puedan producirse y aún en el caso en el que puedan producirse, la inmensa mayoría está convencida de que el impacto sobre el funcionamiento de sus sistemas industriales sería mínimo. Esta creencia representa, en si misma, un problema muy serio para las empresas en particular y para la sociedad en general cuando los sistemas de control industrial son los responsables de velar por el buen funcionamiento de lo que conocemos por Infraestructuras Críticas Nacionales.

Todos los países desarrollados se han puesto manos a la obra a marchas forzadas con declaraciones, normativas, leyes, guías de buenas prácticas y todo tipo de documentos que, entre otras muchas cosas, coinciden en la necesidad de conseguir, a toda costa, una cultura de la ciberseguridad apropiada a las amenazas a las que nos enfrentamos como sociedad.

Así, por ejemplo, la Unión Europea ha publicado, en febrero de 2013, su “Estrategia de Ciberseguridad de la Unión Europea” donde afirma que “Los incidentes de ciberseguridad, tanto deliberados como accidentales, están incrementándose a un ritmo alarmante y podrían llegar a perturbar el suministro de servicios que damos por descontados como el agua, la asistencia sanitaria, la electricidad o los servicios móviles”.

Hasta la fecha la oscuridad con la que se han tratado este tipo de incidentes no ha ayudado mucho a que determinado tipo de colectivos aprendan de los problemas ajenos y de hecho, uno de los aspectos en los que están incidiendo las estrategias de ciberseguridad que se están diseñando por parte de los estados es la obligatoriedad de informar, a los órganos competentes en la materia, sobre los incidentes de seguridad, con el fin de poder compartir información entre organizaciones que ayude a evitar que el mismo tipo de amenaza pueda materializarse sobre más de un objetivo. Cuando nos paramos a leer con detenimiento los sumarios ejecutivos o las exposiciones de motivos de todas estas normas, directivas, leyes o documentos de todo tipo se da cuenta de la dimensión del problema al que nos estamos enfrentando. Según el Foro Económico Mundial hay un 10% de probabilidad de que se interrumpan sistemas críticos en los próximos 10 años con daños por valor de más de 250.000 millones de $. Una afirmación parecida la recoge Gartner en sus predicciones para los próximos años. Symantec valora las pérdidas mundiales anuales por ciberdelincuencia en 300.000 millones de $. En una consulta pública en Europa casi el 57% de los encuestados declara haber sufrido durante el año pasado incidentes de seguridad con un impacto significativo en sus actividades.

La motivación por la que se produce este tipo de ciberataques es múltiple y variada según los expertos. Desde el simple despecho de empleados insatisfechos al espionaje industrial, pasando por el hacktivismo, el ciberterrorismo, el ciberterrorismo de estado, los accidentes o el puro hacking perpetrado por mafias con intereses claramente económicos.

Esto no parece suficiente. Nuestra percepción, como expertos en la materia, es francamente negativa. El grado de desconocimiento en nuestra sociedad es alarmante. Se recoge en las encuestas. Según el eurobarómetro de 2012 el 71% de los españoles reconoce estar mal informado de los riesgos relacionados con la ciberseguridad, frente al 58% de los europeos. Si en los casos de ciberdelincuencia en general la situación es alarmante, en el caso de los sistemas de control industrial en particular, y por tanto de la ciberseguridad industrial, nuestra percepción es que la situación es mucho más grave. En términos generales no se percibe el riesgo. Se percibe como un vector de desarrollo de negocio para las empresas consultoras especializadas en seguridad. Evidentemente eso es cierto, es una oportunidad de desarrollo de una carrera profesional para todos los expertos en seguridad, pero tan cierto como esto es que las ciberamenazas sobre nuestra sociedad existen y si no actuamos pagaremos las consecuencias.

La estrategia de ciberseguridad europea acaba con un “Ha llegado el momento de actuar”. Leon Panetta, Secretario de Defensa de los EEUU ha llegado a decir que “el próximo Pearl Harbor podría consistir en un ciberataque que hiciera descarrilar trenes de pasajeros o cargados con sustancias químicas letales”. Sin llegar a analizar estos extremos, desde estas líneas queremos hacer un llamamiento a la acción, una petición para que se aplique el sentido común y se revise la seguridad de todos y cada uno de los sistemas conectados de una u otra forma a la red, ya sea porque gestionamos una infraestructura importante, ya sea porque queremos proteger nuestros secretos industriales, ya sea porque no queremos que nos roben o que la competencia se entere de nuestra estrategia comercial. Sea por el motivo que sea hagan ustedes que sus equipos técnicos, informáticos o no, revisen la seguridad digital de sus sistemas. Construyamos entre todos una sociedad segura protegiendo no solo la sociedad física tradicional, sino también, la sociedad digital en la que vivimos desde hace ya años.

Comments

  1. «…desde estas líneas queremos hacer un llamamiento a la acción, una petición para que se aplique el sentido común y se revise la seguridad de todos y cada uno de los sistemas conectados de una u otra forma a la red…»

    Efectivamente. A cualquier red, incluidas redes internas, incluso si son propias de los ICS. E incluso si no hay conexión a una red en absoluto. La simple posibilidad de poderse conectar a otro dispositivo, aunque sea con fines de mantenimiento, es suficiente.

  2. Espero que se empiece a tomar conciencia de los riesgos de tener los sistemas de automatización industrial expuestos, actualmente es asombroso la cantidad de sistemas que hay por ahí de cualquier forma.

    Os invito a leer un par de artículos que Chema Alonso me dejó publicar en su blog.

    http://www.elladodelmal.com/2013/08/tu-industria-en-mis-manos.html

    http://www.elladodelmal.com/2013/10/captura-de-claves-en-plcs-industriales.html

  3. Me ha complacido ver que se están encendiendo las alarmas detectando la necesidad de tener muy en cuenta la Seguridad en los Sistemas de Control Industrial de los que dependemos todos.
    La mayoría de estos Sistemas han sido desarrollados por cada uno de los profesionales expertos en la tecnología que utilizan y controlan esos sistemas, pero al verse en la necesidad de interconectarlos con los Sistemas de Gestión del Negocio, han podido comprobar en sus propias carnes, que aquellos no se habían diseñado teniendo en cuenta que pueden ser vulnerables a ataques externos, y que necesitan tener las correspondientes capas de defensa pasiva y de recuperación ante posibles ataques.
    Seguro que no nos atreveríamos, ni nos dejarían, meternos en un quirófano sin que antes, los expertos (los médicos y el personal sanitario) nos proporcionen el material de protección que ya llevan estudiando y experimentando desde hace mucho tiempo, y que han comprobado que tienen un grado de eficacia suficiente.
    De igual forma deberíamos hacer que los expertos en los aspectos de seguridad de los Sistemas de Gestión del Negocio, estudiaran e implementaran, previamente a su interconexión, las capas de seguridad que pueden necesitar los ICS, y mucho más si son infraestructuras críticas que, aportando su experiencia adquirida tras múltiples tropiezos y lecciones aprendidas, puedan garantizar un grado de protección suficiente, y nos eviten que otros tengan que pasar por los caminos ya transitados, con el gran riesgo y coste que esto puede suponer en éstos sistemas.
    Utilicemos su experiencia.

  4. Muy apropiado este artículo y bien enfocado.

    Tan solo añadir que muchas veces los ciberdelincuentes no persiguen «sabotear» o dar un mensaje, en exclusiva. También está el impacto económico a corto y largo plazo que las APTs dedicadas al espionaje industrial pueden producir, originando pérdidas igualmente millonarias y, quizá, copiando diseños armamentísticos avanzados u otro tipo de cosas peligrosas…»the limit is the Sky» que dirían por ahí.

    Saludos.