Algunas conclusiones del #CyberCamp (II)

Como todos a estas alturas ya sabemos, del 5 al 7 del pasado diciembre, el Instituto Nacional de Ciberseguridad (INCIBE) organizó la primera edición de Cybercamp, un congreso de ciberseguridad orientado a todo tipo de público: desde expertos en seguridad informática hasta familias con niños pequeños. Junto con algunos compañeros de S2 Grupo, tuve la oportunidad de participar y tratar de compartir con personas con perfiles muy dispares nuestra visión e inquietudes sobre ciberseguridad industrial.

Para poder concienciar de la importancia que tiene la ciberseguridad en el ámbito industrial, trasladamos parte de nuestro laboratorio para ponerlo a disposición del público de Cybercamp y enseñar, en la práctica, cuáles podrían ser las consecuencias de ataques a una infraestructura real.

Los módulos allí expuestos muestran diferentes tipos de infraestructuras de una ciudad: generación y transporte de energía eléctrica o abastecimiento de agua potable, entre otras. Dichas infraestructuras, representadas en miniatura en una maqueta, son controladas por un sistema de control industrial, igual que el que se puede encontrar en instalaciones reales. En las sesiones que realizamos, se lanzan ataques que muestran distintas vulnerabilidades de dichos sistemas de control.

Entre el variado público que asistió durante esos días, tuvimos la suerte de contar con personas que trabajan en el mundo industrial. Me llamó la atención ver cómo estos profesionales se encontraban en fases distintas de lo que podríamos denominar “duelo de ciberseguridad”:

Shock, negación: “lo que estáis contando aquí no aplica en el lugar donde yo trabajo. Mis sistemas son seguros y están completamente aislados. Estos fallos no son generalizados, son errores personales de técnicos poco preparados.”

La incredulidad hecha persona. Prevalece la falsa creencia en los sistemas “aislados” y la “seguridad por oscuridad”, conceptos superados desde hace años en el mundo TI pero todavía presentes en el entorno industrial.

Culpa, ira: “¡cómo he podido creer ciegamente en la seguridad de estos sistemas!, ¡he sido un incauto!, ¡alguien debería haberme avisado de que lo que llevo años utilizando/montando/programando no era robusto a nivel lógico!”

El individuo en cuestión es capaz de extrapolar los ejemplos que ha visto en nuestro laboratorio al lugar donde trabaja y le invade una sensación de desasosiego y preocupación.

Aceptación: “lo que estoy escuchando lo sospechaba desde hace tiempo. La dirección de mi empresa debería ponerse manos a la obra para tratar de encontrar métodos que nos protejan frente a esta situación. Si alguien consiguiera acceder al sistema de control de la infraestructura en la que trabajo nos encontraríamos con un problema muy grave.”

Es el paso necesario para empezar a poner soluciones. Sin trabajadores conscientes del papel que ellos mismos desempeñan en la ciberseguridad de la empresa es prácticamente imposible poner en marcha medidas de mejora en este terreno.

Sin ninguna duda, debemos trabajar en dos líneas simultáneamente.

Por un lado, tenemos que seguir desarrollando herramientas que nos permitan proteger estos sistemas de control. Apostar por un equipo multidisciplinar de ingenieros industriales, informáticos y de telecomunicaciones parece ser, a la vista de los resultados, la más adecuada. La sinergia creada por el conocimiento conjunto de diferentes áreas de la ingeniería permite encontrar soluciones ajustadas a la naturaleza del mundo industrial.

Por otro, y también esencial, conseguir que los responsables y trabajadores de este tipo de infraestructuras conozcan los peligros a los que están expuestos. Para ello, los planes de concienciación orientados al ámbito de la industria son un elemento clave para cualquier empresa que quiera avanzar en esta línea.

Cybercamp fue una gran ocasión para acercar a todo tipo de ciudadanos un problema cada vez más apremiante: la ciberseguridad industrial.