Laboratorios de ciberseguridad industrial (I): Contexto

En los últimos años la sociedad está experimentando cambios constantes en el ámbito te las tecnologías. La integración de las TIC (tecnologías de la información y las comunicaciones) en nuestro día a día es más que evidente. En el entorno industrial también está ocurriendo y sus características específicas hacen que aparezcan ciertos problemas difíciles de salvar.

Óscar, en su post “Cuestión de garantía”, abría un interesante debate sobre la posible responsabilidad de los fabricantes frente a perjuicios causados por vulnerabilidades conocidas no parcheadas. Una de las cuestiones que planteaba es si sería posible crear un sistema paralelo de acreditaciones y certificaciones de seguridad. En ese caso hipotético, los laboratorios de ciberseguridad industrial podrían desempeñar un rol importante. A lo largo de esta serie de tres entregas compartiremos algunas ideas y reflexiones sobre dichos laboratorios, sus funciones y recursos que necesitan.

ar0

¿Diferencias? ¿Qué diferencias?

Empecemos por el principio. ¿Tantas diferencias tiene el sector industrial? En términos generales, la industria cuenta con una serie de peculiaridades concretas que son esenciales para entender cómo funciona. Estas características y las circunstancias actuales hacen que haya de enfrentarse a una serie de retos. Éste es un tema que hemos tratado varias veces en este blog pero, a modo de recordatorio, aquí van algunas ideas resumidas.

La integración de los sistemas IT, con todos los beneficios que genera, ha introducido también los riesgos asociados a estas tecnologías dentro del entorno industrial (OT, como lo llaman nuestros amigos informáticos). Riesgos en los que nunca se había pensado y para los que, en gran medida, no se está preparado.

Además las largas vidas útiles de los componentes (pensados para operar, en muchos casos, durante lustros de manera ininterrumpida) y el elevado coste de su construcción y puesta en marcha genera cierta mezcolanza de equipos y sistemas con diferentes antigüedades y tecnologías distintas y dificulta la existencia de entornos de pruebas.

Así mismo, no debemos olvidar que, con frecuencia, los sistemas de control industrial (ICS por sus siglas en inglés) intervienen en procesos críticos para la organización o incluso para la sociedad (estaríamos hablando en ese caso de infraestructuras críticas). Y si hacemos un análisis rápido observaremos que existe una evolución creciente de ciberataques a la industria. Pueden servir de ejemplo el ya archiconocido STUXNET o, más recientemente, el ataque a un alto horno alemán.

Adicionalmente, no debemos olvidar que no es sencillo aplicar las soluciones TI al entorno industrial y que los propios fabricantes de equipos se las ven y se las desean para poder dar solución a las vulnerabilidades que van saliendo. También profundizamos en esto hace un tiempo, cuando analizamos una vulnerabilidad para el PLC S7-300 de Siemens.

Pero… laboratorios en la industria… ¿eso no existe ya?

Pues sí. Y hace mucho. Hace años que existen normas que nos obligan a llevar a cabo inspecciones técnicas o ensayar materiales y equipos para asegurarnos que cumplen con los requerimientos correspondientes. Y existen laboratorios encargados de todo ello. Esto es posible porque la tecnología utilizada en el sector industrial, ligada inevitablemente al “mundo físico”, ha evolucionado a una velocidad suficientemente lenta que ha permitido desarrollar toda una serie de criterios, códigos técnicos y leyes que dan respuesta a esas preocupaciones.

ar1

Péndulo de Charpy. Equipo de laboratorio para determinar la tenacidad de un material. Fuente: http://proetisa.com

Sin embargo, en el caso de las TIC:

  • ¿Es posible trabajar de ese modo con tecnologías que cambian a una velocidad vertiginosa?
  • ¿Se pueden crear estándares en un entorno tan cambiante?
  • ¿Es factible encontrar criterios lo suficientemente precisos como para que sean repetibles y unívocos pero suficientemente flexibles como para no exigir modificaciones constantes?

Por otro lado, sería interesante que nos detuviéramos un momento en la palabra “seguridad” y en los conceptos anglosajones “safety” y “security”. Sin entrar en excesivos detalles, en este contexto, “safety” hace referencia a la seguridad de las personas desde el punto de vista de la integridad física. “Security”, sin embargo, tiene que ver con la protección frente a ataques (sean estos físicos o lógicos).  Los laboratorios industriales clásicos han trabajado principalmente en el marco “safety”. En esa dicotomía, ¿estarían enmarcados los laboratorios de ciberseguridad en la parte de “security”? Bien, pues muy probablemente estamos también en un proceso de convergencia de ambas “seguridades” desde el punto de vista de las TIC.

Es evidente la ciberseguridad tiene que ver en primera instancia con la protección frente a ataques TI. Sin embargo, las implicaciones que dichos ataques pueden tener sobre la seguridad de las personas (como consecuencia de la peligrosidad de los procesos que controlan algunos equipos industriales) generan un claro solapamiento de los estos dos conceptos relativos a la seguridad. No sería descabellado pensar que el funcionamiento incorrecto provocado intencionadamente mediante un cambio en la configuración de ciertos equipos pueda provocar daños en las personas.

En la próxima entrega veremos con más detalle qué necesidades puede cubrir un laboratorio de ciberseguridad industrial así como las diferentes tipologías de la organización impulsora.