The blackout…revisited

Este año ha comenzado con algunos sobresaltos para todos aquellos con responsabilidad en la operación segura de redes eléctricas de potencia. Tenemos, por un lado, el suceso en la Israel Electric Authority. El 27 de enero nos encontramos con titulares como éste, de Fox News:

img5

Aparentemente había llegado el día en que alguien había activado, al fin, el botón del juicio final y había reducido, o estaba en camino de conseguirlo, a Israel a la edad media. Sin embargo, la realidad resultó ser un poco más prosaica y los profetas del apocalipsis tuvieron que enfundar de nuevo sus teclados al constatarse que, en realidad, nos encontramos frente a un caso de ramsonware en equipos que formaban parte de una red típicamente TI que se infectaron por la poco elegante vía del phishing. Es más, según leo, la pérdida parcial de suministro de algunos clientes se pudo deber a la decisión deliberada del personal encargado de la operación del sistema que habría preferido actuar así, desconectando carga, antes de enfrentarse al colapso completo de la red. Más aún, se llega a afirmar que los operadores reaccionaron así ante el convencimiento de estar siendo atacados en un momento en el que la demanda estaba creciendo a un alto ritmo a causa de las bajas temperaturas.

[Read more…]

Cuestión de garantía

garantia0A pesar de que ya llevo años trabajando en el sector TI, algunas cosas todavía hacen rechinar los engranajes de mi mentalidad de ingeniero industrial (engranajes, industrial, bueno, ya me entendéis).

Se habla mucho de la convergencia entre IT y OT y las diferencias entre ambos sectores, en muchas ocasiones con argumentos que incluyen conceptos como: diferencia de vidas útiles de los equipos; énfasis en la safety más que por la security; prioridad del criterio de disponibilidad frente a confidencialidad e integridad; mentalidad conservadora, etc. Uno de los puntos más importantes es, sin duda, la preocupación por la seguridad de las personas y las cosas (así se dice en cantidad de reglamentos técnicos). Esto es exactamente así: nos preocupa la seguridad de las personas y las cosas porque los fallos de los sistemas industriales pueden implicar la muerte de personas y/o la destrucción de infraestructuras, edificaciones o, al menos, del propio equipo afectado. Está muy reciente el incidente en el puerto de Tianjin, en China, que se saldó con la muerte de más de 100 personas, cientos de miles de desplazados y un daño medioambiental de enormes proporciones.

[Read more…]

The blackout (II)

Al hilo de lo que comentamos en el anterior artículo The blackout, ¿puede que todo lo que sucedió en Turquía el 31 de Marzo no se debería estrictamente a causas técnicas y fallos humanos?

Atacar un sistema eléctrico nacional para provocar un cero de tensión no es trivial, a pesar de que en el imaginario colectivo del siglo XXI tales sistemas son la infraestructura crítica por excelencia y aparentemente constituyen el primer objetivo de cualquier terrorista. Podemos pensar en dos aproximaciones. La primera, que está en la línea del artículo del Observer, consiste en desconectar una a una las infraestructuras que abastecen a todos los clientes: o abrimos interruptores en todas las líneas de transporte, o disparamos todos los grupos de las centrales de generación, o las desconectamos de la red abriendo los interruptores en las líneas de evacuación, o abrimos todos los interruptores de cabecera de las líneas de distribución.

Esto supone un grado de infiltración del sistema eléctrico de un país absolutamente total, requiriendo, además, tener capacidad de control y mando para coordinar todas las actuaciones simultáneamente (en realidad no hace falta llegar al 100% de infiltración, ya que eventualmente se inducirá un desequilibrio tal en el sistema que el efecto dominó facilitará el trabajo).

[Read more…]

The blackout (I)

El pasado 31 de marzo una de las peores pesadillas de nuestra civilización tecnológica se hizo realidad en Turquía (no, no hablamos de Sálvame): gran parte del país quedó sin suministro eléctrico durante horas, lo que provocó la inevitable cascada de caídas en otros servicios esenciales: transportes, comunicaciones, abastecimiento de agua potable, etc. Casi inmediatamente, especialmente en ciertos ambientes, se abrió paso la idea de que el incidente se debió a un ciberataque. Esta idea se vio reforzada, inevitablemente, por el secuestro y asesinato de un fiscal por un grupo terrorista. Han pasado ya casi dos meses y, como suele ocurrir, apenas se ha vuelto a hablar de este asunto (lo que para ciertas mentes propensas a la conspiranoia es, sin duda, la mejor confirmación posible de esta hipótesis).

A los pocos días la primera explicación oficial atribuía el suceso a una gestión deficiente de ciertas operaciones de mantenimiento en la red que dejaron el sistema eléctrico turco expuesto a un riesgo grave, riesgo que a la postre acabó materializándose. Según esta explicación se habría tratado de un fallo exclusivamente técnico que acabó costando el puesto a Kemal Yildir, máximo responsable de la compañía estatal TEIAS. TEIAS es la empresa que gestiona el transporte de energía eléctrica en Turquía. He estado buscando algún informe oficial al respecto con el fin de cotejar los datos técnicos que sustentan esta hipótesis, sin resultado. Pero sí he encontrado dos artículos relativamente recientes que sostienen dos visiones absolutamente contrapuestas resumidas en titulares:

[Read more…]

Los sistemas de control aislados o el móvil perpetuo de primera especie

Existen ideas que se resisten a desaparecer. Y entre ellas hay un tipo especial, las que se basan en la confusión entre los propios deseos y la realidad. En ocasiones estas ideas se convierten en entes que sobreviven a su propia refutación. Durante siglos el ser humano ha ambicionado construir una máquina que sea capaz de funcionar continuamente, produciendo trabajo y sin aportes energéticos del exterior. Tanto la ha buscado que tiene hasta nombre: el móvil perpetuo de primera especie.

Durante siglos mentes por lo demás lúcidas han luchado contra la implacable realidad construyendo modelos que, una y otra vez, han fallado en el momento de ponerlos a prueba. Pero claro, sería tan maravilloso que semejante máquina pudiese existir… Tal vez con esta o aquella mejora pudiese funcionar. Hay que pulir esto y esto, refinar aquello. Todo en aras de la promesa de la liberación energética. Pero no. Es imposible una máquina tal en nuestro universo porque su mera existencia violaría una ley esencial del mismo: el primer principio de la termodinámica. Ante esta evidencia la Academia Nacional de las Ciencias de Paris decidió en 1775 que no aceptaría más proyectos de móviles perpetuos. Tal era el grado de consolidación de la termodinámica entonces que se adoptó como criterio infalible, ahorrando la necesidad de poner a prueba una y otra vez los dispositivos surgidos de la mente de gente con más buena intención que conocimientos físicos.

El caso es que hoy en día nos encontramos ante un caso similar. Cuando se trata de auditar la ciberseguridad de un sistema de control industrial, no importa el propietario, la tecnología o su propósito, en un gran número de casos acabamos topando con un ente al que podríamos denominar ‘el móvil perpetuo de los sistemas de control’ pero que se conoce habitualmente como ‘el sistema de control industrial aislado’. Y es que, efectivamente, si mi sistema de control estuviese efectivamente aislado y funcionase produciendo trabajo sin intercambiar información con el exterior, no tendría que preocuparme por su ciberseguridad, ¿no es cierto? Estaría asegurada de forma intrínseca.

Una y otra vez los ‘móviles perpetuos de los sistemas de control’ no resisten una investigación en profundidad. En el caso de los sistemas físicos basta definir un volumen de control en torno a nuestro móvil perpetuo y verificar si existe intercambio de energía con el exterior a través de esa frontera. En el caso de los sistemas industriales el concepto es el mismo, pero lo que buscamos son intercambios de información, de un tipo u otro. Siempre los hay: permanentes o temporales, síncronos o asíncronos, cableados o no, tontos (pendrives) o inteligentes (portátiles de mantenimiento). Y es que, ¿para qué sirve un sistema con el que no me puedo comunicar y que no puedo modificar de forma alguna?

La refutación caso por caso supone un importante gasto de energía desde el principio mismo del proyecto. Sería bastante útil que se adoptase un criterio equivalente al de la Academia de las Ciencias de Paris. De esta forma podríamos rechazar a priori cualquier reivindicación de aislamiento y podríamos ponernos a trabajar desde el principio.

Aunque, por otra parte, si configurase mi sistema de esa manera quizá entonces… sí, quizá…

Nota: la ilustración reproduce el ‘recipiente de flujo continuo’ de Robert Boyle. A nuestros ojos modernos puede producir hasta risa, que sin duda se tornará en sonrojo al pensar la opinión que tendrán los humanos del futuro al rememorar como en el siglo XXI se podía intentar defender el concepto de ‘sistema de información digital aislado’ (IMHO).

Tercer informe sobre Protección de II.CC. de S2 Grupo. La información está ahí fuera

Continuando con la línea de trabajo iniciada con los dos anteriores informes sobre protección de infraestructuras críticas S2 Grupo acaba de publicar la tercera entrega. En esta ocasión nos hemos fijado en un problema creciente del que no se habla demasiado: la disponibilidad de información detallada sobre nuestras II.CC. libremente accesible a través de internet, especialmente en lo referente a sus instalaciones, procesos, sistemas de control, procedimientos de operación y, por último, organización y gestión de la seguridad.

En SAW ya hemos hablado de este asunto en alguna ocasión (véase, por ejemplo, esta entrada en el blog). Sin embargo, la gravedad de la cuestión merece una aproximación más sistemática que nos permita hacernos una idea clara de la magnitud del problema. Así, al iniciar la investigación que ha dado lugar al informe nos planteamos responder a las siguientes preguntas:

  • Descubrir qué tipo de información está disponible en internet acerca de nuestras II.CC.
  • Determinar el origen de la información.
  • Estimar el grado de riesgo que puede suponer el uso de la información hallada por parte de un atacante.
  • Establecer si existe alguna diferencia entre los distintos subsectores en que se divide el conjunto de II.CC.
  • Analizar los resultados obtenidos para dibujar un cuadro general que nos permita avanzar conclusiones al respecto.

El foco de la investigación se puso en aquellos sectores considerados críticos según la Ley 8/2011 en los que se hace un uso extendido de sistemas de control industrial. De esta forma nos hemos quedado con:

  • Sector sanitario.
  • Energía.
  • Trasporte.
  • Industria química.
  • Industria nuclear.
  • Abastecimiento de agua.
  • Alimentación.
  • Administración.
  • Sector aeroespacial.

El trabajo ha consistido en la búsqueda en internet de información relativa a sistemas de control, procesos, seguridad física y lógica, equipamiento y maquinaria, etc. de una organización destacada de cada uno de los sectores. Las búsquedas se han realizado entre los meses de noviembre de 2013 y febrero de 2014.
Una vez obtenida la información, esta se ha caracterizado y clasificado para determinar:

  • El tipo de información.
  • El contexto en el que está contenida.
  • El origen.
  • La consideración subjetiva del impacto que podría suponer el uso de esta información. Se han establecido tres niveles: bajo, medio y alto.

Es importante subrayar que la idea detrás de esta investigación no es realizar una campaña exhaustiva de localización de información, algo que, por otra parte, es casi imposible, sino obtener una visión cualitativa de la magnitud del problema, sus causas y posibles soluciones.

Los resultados de la investigación

Se ha localizado información de prácticamente todos los sectores analizados con alguna excepción notable, como el caso del aeroespacial. Los principales canales por los que se difunde son:

  • Proyectos de fin de carrera y tesis doctorales
  • Pliegos de contratación de las Administraciones públicas
  • Casos de éxito de proveedores
  • Publicaciones técnicas especializadas en cada sector
  • Artículos técnicos

Nuestra investigación pone de manifiesto que la información es elaborada y publicada por todos los actores participantes en la vida de una II.CC. El papel de terceros tales como empresas constructoras o contratistas de mantenimiento es poco sorprendente. Sí lo es, en cambio, el hecho de las propias AA.PP. o empresas operadoras de II.CC. ofrezcan tanta información y con tanto detalle acerca de sus propias instalaciones. Una mención específica merecen ciertas universidades que se constituyen en auténticos repositorios online de información técnica muy específica.

En ocasiones los propios empleados ofrecen información fuera de la actividad diaria de la compañía; es el caso de los artículos técnicos publicados con el conocimiento (o no) de sus organizaciones. Hemos localizado, por ejemplo presentaciones elaboradas por personal de una I.C. para su empleo durante un curso de formación. El material describe exhaustivamente componentes y sistemas de la I.C. ofreciendo, incluso, detalles de la operación, gestión, etc., todo ello con abundante material gráfico.

Adicionalmente hemos querido cuantificar los resultados obtenidos. Para ello hemos realizado un análisis en que:

  • A cada sector se le ha asignado un valor de probabilidad entre 1 y 3, que cuantifica la facilidad de localizar información.
  • Además, se ha valorado, nuevamente de 1 a 3, el impacto posible de la información localizada.

El producto de ambas variables constituye el riesgo calculado para cada sector. Este valor se ha ponderado considerando el tamaño relativo de cada sector medido como el número de empleados. La razón para esto es que en lo relativo a la disponibilidad de información, el factor definitivo detrás del problema son las personas: esto es, la solución pasa por modificar la forma en que las personas gestionan la información dentro de cada organización. De esta forma, es más fácil que se filtren documentos sensibles cuanto mayor sea el número de personas que intervengan en su custodia, clasificación o difusión.

Los resultados se muestran en la siguiente gráfica:

Del análisis del gráfico extraemos las siguientes conclusiones:

  • Los sectores con un menor número de empleados, como el aeroespacial o la industria nuclear, no suponen un grave problema a pesar de las ideas a priori acerca del impacto de un ataque sobre estas infraestructuras. Un tamaño pequeño del sector significa que una situación de riesgo (en cuanto a la gestión de la información) es abordable de forma manejable, dado el reducido número de personas implicado (lo que facilita la labor de cambiar procedimientos, establecer políticas, avanzar en la concienciación, etc.)
  • Los sectores de agua, industria química y alimentación se encuentran en la zona alta tanto en cuanto a riesgo como a magnitud del problema, entre otras cosas a causa del elevado número de personas que trabajan en estas organizaciones.
  • Algo similar ocurre con el transporte, que si bien no posee un valor de riesgo alto sí se encuentra en una situación difícil debido a su tamaño.
  • Se evidencia el grave problema que supone la gestión actual de la información en la Administración Pública y organizaciones afines. En el origen están los requerimientos de publicidad exigidos en los procedimientos de contratación.

Conclusiones

El estudio realizado, si bien limitado por necesidad, pone de manifiesto un problema al que generalmente se concede poca o nula consideración cuando se habla de la ciberseguridad de sistemas de control industrial y su relación con la protección de infraestructuras críticas: la absoluta inconsciencia con la que se maneja y hace pública información sensible de gran interés para posibles atacantes. Ello es especialmente grave en un contexto en el que el diseño de una APT tiene como un elemento esencial el conocimiento profundo de la organización objetivo, tanto para diseñar el malware como los mecanismos de infección (por ejemplo, la planificación de un ataque de ingeniería social).

El tipo de información y los mecanismos de publicación son diversos, pero hay uno que destaca sobre todos los demás: las licitaciones de concursos públicos.

El segundo mecanismo que se encuentra detrás de la proliferación de información sensible es la necesidad, a medias científica y a medias comercial, de mostrar las propias habilidades, de forma que se publicitan las propias referencias con todo tipo de detalles. Cuando se mira desde el punto de vista de la ciberseguridad, no deja de resultar chocante la cantidad de información detallada que se ofrece al público general, en ocasiones ante el desconocimiento del promotor o titular y en otros casos con la aquiescencia cuando no la propia participación del mismo.

Independientemente de que la seguridad por oscuridad no es una opción válida, no debe olvidarse que, del mismo modo que el primer paso en un ataque es la recopilación de información, el primer paso de una estrategia de defensa debe ser el control de la misma.

Líneas de acción propuestas

¿Qué puede hacerse para afrontar este problema? Las líneas de trabajo básicas propuestas en el informe son las siguientes:

  • Analizar la legislación en lo relativo a contratación pública para compatibilizar las exigencias de publicidad y libre concurrencia con la necesidad de salvaguardar cierta información.
  • Realizar sesiones de concienciación en las organizaciones mostrando el riesgo que supone el uso de cierta información por parte de agentes malintencionados.
  • Establecer políticas de clasificación de la información en todos los ámbitos.

Para terminar

La investigación realizada pone de manifiesto el grave problema existente con la proliferación de información descontrolada en internet en relación con nuestras II.CC. El principal problema, de hecho, es la absoluta falta de conciencia acerca de las posibles consecuencias con la que se maneja esa información. Como siempre, las personas son parte fundamental en la cadena de la seguridad y, en este ámbito, queda mucho trabajo por hacer.

El informe completo está disponible para su consulta en este enlace.

Referencias
[1]Ley 8/2011. Boletín Oficial del Estado, núm. 102, sec. I, pág. 43370. Abril de 2011.
[2] Resolución de 15 de noviembre de 2011 de la Secretaría de Estado de Seguridad. Boletín Oficial del Estado, núm. 282, sec. III, pág. 124147. Noviembre de 2011.
[3] Ley 30/2007 de 30 de octubre de Contratos del Sector Público
[4] 1er Informe sobre la protección de infraestructuras críticas en España. 2011. S2 Grupo.
[5] 2º informe sobre la protección de infraestructuras críticas en España. 2012. S2 Grupo.

El fin del soporte de XP y los sistemas de control de industrial

En Mateo, 25, 1 se dice: estad atentos y vigilad, pues no sabéis el día ni la hora. Esta admonición nos advierte de la necesidad de estar preparados (y en paz con las autoridades competentes) para el inevitable final que nos acecha a todos.

Sin embargo, esto no es de aplicación para el tan temido fin del soporte de Microsoft para el sistema operativo Windows XP. Al menos, en este caso, el día y la hora eran conocidos de antemano.

[Read more…]

Ciberseguridad Industrial: Por sus hechos les conoceréis

Siempre se ha dicho que hay que predicar con el ejemplo. También se dice que una cosa es predicar y otra dar trigo. O ese gran resumen acerca de la educación infantil en el que caen muchos padres pillados en flagrante contradicción por sus hijos: ‘haz lo que digo, no lo que hago’.

Todos estos lugares comunes giran en torno a una idea central: es muy difícil resultar creíble cuando se pide a otras personas que, ante ciertas circunstancias, obren de forma manifiestamente distinta a lo que hacemos nosotros. Y claro, la ciberseguridad de infraestructuras críticas (II.CC. en lo sucesivo) no iba a ser de otra manera.

Se habla mucho (en ciertos ámbitos) de lo que hay que hacer para remediar el grave problema de seguridad que la convergencia tecnológica ha provocado en ciertas infraestructuras que proveen a la sociedad servicios esenciales. O mejor dicho, la no consideración de la seguridad como un elemento tan esencial, al menos, como la funcionalidad. Se elaboran planes, estrategias, hojas de ruta, guías de recomendaciones, de buenas prácticas, directivas, leyes y reglamentos.

Está muy bien.

[Read more…]

Regreso a la edad del cobre

Recientemente he leído un buen artículo publicado por Joe Weiss en el que se habla de una vulnerabilidad genérica de un protocolo industrial (HART) cuya base se encuentra en las características de funcionalidad y diseño que son inherentes a los sistemas de control industrial desde su misma concepción.

La idea central del artículo reside en lo siguiente: un sistema de control industrial (SCI en lo sucesivo) está integrado por distintas capas, de las cuales los sensores y actuadores constituyen el nivel más bajo y la interfaz con el operador (HMI o Human-Machine Interface) el nivel más alto. Por deformación profesional, los expertos en ciberseguridad tienden a centrase en los niveles superiores (vulnerabilidades en servidores SCADA, arquitecturas de red, configuración de firewalls,..), objeto de la famosa convergencia, olvidando los niveles ‘de campo’, ya que estos están más alejados de su experiencia y ámbitos de conocimiento. Sin embargo, este nivel (que denominan nivel 0) presenta con frecuencia vulnerabilidades susceptibles, en caso de ser explotadas, de alterar gravemente la marcha del proceso industrial.

[Read more…]

Una visión global de la ciberseguridad de los sistemas de control (II)

(N.d.E. Este artículo fue publicado en el número 106 de la revista SIC, correspondiente a Septiembre de 2013. Sus autores son Óscar Navarro Carrasco, Responsable de ciberseguridad industrial, y Antonio Villalón Huerta, Director de seguridad. Ambos trabajan en S2 Grupo y pueden ser contactados vía onavarro en s2grupo.es y avillalon en s2grupo.es)

La semana pasada finalizábamos el artículo haciendo al lector una pregunta ¿tiene en cuenta el enfoque actual de la ciberseguridad industrial este contexto?

Y la respuesta, en nuestra opinión, es que NO.

En primer lugar, y siempre en términos generales, los elegidos dentro de las empresas para gestionar la ciberseguridad industrial y todo lo referente a la LPIC son, como no debe ser de otra forma, los departamentos de seguridad, en el mejor de los casos, o los responsables de seguridad tecnológica; incluso si no existen estos roles, es directamente el departamento TI quien pasa a hacerse cargo de cualquier cosa que tenga el prefijo “ciber”. Esta elección puede parecer obvia en ciertas ocasiones, pero como ya indicamos al principio, saber conducir no es equivalente a conocer la ruta.

Estas personas tienen que librar una batalla con departamentos en ocasiones más antiguos, con directivos ‘pata negra’ que han trabajado en el núcleo del negocio –o eso creen- toda la vida (posiblemente en el sentido estricto), que perciben la seguridad como un simple gasto y cualquier cosa tecnológica como algo recién llegado que carece de una importancia real y que llega a invadir su territorio, su reino. Y lo que es peor, es muy posible que en las reuniones quede patente que, efectivamente algunos departamentos de seguridad –o de tecnologías- no conocen ni siquiera este lenguaje, al igual que esos “expertos” en negocio no entienden ni una palabra del riesgo tecnológico. El resultado de las confrontaciones las debe resolver un superior jerárquico que posiblemente proceda, igualmente, del ‘núcleo duro’ y que entiende lo que dice una parte, pero por desgracia posiblemente no lo que dice la otra. Y es muy difícil convencer a alguien cuando el único argumento que queda es el de la amenaza, especialmente si ésta no se percibe como tal. Otras amenazas, como las consecuencias de un fallo en el sistema de control a causa de una intervención incorrecta (medible en repercusión social y lucro cesante) son mucho más fácilmente asimilables, ya que suponen la preocupación diaria de estos directivos.

Es poco realista fijar objetivos a largo plazo considerando como tal el horizonte 2017-2018, como se propone en el Mapa de ruta de ciberseguridad industrial en España. Guste o no, en un sector donde algunos PLC todavía usan sistemas operativos y protocolos de más de 20 años de antigüedad, 5 años constituye un plazo, a lo sumo, medio, al menos de momento. Es a consecuencia de todo ello que se llega a una situación de bloqueo como la actual, lo que tiene como resultado que los plazos previstos en la LPIC y en el Reglamento que la desarrolla se estén incumpliendo.

Es posible, incluso, que los responsables de los sistemas de control industrial intenten adoptar medidas en este ámbito, siempre bajo su supervisión. El problema de esta aproximación es que ni la formación ni la cultura facultan al personal de este departamento para trabajar en esta cuestión, siempre hablando en términos generales. Incluso puede que estas medidas no tengan más objeto que justificar que se están ‘haciendo cosas’, una razón más para apartar de la cuestión al departamento de seguridad o al departamento TI y proseguir con esa lucha entre reinos que tanto suele preocupar a esos directivos “pata negra” y tan poco preocupa a la sociedad.

Certificaciones polémicas

Es fácil caer en la tentación de trasladar directamente las estrategias y experiencias que han dado buen resultado en el ámbito TI al ámbito industrial. Recuérdese el dicho: “cuando todo lo que tenga sea un martillo, todo lo que vea le parecerá un clavo”. Sólo un ejemplo, existe ya una certificación expedida por el IACRB denominada CSSA (Certified SCADA Security Architect). En primer lugar, en el campo profesional industrial un pie de firma repleto de acrónimos correspondientes a certificaciones resulta, cuando menos, extravagante —al igual que a muchos nos parece ridículo en el ámbito tecnológico—. La pregunta es: ¿Cuántos sistemas SCADA o procesos industriales han diseñado los poseedores de tal acreditación? ¿Es necesaria experiencia previa en sistemas SCADA para obtenerla? Más aún, los profesionales que se dedican, por ejemplo, a programar PLC ¿poseen la base necesaria para alcanzar la certificación? Antes de responder afirmativamente, rogamos al lector que se pregunte con cuántos programadores de PLC ha hablado. La realidad es que tal certificación está en posesión, al menos en España, de profesionales del ámbito TIC. Es fácil y obvio imaginar la escasa disposición de un responsable de un sistema de control a aceptar recomendaciones de un CSSA sin experiencia en diseño, operación o mantenimiento de sistemas SCADA.

fotoOtro error consiste en pretender que el sector industrial y de infraestructuras adopte cambios o acometa acciones radicales a la velocidad a que suele ocurrir o es posible en las TIC. En este caso hay que buscar un término medio entre pretender lo imposible y retrasar lo inevitable, dos caminos que conducen al desastre. En este sentido es, en nuestra opinión, poco realista fijar objetivos a largo plazo considerando como tal el horizonte 2017-2018, como se propone en la recientemente publicado Mapa de ruta de ciberseguridad industrial en España del Centro de Ciberseguridad Industrial. Guste o no, en un sector donde algunos PLC todavía utilizan sistemas operativos y protocolos de comunicaciones de más de 20 años de antigüedad (un éxito, sin duda, de sus creadores), 5 años constituye un plazo, a lo sumo, medio, al menos de momento. Es a consecuencia de todo ello que se llega a una situación de bloqueo como la actual, lo que tiene como resultado que los plazos previstos en la LPIC y en el Reglamento que la desarrolla se estén incumpliendo.

Lo dicho anteriormente no se basa en especulaciones sin fundamento. Es el resultado de nuestra experiencia al respecto, tanto de S2 Grupo como la nuestra en particular. Uno de los autores es Ingeniero Industrial y hasta su incorporación a S2 Grupo había desarrollado su carrera en el ámbito de la ingeniería y construcción; nunca había trabajado con ingenieros informáticos. Por el contrario, otro de los autores es Ingeniero Informático, especializado en seguridad, por lo que para él hablar de meses o años para corregir una vulnerabilidad, o utilizar sistemas operativos de hace lustros es, sencillamente, algo no asumible. Tanto uno como otro llegan a afirmar que la relación con los otros profesionales es comparable a la del contacto con alienígenas y sólo cuando han desarrollado un lenguaje común y tenido una noción del trabajo llevado a cabo por la otra parte ha sido posible iniciar una relación fructífera. A la vista de todo lo expuesto, cabe cuestionar si el enfoque actual de la ciberseguridad industrial es el adecuado o si los que trabajamos en seguridad desde hace tiempo estamos pensando que la situación —y la solución— es sólo cosa nuestra. Se dice que no por mucho madrugar amanece más temprano y lo urgente de la cuestión no justifica adoptar medidas precipitadas, más aún cuando éstas pueden resultar contraproducentes.

Se ha hablado mucho de la falta de formación en ciberseguridad de los profesionales del ámbito industrial, asi como de concienciación. Sin duda, son aspectos en los que se debe trabajar. Pero hay dos cuestiones en las que no se suele reparar y que son de la mayor importancia: la inercia/conservadurismo y el corporativismo.

En nuestra opinión, el trabajo de mejora de la ciberseguridad industrial no puede realizarse de espaldas a los profesionales que han diseñado, construido y mantienen en explotación las infraestructuras que se deben proteger, igual que esos profesionales no pueden vivir ni un minuto más sin concienciarse –siempre es el primer paso- de la importancia de la seguridad. Es evidente que ambas partes tienen mucho que aportar y su participación es imprescindible. Los expertos en seguridad tecnológica poseen la experiencia y las herramientas técnicas, mientras que los profesionales en procesos y sistemas de control industrial deben aportar su conocimiento de los sectores productivos, los procesos controlados y las limitaciones que el contexto impone a las soluciones específicas.

Por ejemplo, hay cuestiones que el sector tecnológico ha resuelto de forma excelente y que deben incorporarse, con las consideraciones específicas oportunas, al ámbito de los sistemas de control. En primer lugar, el empleo de técnicas de correlación compleja para la identificación y caracterización de incidentes de seguridad. Ello es tanto más importante por cuanto los ataques a estos sistemas están adoptando la forma de APT y son, por tanto, bastante más complejos que una simple orden de ‘shutdown’. En segundo lugar, el modo en que se gestionan los incidentes en el ámbito tecnológico; los sistemas industriales están diseñados para hacer que el fallo sea algo extremadamente raro (tanto más raro cuanto más peligroso resulte). Su gestión está poco regulada y depende altamente de las personas y su experiencia y conocimiento de la instalación controlada. En cambio, en las TIC se ha aprendido a convivir con el fallo, razón por la cual se han desarrollado herramientas, sistemas y procedimientos de gestión que permiten tratar eficazmente las consecuencias, por ejemplo, de un ciberataque. A modo de ejemplo y en esta línea en S2 Grupo disponemos de un iSOC (industrial Security Operation Center) destinado a tratar estas incidencias con un enfoque mixto.

En definitiva, creemos que la estrategia actual en ciberseguridad industrial ha descuidado, hasta el momento, algunos aspectos cruciales. Como consecuencia, el progreso ha sido más lento de lo esperado a pesar de las exigencias legislativas. Para corregir esta situación hay que incidir en cuestiones que hasta el momento no han recibido la atención necesaria:

1. Tener en cuenta que el sector industrial es muy heterogéneo, por lo que no existen soluciones generales. Es imprescindible conocer las particularidades de cada uno de ellos para realizar un enfoque adecuado. Este trabajo sólo pueden hacerlo profesionales de los sectores implicados.
2. Recordar que un sistema SCADA no es sólo el software de supervisión, el servidor SCADA o la red de comunicaciones (elementos familiares para un profesional TI). Se trata de un sistema complejo en el que también hay elementos físicos (como, por ejemplo, instrumentación y actuadores). En este sentido, posibles soluciones para problemas específicos irresolubles a nivel TI pueden pasar por volver a recuperar cosas como la lógica cableada y los enclavamientos físicos y eléctricos, viejos conocidos de los profesionales industriales.
3. Tener en cuenta el ritmo a que se asimilan los cambios en el sector industrial para no fijar horizontes no realistas.
4. Prestar la máxima atención al factor humano, evitando que se den situaciones de enfrentamiento tipo Nosotros vs. Ellos que acaben en posiciones ultradefensivas o de bloqueo.
5. Desarrollar aproximaciones sucesivas teniendo en cuenta las largas vidas útiles de equipos e instalaciones.
6. Las Administraciones y otras entidades licitadoras de infraestructuras deben incluir en los pliegos exigencias concretas relativas a la ciberseguridad industrial de las instalaciones proyectadas, de forma que estas condiciones pasen a formar parte del proceso proyecto-construcción.
7. Es imprescindible la formación de equipos interdisciplinares lo que debe alcanzar también a la interlocución con los responsables de la gestión de las infraestructuras críticas. De esta forma, éstos podrán comunicarse, además de con expertos en ciberseguridad, con personas de formación y experiencia afines, lo que ayudará a salvar los obstáculos culturales (especialmente a un nivel intermedio).
8. Se hace mucho énfasis en la formación, especialmente en la forma de másteres específicos. Pero no debe olvidarse que, en muchas ocasiones, los propios programadores disponen de gran autonomía en la toma de decisiones técnicas específicas en el diseño de los sistemas, por lo que no se debe descuidar ningún nivel educativo o profesional.
9. Siguiendo con la formación, creemos que debe evitarse extender el modelo basado en certificaciones específicas, tan habitual entre los profesionales TIC, a los especialistas en sistemas de control industrial.
10. Se deben desarrollar instalaciones dotadas de sistemas de control, industrial suficientemente realistas como para permitir adquirir experiencia en ciberseguridad (tanto en estrategias de ataque como de defensa o gestión de incidentes). Estas instalaciones son el ámbito idóneo para los equipos mixtos que deben trabajar en ellos desde el momento mismo del diseño. Además, constituyen un medio de demostración importantísimo para el personal no formado en ciberseguridad.
11. A modo de resumen final: evitar trasladar tal cual la experiencia y procedimientos de ciberseguridad en el ámbito TI al ámbito industrial. Una nueva cultura común debe surgir del trabajo conjunto de todos.

Pueden descargar el artículo original desde este enlace: Una visión global de la ciberseguridad de los sistemas de control. Revista SIC, número 106, Septiembre 2013.