En anteriores entregas hemos repasado algunos aspectos específicos de la protección de los sistemas de control industrial desde el punto de vista de la ciberseguridad, incluyendo los aspectos culturales y humanos (Seguridad en entornos industriales: el primer paso, Seguridad en entornos industriales: aspectos específicos). Teniendo como premisa de que el planteamiento en este ámbito debe ser global hoy vamos a hablar de la forma en que se ejecutan gran parte de las obras públicas en España (muchas de las cuales serán, probablemente, infraestructuras críticas): se trata del proceso de construcción en tres fases, proyecto, obra y explotación.
En demasiadas ocasiones estas fases constituyen compartimentos estancos con escaso flujo de información. Durante la construcción intervienen la consultora de ingeniería redactora del proyecto, la empresa contratista y sus subcontratas y proveedores, la Administración adjudicataria a través de sus directores de contrato y obra y sus asistencias técnicas. En la gran mayoría de los casos los máximos responsables de las obras son personas con gran formación y experiencia en el ámbito de la obra civil, pero con muy poca en cuestiones industriales y de sistemas de control. Por tanto, las empresas subcontratistas y proveedores poseen en este ámbito una autonomía mucho mayor de la que sería deseable y es posible que decisiones como la arquitectura, conexión a Internet de un sistema de control, contraseñas, configuración de perfiles, etc. se tomen por personas que ni tienen la visión global necesaria ni la conciencia de la importancia de las mismas (hemos visto como se utiliza la posibilidad de conexión a Internet de un sistema de control, totalmente innecesaria por otra parte, como argumento de venta).
Todavía peor, las personas que intervienen en la construcción pierden el contacto con la obra tan pronto ésta termina. Serán sustituidas por otras que se dedicarán a gestionar la explotación y que, normalmente, se enfrentan a su trabajo con un conocimiento limitado de las decisiones que se tomaron durante la construcción y la realidad de las instalaciones ejecutadas (el sistema conectado a Internet que hemos mencionado quedará así, configurado por defecto y sin conocimiento de los responsables, durante mucho tiempo).
Por último, no hay que perder de vista, además, que cada participante posee sus propios intereses (la empresa explotadora se centrará en aquellas tareas que tengan repercusión inmediata en la determinación de su remuneración, por ejemplo) razón por la cual decisiones erróneas en fases previas a la explotación quedan ‘fosilizadas’, ya que no es evidente la relación entre el esfuerzo dedicado a labores como éstas y la remuneración percibida (el coste de la no seguridad). Por tanto en ésta, como en otras cosas, la solución debe partir de la propia Administración adjudicataria, que debe fijar unos criterios claros y dar relevancia a esta cuestión a través de los Pliegos y de la concienciación de los agentes en todas las fases del proceso proyecto – construcción – explotación.
Éste es un problema especialmente grave en las obras promovidas por el sector público, donde incluso se da el caso de obras adjudicadas por una Administración que posteriormente son cedidas para su explotación y conservación a otra entidad pública diferente. Sin embargo, la participación privada no mejora las cosas per se. Es cierto que las obras promovidas por compañías de este sector la integración a lo largo del proceso es mucho mayor, como es el caso, por ejemplo, de la construcción de centrales de generación promovidas por compañías eléctricas en las cuales hay participación directa en labores de coordinación y supervisión por parte de la propiedad, que en última instancia acabará explotando la obra.
Pero en otras ocasiones la empresa privada a cargo de la explotación antepone sus necesidades (que no tienen por qué ser ilegítimas) a las de del titular de la infraestructura, momento en el que surgen situaciones de riesgo. Por ejemplo, los esfuerzos por acotar perfectamente el perímetro lógico de un sistema de control pueden entrar en conflicto con la necesidad de mantenimiento del mismo, lo que da lugar a la aparición de conexiones a Internet no controladas (como módem 3G, etc.). Conocemos casos de servidores de sistemas de control infectados, a sabiendas del explotador, por virus imposibles de eliminar al no existir la posibilidad de mantener las bases de datos de estas aplicaciones actualizadas (los servidores no están conectados a Internet).
No queda más remedio, por tanto, que afrontar el problema desde la consideración de todos los aspectos implicados y esto incluye, necesariamente, la concepción y ejecución de las propias infraestructuras. Se hace evidente la magnitud de la tarea de formación y concienciación de un gran número de profesionales especialistas en ámbitos tan lejanos de las TIC como la construcción que, sin embargo, toman a diario decisiones que condicionarán la vulnerabilidad de nuestras infraestructuras en el futuro.
Ahora es el momento y nadie debe quedar atrás. Nos va mucho en ello.