Ya hemos hablado en SAW en otras ocasiones de los incidentes de seguridad que afectan a un entorno que hasta hace unos años se había mantenido al margen de los mismos: el entorno industrial (ver esta entrada, esta otra sobre el ciclo proyecto-construcción-explotación, esta sobre ciberincidentes de José Rosell o nuestro 2º Informe sobre la Protección de las Infraestructuras Críticas).
En algunos casos estos incidentes han tenido mucha repercusión en los medios, como fue el caso del gusano STUXNET y más recientemente su hermano (parece ser que posiblemente comparten creadores), el troyano DUQU. En este último caso se da por seguro que se trata de un malware realizado por encargo (existe en el mercado negro una verdadera industria del MaaS: Malware as a Service), y su objetivo era robar información de infraestructuras críticas, tales como centrales eléctricas, refinerías y oleoductos, utilizando una red de miles de ordenadores infectados, y aprovechando una vulnerabilidad de Windows.
También este año que estamos a punto de cerrar vivió el descubrimiento de FLAME, un malware de propósito más general orientado al ciberespionaje, y que llevaba años (¡años!) operativo sin ser descubierto.
Lo sé. Es algo ya muy manido hablar de que los entornos industriales inicialmente se despreocuparon de los temas de seguridad, precisamente por la falsa sensación de seguridad que les producía trabajar con sistemas propietarios y sentirse aislados del mundo exterior.
Los ingenieros y técnicos que trabajan con los sistemas de control industrial tienen una gran preparación y experiencia, conocen sus procesos, sus entornos y sus responsabilidades. Sin ellos los sistemas de control industrial no pueden ser definidos, calibrados ni parametrizados. Pero aún hoy tienen poca consciencia de los riesgos a los que están expuestos sus sistemas. El problema que se ha producido es similar al que se produce cuando a la hora de desarrollar una aplicación no se tienen en cuenta desde el principio criterios de desarrollo seguro. Corregir esta situación “a posteriori” es siempre más complicado.
Además, en los entornos industriales cualquier incidente que afecte a su seguridad suele tener casi siempre un impacto alto o muy alto. Y no hace falta irse al caso extremo de una infraestructura crítica, en la que un incidente de seguridad puede constituir un problema de salud pública, afectar a la vida de personas o afectar a la seguridad nacional. Pensemos en la repercusión económica de una línea de producción parada durante un día por un problema de pérdida de disponibilidad de su sistema de control industrial, o que en una cadena de producción uno de sus componentes deje de trabajar normalmente y este hecho no se detecte.
También se ha hablado mucho ya de que la informática industrial y la informática corporativa han vivido tradicionalmente de espaldas, en mundos estancos y separados, y de que la irrupción del mundo TCP/IP en los entornos industriales hizo que esa frontera se derrumbase de repente sin que nadie lo tuviera demasiado previsto.
El hecho es que esta apertura de puntos de conexión entre ambos mundos cogió con el paso cambiado a muchos. Es algo ya habitual que dispositivos industriales se gestionen con sistemas operativos de propósito general, que técnicos industriales accedan en remoto vía internet a sistemas SCADA (mediante conexiones no siempre seguras, todo sea dicho), y es un hecho que a altos directivos de empresas industriales o de infraestructuras críticas les encanta poder acceder desde sus despachos a sistemas de control industrial para poder abrumar a las visitas.
De hecho, y con carácter general, se ha convertido en algo ya normal que se acceda a las redes corporativas desde smartphones y tablets, redes corporativas que a veces están interconectadas con redes industriales, con todo lo que ello implica… como vemos las fronteras se han desdibujado. Parémonos a pensar un momento en este acceso, por ejemplo con un tablet, a la red corporativa, red que tiene puntos de conexión con la red industrial de una organización. ¿Saben ustedes cuántas aplicaciones hay aproximadamente en la Apple Store? Aproximadamente 1.000.000 de aplicaciones. ¿Alguien es capaz de asegurar que ese millón de aplicaciones son 100% seguras y están libres de cualquier tipo de malware? Yo desde luego, no. ¿Saben cuánto se paga en el mercado negro por una vulnerabilidad 0-day para iOS? Unos 200.000 euros. Relean un momento este párrafo. ¿No les produce escalofríos?
Creo que estarán de acuerdo conmigo en que hay que ponerse manos a la obra. Los sistemas industriales, de repente vulnerables, controlan infraestructuras críticas como hospitales, puertos, aeropuertos, centrales nucleares, estaciones depuradoras de agua, subestaciones eléctricas, etc., e infraestructuras “menos críticas” desde el punto de vista del interés nacional, pero desde luego muy críticas desde el punto de vista del negocio para muchas empresas de sectores muy variados.
Y en este proceso de integración y aproximación del mundo de la informática industrial con el mundo de la informática corporativa o de gestión es donde se presenta un escollo a mi juicio realmente grave.
Se da la paradoja de que actualmente los sistemas de control industrial pueden monitorizar lo inimaginable, de que disponemos de soluciones tecnológicas avanzadísimas, de todas las herramientas necesarias para introducir las medidas de seguridad adecuadas para los sistemas de control industriales, de que podemos correlar todos los eventos del mundo mundial en tiempo real, y que podemos aportar inteligencia operacional a las soluciones técnicas de seguridad.
Entonces, ¿dónde está el problema? Pues el problema se presenta entre las personas. Una vez más, en materia de seguridad, el factor humano es parte de la solución pero a la vez parte del problema. Existe un gravísimo problema de comunicación entre los profesionales de la informática industrial y los profesionales de seguridad y la informática corporativa. Incluso diría más: hay un problema de falta de voluntad de diálogo. Desde un lado surge un mensaje algo así como “no te metas en mi terreno, que no tienes ni idea de lo que estás hablando…”, y desde el otro un “madre mía qué desastre de gente, mucho sensor, mucha red de control y mucho esquema eléctrico pero aquí les entran hasta la cocina…lo que pasa es que no tengo ni idea de lo que están monitorizando y no sé ni dónde está la cocina”. Y lo digo con conocimiento de causa. Hemos abordado proyectos de monitorización y control de eventos en entornos industriales, y el principal problema que hemos tenido ha sido doble: conseguir entender la lógica de los procesos y conseguir la colaboración del personal técnico implicado.
Y ojo. Que quede bien claro que el problema no está sólo en uno de los dos “bandos”. Las causas son distintas, pero el planteamiento de acercamiento en muchos casos es equivocado por ambas partes.
Este problema de falta de diálogo incluso a veces se agrava con diferencias de tipo corporativista, lo que complica más la situación. El hecho es que existe un gap evidente entre los dos mundos: los profesionales de la seguridad no conocemos los entornos industriales de las plantas y sus especificidades, y los profesionales industriales no están formados adecuadamente en el mundo de la informática corporativa y desconocen los riesgos que el mundo TIC ha traído a los entornos industriales.
Es necesario realizar un esfuerzo de acercamiento por ambas partes, quitarse de encima actitudes obtusas y prepotentes (insisto, por ambas partes), establecer foros de trabajo conjuntos, realizar jornadas de acercamiento y de conocimiento mutuo, etc., y dejar de lado corporativismos rancios. Hay mucho trabajo por delante, y no debemos retrasarlo, por la cuenta que nos trae a todos.
Efectivamente, esta comunicación es imprescindible. Y debe producirse en el seno de una estructura organizativa adaptada a las nuevas necesidades, sin esperar a que se establezca de modo espontáneo e informal.