Ha vuelto a ocurrir.
Una canción de John Lennon dice en un punto algo así como: “Life is what happens to you while you are busy making other plans” (“la vida es lo que pasa mientras hacemos otros planes”). Podríamos parafrasearla de la siguiente manera: ‘La protección de infraestructuras críticas es lo que pasa mientras hacemos otros planes’.
¿A qué viene esto? Pues a que no dejo de sorprenderme de la cantidad de información acerca de una infraestructura crítica que la propia Administración ofrece de forma abierta en los Pliegos de contratación de obras, proyectos o servicios. Esta misma semana he podido comprobarlo de nuevo, concretamente con un Pliego destinado a contratar la ejecución de un sistema de gestión de la red de distribución de agua potable nada menos que a los municipios de un consorcio que cubre al 85% de la población de una provincia (y abastece a muchas industrias grandes de verdad). El sistema de gestión previsto debe consistir en un software capaz de integrarse con el SCADA que se emplea para supervisar las infraestructuras del Consorcio y facilitará la operación de forma que se optimice el consumo energético del conjunto del sistema (permítanme que no dé detalles adicionales, a pesar de que la información es accesible de forma pública).
Y para facilitar la elaboración de ofertas se adjunta al Pliego, como anexos, un conjunto de documentación que es muy útil si uno, en lugar de en preparar una Plica, está pensando en interferir de alguna forma en el correcto funcionamiento de la red (por decirlo de forma suave).
Para empezar se ofrece un plano que refleja toda la red: conducciones, depósitos, valvulería, chimeneas de equilibrio y estaciones de bombeo. Y además, con coordenadas UTM, para que no tengamos problema en encontrar cada una de las instalaciones (y gracias a Street View podremos realizar, además, una inspección previa del perímetro de un buen número de ellas sin necesidad de movernos de casa).
A continuación disponemos de un documento que describe con todo lujo de detalles el sistema SCADA: comenzando por la marca del software de supervisión y continuando con detalles de la programación realizada, lógica de operación, codificación gráfica, alarmas, etc.
Y para terminar, en el documento anterior se nos ofrece un amplísimo surtido de capturas de pantalla, incluyendo la configuración de tuberías, válvulas, bombas e instrumentación de estaciones de bombeo, acometidas a depósitos e, incluso, la planta potabilizadora. Por no faltar, no falta ni un esquema de la red de controladores.
A la vista de todo este material mi mente vuela libre elaborando planes (imaginarios, por supuesto) y escenarios de ataque, seleccionando los elementos cuyo fallo podría acarrear consecuencias más dañinas, pensando en cómo implementarlos (yo soy ingeniero industrial y me he dedicado unos cuantos años al tratamiento de aguas y la hidráulica).
Y yo digo: ¿realmente es necesario ofrecer todo este material de forma abierta? Es más, ¿la información aportada es la necesaria o, simplemente, se ha buscado un documento ya existente y se ha añadido como anexo sin tomarse la molestia de purgarlo? Porque esa es la impresión que me da al leerlo.
Son cosas como ésta las que hacen pensar que quizá los árboles de los riesgos tecnológicos nos impiden ver el bosque de los peligros más convencionales que nos rodean y que deberían ser objetivos preferenciales de actuación. A fin de cuentas, un pequeño esfuerzo en el control de la información que se pone a disposición pública puede rendir resultados proporcionalmente más efectivos que invertir mucho dinero en renovar un parque de equipos o modificar configuraciones de red.
Sé que es cierto que, en algunos casos, la propia legislación puede actuar en nuestra contra: por ejemplo al imponer un trámite de información pública en los proyectos de infraestructuras que obliga a exponer al público los proyectos de forma previa a su aprobación. Pero seguro que hay formas de acompasar todos los intereses.
Es necesario, por tanto, evitar que el prefijo ‘ciber-‘ que acompaña a la seguridad de sistemas de control industrial actúe como una mordaza mental que impida ver que existe un camino previo imprescindible en aspectos menos tecnológicos de la protección de nuestras infraestructuras.
Voy a terminar con una cita atribuida a Lenin (sin entrar en valoraciones morales sobre este personaje): ‘Los burgueses nos venderán la cuerda con la que les hemos de ahorcar’. Dejo al lector la trasposición al contexto actual, con el firme deseo de que logremos evitar convertirnos en colaboradores involuntarios del lado oscuro.
Sin entrar en si en los pliegos en cuestión hay información excesiva, prescindible o con demasiado nivel de detalle, ¿cómo puede una compañía presentar una propuesta sin disponer de cierta información sobre el objeto de contrato inherente al mismo y sensible por definición?
Y a la inversa, ¿se puede proporcionar información sobre una infraestructura crítica objeto de licitación que sea suficiente a los efectos de contratación y que no suponga, a su vez, pintarle públicamente una diana a un posible objetivo de ciberloquesea?
Se plantea un debate delicado, complicado e interesante.
En este caso, Alberto, la información está disponible para su descarga directamente. En otros casos que conozco se requiere cumplimentar un formulario con datos acerca de la persona/empresa interesada, con lo que al menos queda registro. A veces se solicita la información y te la entregan en mano (no sé si esto es viable en un ámbito común europeo). Pero desde luego, la descarga directa y sin traza no parece una opción. Además de que sirve como ejemplo del estado actual ‘real’ de preocupación existente en muchos operadores de infraestructuras, que viven al margen del debate existente. Desde luego, esto no pasaba antes, cuando ibas al organismo contratante y te señalaban con el dedo el cajón del proyecto y la fotocopiadora…
Por triste que parezca me recuerda a Torrente I, que mientras limpia su rastro para que no le encuentren se le cae el DNI al suelo…
Bueno yo creo que es básico llevar un control exhaustivo de aquellas personas que requieren visualizar información sobre obra pública, más aún a nivel tan específico como el que comentas. O en todo caso establecer distintos niveles de información con sus respectivos controles de identidad. Por ejemplo para la información más genérica, aquella que no acarrea consecuencias, se puede permitir una descarga directa sin traza, pero para datos más técnicos es imprescindible.
No se trata solo de piratas informáticos, sino de empleados resentidos, competencia, terrorismo, etc.
Esto creo que es más común de lo que se piensa. Hace unos meses me ví en la necesidad de buscar determinada información relacionada con pliegos de contratación y en apenas dos horas me resultó fácil localizar, para un mismo organismo con diversas sedes, información tal que:
– Servicios de vigilancia: número de vigilantes y número de vigilantes por turno, número de cámaras de seguridad, localización de las cámaras, duración de turnos, planificación de las rondas, ubicación de garita de seguridad, descripción del perímetro, alambrado, tipo de alarma, activos a proteger en el recinto.
– Servicios limpieza: Planos detallados de un importante edificio administrativo. ¿??¿?
– Ampliación/Mantenimiento de sistemas: Descripción de los sistemas y grandes sistemas, sistema operativo, procedimientos de actualizaciones, software instalado, versiones, guardias de técnicos, software de monitorización, etc.
– Ampliación edificio para servicios al ciudadano: Planos detallados actuales, planos de obra de ampliación, materiales a utilizar, etc.
Si yo, que soy un simple técnicucho, puedo localizar esta información con pocas dificultades, miedo me dá lo que puede hacer un pirata informático, un empleado resentido, terrorismo. Al igual que Oscar, al ver los planos comencé a pensar en posibles escenarios de ataque.
Está claro que hay que dar información a las empresas para que, si les interesa, concursar o no, pero también está claro que hay que emprender medidas que garanticen una trazabilidad de la información que se suministra o por lo menos, saber en un primer momento quién consulta qué tipo de información aunque una vez entregada a un licitador, éste la difunda sin control alguno.
Y terminaré con otra frase … “Mal de muchos, consuelo de tontos”, así que no sé si alegrarme o no al saber que esto es más común de lo que pensaba.