SCADA e Internet, una pareja mal avenida (I)

La entrada de hoy corre a cargo de Xavi Morant, coordinador técnico de CSIRT-CV. Xavi es Licenciado en Informática por la Universidad Politécnica de Valencia y ha desarrollado su carrera profesional dentro de la Generalitat Valenciana, tanto en el ámbito de la administración de Sistemas como en el de la Seguridad; desde 2007 ocupa el puesto de coordinador técnico del CSIRT-CV, el centro de seguridad TIC de la Comunitat Valenciana.

Ya se ha hablado en este blog en distintos artículos sobre los temas relacionados con sistemas SCADA y no es un tema que se pueda obviar fácilmente tratando de seguridad puesto que tanto a nivel internacional como a nivel nacional se han iniciado diversas acciones legislativas para proteger las infraestructuras críticas (IC) asociadas a este tipo de sistemas.

Los sistemas SCADA (Supervisory Control and Data Acquisition) se utilizan en redes de control de equipamiento en procesos industriales para monitorizar y controlar infraestructuras importantes tales como plantas de generación de energía, redes de transmisión eléctrica, control de aguas, refinerías, oleoductos o gaseoductos, además de sistemas de transporte y comunicaciones. Basta con echar un vistazo a la lista anterior para darnos cuenta de la importancia que pueden tener.

Muchos de estos sistemas se consideran infraestructuras críticas puesto que de su buen funcionamiento dependen servicios esenciales que en caso de abuso o interrupción se verían afectados notablemente por ser indispensables y no disponer de soluciones alternativas. En distintos escenarios podríamos tener incidentes que involucren pérdida de vidas, propiedades, daños como la destrucción de infraestructuras y medios de producción, contaminación o incluso efectos perturbadores sobre las comunicaciones, los mercados y los flujos de abastecimiento.

A nivel nacional se ha considerado la definición del Plan Nacional para la Protección de Infraestructuras críticas (2007) y la creación del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) que posteriormente vendrá afianzado por la publicación de la Ley 8/2011 de medidas a establecer para la protección de estas infraestructuras y el posterior reglamento de desarrollo RD 704/2011.

El listado de infraestructuras críticas es secreto y lo gestiona el CNPIC desde 2007 aunque tanto la Guardia Civil como la Policía Nacional ya se encargaron en 2005 de identificar las Infraestructuras Estratégicas del Estado. EL CNPIC se ha encargado de notificar a todo operador que disponga de una infraestructura catalogada como crítica de su inclusión en el listado, junto con las acciones y responsabilidades que le corresponden, que pasan por disponer de un Plan de Seguridad del Operador (PSO) y unos Planes de Protección Específicos (PPE) para cada una de sus infraestructuras críticas cuyos contenidos mínimos aparecen en la resolución de la Secretaría de Estado de Seguridad, publicada en el BOE del 23/11/2011.

Esta tesitura no aparece de la noche a la mañana sino que viene promovida por el Programa Europeo de Protección de Infraestructuras Críticas (PEPIC) que fue publicado en el año 2004. Dentro de la Agenda Digital Europea se ha publicado recientemente el Plan de Ciberseguridad que si bien tiene un aspecto amplio con un objetivo etéreo (‘impulsar los valores europeos de libertad y democracia y velar por un crecimiento seguro de la economía digital’), plantea una estrategia de conjunto en la que se exige a los estados miembros ‘velar por un entorno digital seguro y fiable’ en el que se deben adoptar prácticas de gestión de riesgos y comunicar los incidentes significativos de seguridad.

Esta iniciativa Europea también ha tenido su transposición dentro del ordenamiento Español con la publicación de la Estrategia Nacional de Seguridad en cuya última versión recalca dentro de las líneas de acción la necesidad de proteger las Infraestructuras Críticas (IC). Cuando se habla de las IC se expresan en un aspecto amplio en el que no necesariamente estos sistemas estarán conectados a Internet pero la Estrategia de Seguridad Nacional contempla 12 escenarios de riesgo y entre líneas podemos ver que todos guardan una estrecha relación con la salvaguarda de los sistemas de información. “El ciberespacio conlleva serios riesgos y amenazas” puesto que por iniciativa “de grupos terroristas, redes de crimen organizado, empresas, Estados o individuos aislados” se pueden llegar a atacar entre otros objetivos, las infraestructuras críticas del país, por lo que se propone la adopción de “medidas preventivas de vigilancia del uso de la red”.

Toda esta actuación organizativa y normativa es indispensable para abordar colaborativamente las acciones reactivas y preventivas dentro de todos los ámbitos en los que aparecen las IC identificadas y pertenecen tanto al sector privado como al sector público en una interdependencia con la que difícilmente se podrían abordar por separado. Con todo lo expuesto hasta ahora, se evidencia la preocupación a nivel nacional e internacional por los servicios esenciales que se presta al país y a los ciudadanos.

En la próxima entrada veremos el posible impacto que tendrían las amenazas actuales contra alguno de estos sistemas.

Comments

  1. Da miedo pensarlo, espero con ganas la segunda parte..

  2. Muy de actualidad. En nuestra web hemos publicado repetidos ataques a infraestructura crítica en países como EEUU. Pongo enlace a un artículo reciente que analiza el comportamiento de la APT Icefog y como ha afectado transversalmente a varios sectores económico-industriales de Corea.
    http://www.mejor-antivirus.es/noticias/la-apt-icefog-espionaje-clandestino.html

    Saludos y buen trabajo

Trackbacks

  1. […] La entrada de hoy corre a cargo de Xavi Morant, coordinador técnico de CSIRT-CV. Xavi es Licenciado en Informática por la Universidad Politécnica de Valencia y ha desarrollado su carrera profesiona…  […]