La entrada de hoy corre a cargo de Xavi Morant, coordinador técnico de CSIRT-CV. Xavi es Licenciado en Informática por la Universidad Politécnica de Valencia y ha desarrollado su carrera profesional dentro de la Generalitat Valenciana, tanto en el ámbito de la administración de Sistemas como en el de la Seguridad; desde 2007 ocupa el puesto de coordinador técnico del CSIRT-CV, el centro de seguridad TIC de la Comunitat Valenciana.
El lunes publicamos la primera parte de Scada e Internet, una pareja mal avenida. Pues bien, hoy continuamos con la segunda parte para centrarnos en el posible impacto que tendrían las amenazas actuales contra alguno de estos sistemas.
Podríamos hablar de 3 tipos de impacto:
- Impacto físico: Como consecuencia de un incidente de seguridad podemos sufrir daños en personas, pérdidas de operaciones, pérdida de propiedad o incluso pérdidas de vidas.
- Impacto económico: Esta situación viene derivada de los daños físicos. El impacto físico, tal como se ha comentado, puede afectar a procesos operacionales que a su vez pueden afectar negativamente la economía local, regional, nacional o incluso la economía global. Adicionalmente las corporaciones que experimenten pérdidas en la continuidad de negocio y/o impacto físico de un incidente de ciberseguridad verán afectada su reputación, lo cual repercutirá en el mercado financiero por la supuesta pérdida de ingresos debido a clientes insatisfechos, desconfiados, etc. Para obtener de nuevo una buena reputación habrá que promover campañas y destinar fondos a una mejora de imagen.
- Impacto social: Un tercer elemento es la pérdida potencial de la confianza nacional en los operadores. La pérdida de confianza en los sistemas de transporte, recursos hídricos, gestión de gaseoductos y oleoductos (entre otros) puede tener un alcance social inesperado. Por poner algún ejemplo, el público en general podría rechazar utilizar el transporte público, consumir agua del sistema público de aguas potables, residir cerca de una central eléctrica, etc.
Una aproximación para tratar los riesgos se basa en reducir la ‘superficie de exposición o superficie de ataque’ que pasa por conocer exhaustivamente nuestros sistemas y redes internos ya que de esta forma conoceremos nuestras vulnerabilidades y podremos utilizar algún tipo de producto que mitigue las amenazas, parchee nuestros sistemas y bloquee sitios maliciosos. Pero esta aproximación no es suficiente porque demanda reducir el foco en una perspectiva interna. Hoy en día los sistemas son altamente complejos y se interconectan en múltiples y cambiantes medios. Si sólo nos centramos en las vulnerabilidades, parece que la información sobre vulnerabilidades sea el activo más importante de la organización cuando sabemos que esto no es cierto. Además se dará demasiada importancia a ataques puntuales cuando hay que tener un punto de vista más amplio entendiendo que los ataques persistentes sobrepasan los ataques basados en vulnerabilidades ya que juegan a largo plazo contra activos estratégicos y se pueden adaptar a un sistema defensivo parcial. La frase es típica pero lapidaria: “Un defensor tendrá que defender en todos los frentes cuando un atacante solo tiene que escoger un punto de intrusión en cada momento”.
También es evidente que tratándose de infraestructuras críticas, un impacto en un sistema puede afectar en un orden de magnitud a los sistemas de otra infraestructura también esencial puesto que seguramente serán operacionalmente dependientes. Dada la gran cantidad de actores involucrados con diferentes aproximaciones para gestionar los riegos ¿es posible hacer una gestión centralizada con el CNPIC? ¿Puede uno de estos actores ser protegido independientemente del resto? ¿Es posible hacer que todos trabajen juntos? Las organizaciones implicadas cubren un vasto campo de acción pero deben trabajar colaborativamente para ofrecer sus soluciones individuales y colaborar en el Plan Nacional (PNPIC) o sectorial (PES). Es aquí donde tratan las interdependencias y se complica la ecuación.
Las amenazas de hoy en día y la de los próximos años son amenazas persistentes (en referencia a las APT) donde la ‘P’ de persistencia indica que el atacante no desistirá fácilmente en su empeño ya que la motivación va mucho más allá de la de un simple hacker encerrado en un sótano escuchando canciones de Madonna y comiendo pizza. Se deben intentar cambiar los parámetros de la ecuación para que el coste asociado a atacar nuestros sistemas no sea atractivo.
Cualquier incidente relevante tiene que ser tratado con la celeridad y transparencia necesaria ya que una publicación parcial o un filtrado sesgado de información puede provocar un perjuicio adicional por extenderse sin control a través de medios de comunicación, redes sociales, etc. Con la importancia que se está dando a estos sistemas, resulta indispensable tener un plan de comunicación que permita fluir la información hacia todos los actores y dentro de parámetros establecidos.
Pocas organizaciones contarán con profesionales específicos en ciberseguridad industrial por lo que deberemos involucrar a distintos actores para llevar a cabo los proyectos de protección que necesitamos. Estamos hablando de una labor de equipo que se tiene que abordar ya. Resulta evidente que con la situación actual no nos podemos relajar en ningún momento ni se puede afrontar con una acción individual.
Buen artículo; lejos de poder dejar las llaves de casa bajo el felpudo debemos encontrar medios mas seguros para abrir y cerrar puertas, y la primera premisa es saber lo que en ello nos jugamos.
Si un sector industrial (por ejemplo) se dedica exclusivamente a coleccionar datos sobre vulnerabilidades (dicho a grosso modo) siempre estarán por detrás en la lucha. Supongo que, como dices, esto requiere un enfoque más activo y dotado de más recursos -de paso- para poder ir bloqueando puertas antes incluso de que sean forzadas.
Con el auge de las APT -como bien dices- y el manifiesto interés que algunos estados y organizaciones terroristas/criminales tienen en utilizarlos, o nos ponemos las pilas o las consecuencias pueden ser desastrosas.
Saludos