A pesar de que ya llevo años trabajando en el sector TI, algunas cosas todavía hacen rechinar los engranajes de mi mentalidad de ingeniero industrial (engranajes, industrial, bueno, ya me entendéis).
Se habla mucho de la convergencia entre IT y OT y las diferencias entre ambos sectores, en muchas ocasiones con argumentos que incluyen conceptos como: diferencia de vidas útiles de los equipos; énfasis en la safety más que por la security; prioridad del criterio de disponibilidad frente a confidencialidad e integridad; mentalidad conservadora, etc. Uno de los puntos más importantes es, sin duda, la preocupación por la seguridad de las personas y las cosas (así se dice en cantidad de reglamentos técnicos). Esto es exactamente así: nos preocupa la seguridad de las personas y las cosas porque los fallos de los sistemas industriales pueden implicar la muerte de personas y/o la destrucción de infraestructuras, edificaciones o, al menos, del propio equipo afectado. Está muy reciente el incidente en el puerto de Tianjin, en China, que se saldó con la muerte de más de 100 personas, cientos de miles de desplazados y un daño medioambiental de enormes proporciones.
Por esta razón, durante el siglo XX, se ha ido construyendo todo un entorno técnico y legal para garantizar, en la medida de lo posible, que tales situaciones no se produzcan o, cuando menos, los daños se limiten al máximo: se dispone de reglamentos técnicos específicos de obligado cumplimiento: reglamento de almacenamiento de productos químicos; reglamentos electrotécnicos de alta y baja tensión; reglamento de aparatos a presión; reglamento de aparatos elevadores y muchos más que son el día a día de los ingenieros industriales. Junto a ellos existe todo un sistema de acreditaciones (carnets profesionales, competencias de cada titulación de ingeniería); documentos técnicos (proyectos, certificados de final de instalación, visados); inspecciones reglamentarias periódicas; entidades acreditadoras (OCAS); laboratorios de ensayos; normativa específica de diseño, construcción y ensayo de materiales, equipamiento e instalaciones y, por último, marcados de conformidad (como la marca CE).
El hecho es que todo este montaje de obligado cumplimiento en un país cumple otra función: la asignación de responsabilidades si algo sale mal. Una de las misiones de la justicia es la reparación del daño causado, y para ello ha de haber una atribución de responsabilidades, civiles y penales. Hay una diferencia abismal entre poder mostrar una serie de certificados de cumplimiento técnico, de conformidad y de inspección en regla y no poder hacerlo.
Como se habrá notado, en todo esto siempre estamos hablando del mundo físico (como si hubiese otro, pero eso es otro tema): electricidad, química, mecánica, materia y energía en general. Pero las cosas han cambiado mucho en muy poco tiempo, y los equipos y sistemas industriales ya no son sólo sistemas físicos, si no también software y comunicaciones: de nuevo la convergencia IT/OT.
Mis engranajes mentales rechinan irremisiblemente cuando veo que mi smartphone, cubierto por una garantía de 2 años en sus componentes mecánicos, eléctricos y electrónicos, está expuesto a vulnerabilidades conocidas sólo porque el fabricante decide que un año y medio es tiempo suficiente para dejar de ofrecer a los compradores actualizaciones del software. Si mi móvil deja de funcionar antes de dos años por un fallo mecánico, se me repara o sustituye. Por el contrario, si por culpa de una vulnerabilidad no parcheada me roban mis datos bancarios y me causan un perjuicio económico, ¿quién es el responsable? Si el navegador de mi hackeado móvil me dirige a un puente en obras y caigo y muero, ¿qué pasa? Si se produce un fallo en el firmware de mi coche que lo deja fuera de servicio parece evidente que el fabricante es el responsable pero ¿qué ocurre si el incidente es consecuencia de un ataque que aprovecha una vulnerabilidad?
El escenario al que nos enfrentamos es completamente nuevo y suscita una serie de preguntas que, de momento, no parecen tener respuesta:
- ¿Por qué la ley no obliga a que se parcheen las vulnerabilidades conocidas, al menos, durante el periodo de garantía?
- ¿Cómo se atribuirán responsabilidades cuando estas situaciones comiencen a producirse?
- ¿Cómo va adaptarse el entorno técnico-legal industrial a estas nuevas circunstancias?
- ¿Es posible crear un sistema paralelo de laboratorios, acreditaciones y certificaciones de ciberseguridad?
- ¿Eximirá o, al menos, atenuará las responsabilidades de un fabricante la posesión de un certificado de ejecución de un test de ciberseguridad?
- No actuar con la debida diligencia ante la publicación vulnerabilidades en un equipo industrial, ¿supondrá un agravante? Ya hemos hablado de nuestra experiencia con fabricantes de ICS en esta cuestión.
Personalmente estoy muy interesado en ver qué respuesta se da desde la Administración a estas cuestiones aunque, hasta ahora, el panorama es un desierto yermo. Ya hablamos de ello con anterioridad en relación con el proceso proyecto-construcción y la protección de infraestructuras críticas.
No cabe duda de que la famosa convergencia va mucho más allá de protocolos. Nos encontramos ante un panorama completamente nuevo que exigirá cambios con los que, de momento, sólo podemos especular.
Muy buen Post. Muy interesantes las preguntas que parecen no tener respuesta todavía, esperemos que algún día la situación haya evolucionado y se puedan responder ;-)
Buenas preguntas nos haces cuestionarnos Óscar! Supongo que al final acabrán creándose normativas específicas para los ICS, alguna entidad reguladora de las vulnerabilidades propias de estos sistemas, o por lo menos que la industria en general comience a preocuparse por esta problemática. Pero de aquí a que lleguemos a eso, nos queda como bien dices ese yermo desierto de incertidumbre…