[ Articulo publicado el 20 de diciembre de 2010. ]
Las telecomunicaciones y las nuevas tecnologías aplicadas a los procesos repercuten en recorte de costes en la industria privada y pública. Sin embargo, un primer diseño de los sistemas no aborda la necesidad de protección contra amenzas de terrorismo digital, de modo que, existen formas de sabotear instalaciones industriales críticas a un pais.
Hace ya algunos años me encontré con un curioso y a la vez preocupante documento norteamericano que revisaba la ciber-seguridad de las redes de energía. Me llamó mucho la atención porque era algo que se veía venir pero no había visto tal preocupación en un gobierno hasta entonces.
Corria el año 2007 cuando revisaba las especificaciones de un proyecto SCADA y encontré este documento por azar. Sin embargo los escenarios en los que un ciberataque puede afectar las infraestructuras norteamericanas vienen siendo estudiadas muy seriamente desde el desastre de las torres gemelas en 2001.
Antes, en el 97 una comisión presindencial de los EEUU expuso (PDD-63) la necesidad de un esfuerzo por asegurar las infraestructuras básicas y críticas antes del 2003. Ni que decir que despues del 2001 la aceleración de todas las instituciones norteamericanas por afianzar las medidas cara a la seguridad nacional fueron tomadas muy en serio.
Durante 9 años se ha desarrollado toda una estrategia para mitigar el impacto de un ataque digital a los Estados Unidos de América. Estamos hablando de ciberterrorismo.
¿ Cómo podemos definir el ciberterrorismo ?
Pues algo así como explotar las debilidades de la arquitectura de los sistemas de información para realizar ataques dañinos y crear terror entre la población en base a motivos políticos.
Se ha pasado de necesitar un imponente poderío militar para vérselas con EEUU a simplemente tener un poderío de conocimiento hacker para poner en riesgo el sueño americano.
¿ Es posible el ciberterrorismo ?
Evidencias desde hace muchos años demuestran que no solo es posible sino que cada vez los ciberataques, que son su expresión o herramienta, son más agresivos y dañinos. Otra cosa es que se use para crear terror produciendo daños similiares o mayores a los producidos por coches bombas.
Si la seguridad para los recursos físicos convencionales como el transporte aereo fallaron estrepitosamente en el caso de septiembre de 2001 ¿ Que ocurriría respecto a las infraestructuras digitales críticas y básicas para un pais que son más etéreas y dispersas ?
El transporte aereo empezó a ser un objetivo para las redes terroristas desde la década de los 70 y en treinta años nadie puso los medios para evitar el fatídico 11 de septiembre. Llevamos unos diez años de evolución de los delitos informáticos a escala globalizada en cuanto a número y complejidad, si pensamos que el mundo digital es 10 veces más rápido en evolucionar que el mundo convencional ¿ cuanto tiempo falta para un desastre digital en las infraestructuras a nivel global ?
| "There is a growing threat that cyber attacks on operational control systems could create a crisis for which no one is prepared." |
El objetivo de un posible ataque de ciberterrorismo en teoría sería una infraestructura básica o crítica para una nación. Podemos hacer un listado como el siguiente :
Red de energía electrica (*)
Otras energías con alta dependencia para un pais (*)
Encriptación (*)
Servicios del estado esenciales (*)
Comunicaciones (*)
Transporte aéreo (*)
Sistema financiero (*)
Combustibles
Agua potable
Agua sucia
He ordenado de mayor a menor importancia estratégica y he marcado con un asterisco los que creo que son críticos. Es mi opinión y coincide con algún documento que otro que he ido consultando.
Sin duda la infraestructura más crítica es la red eléctrica ya que actualmente sin la electricidad todo lo demás se viene abajo, mas tarde o más temprano.
Otras energías como el gas natural o el gasoil pueden hacer a un pais muy vulnerable si depende de ellos ante circunstancias adversas climatológicas, recordad el problema del gaseoducto entre rusía y el este de europa.
La encriptación es una infraestructura más y a mi entender crítica. De ella depende la privacidad de muchísima información vital y confidencial mas si cabe en unión de las telecomunicaciones. El estado, servicios logísticos o el sistema financiero resultaría comprometido si la encriptación se rompe ( Robert Redford y Bruce Willis nos lo dejó claro ).
Que decir de los servicios del estado esenciales como gestión tributaría, inteligencia, interior o defensa.
Las comunicaciones, el transporte aéreo y el sistema financiero para terminar son evidentes infraestructuras críticas, basta ver el resultado del plante de los controladores aereos o la dependencia de los mercados que tienen los paises actualmente.
El resto de la lista no es que dejen de ser críticos, lo son, pero sin embargo su hackeo es difícil en cuanto a que es una red menos compacta, homogenea y local que la red eléctrica por ejemplo.
Centrémonos en la red eléctrica
Creo que la red eléctrica es el objetivo mas apetitoso para un grupo terrorista si piensa desplegar un ataque digital. Tal como desgranan documentos consultados de las 15 agencias norteamericanas que he visitado los sistemas eléctricos de un pais, sean de generación o distribución, estan muy ligados a las tecnologías de control y supervisión.
Es más, la medición del consumo e incluso el corte de suministro de los hogares, comercios o pequeñas industrias se realizará en breve en España remotamente porque se va a desplegar una red digital de control y supervisión en cliente.
Los transformadores, las subestaciones, los centros de control locales, gran distribución, interenlaces, saltos de agua, centrales nucleares y mas tienen en común que :
- Están comunicados para intercambio de ordenes de control o adquisión de datos para supervisión
- Tienen electrónica semi o inteligente que recibe órdenes y genera informacion de estatus
- Son objeto de formar parte de una arquitectura de sistemas de información en el que existen equipos informatizados a diferentes nivels o capas de funcionalidad.
El ciberterrorismo como podríamos entender probablemente empezará por atacar sistemas mas o menos aislados y acabará por atreverse a dejar caer un sistema completo.
Por ello de los tres elementos anteriores el que mas daño puede provocar es la pérdida de control sobre un sistema de información informatizado interconectado o no con una red de comunicaciones propietaria o de amplia difusión.
Los SCADAs y DCS son tecnologías mas o menos similares que permiten la supervisión y control de procesos industriales. Por debajo de ellos estan dos niveles mas, si seguimos una arquitectura CIM, especificados como planta e instrumentación.
Los SCADAS y DCS se basan explícitamente en el uso de ordenadores estándares usando sistemas operativos que van desde el Windows de Microsoft hasta el Solaris de SUN (UNIX). Al ser equipos informáticos conectables a redes de información externas pueden verse comprometidos a ataques digitales aprovechando los cientos de vulnerabilidades que padecen.
Los elementos de los niveles de planta e instrumentación han evolucionado desde la mera electrónica de relés y sensores pasivos hasta los actuales PACs y sensores inteligentes que promueven la interconexión basada en protocolos base de uso comercial como es ethernet y TCP/IP.
Por tanto, a estas alturas en cuanto a tecnología industrial tenemos la certeza de tres niveles comprometidos.
| "Securing DCS/SCADA is a national priority." |
Observad el siguiente cuadro :
Es decir, podemos deducir que los SCADA y DCS son blancos seguros de posibles ciberataques terroristas.
Volviendo a las infraestructuras eléctricas, ¿ os imaginais que tipo de software usan ?
¿ Cuál es la tendencia de la industria ?
Bien, las tecnologias informáticas, los sistemas SCADA y DCS, los equipos de control y en general todo lo relacionado con la industria no se ha orientado a cumplir con un marco de seguridad cara a grandes ataques delictivos.
En estos últimos 20 años lo que si se ha mejorado son los indices de costo, eficiencia y rendimiento. Sin embargo el tema seguridad se ha dejado relegado a los propios sistemas operativos y pequeñas arquitecturas de identificación y protección por claves.
El entorno ejecutivo de la industria aun no es consciente del peligro que se corre en cuanto a asimilar tecnologías que rentabilizan los negocios pero comprometen su continuidad a gran escala y en cadena.
Aunque lo fuesen tendrían que formalizar una verdadera iniciativa colectiva en sincronía con los gobiernos nacionales que requiere un esfuerzo en tiempo, dinero y recursos humanos descomunales.
Esta iniciativa recoge conceptos de revisiones de estándares, creación de marcos y metodologías, formación de personal, regulación de las relaciones entre clientes, proveedores y fabricantes y otros tantos puntos que ahora se me escapan.
La tendencia de la industria por ahora seguirá su linea de evolución entorno a costes y rendimiento acercándose cada vez mas en todos sus niveles CIM a la informatización. Mientras se crea legislación, organismos y grandes pactos público-privado la inercia del actual modo de funcionar de la industria continuará hasta que ocurra un día lo peor.
Curiosamente los sistemas que permanecen en un estado mas obsoleto y menos rentable son ahora los mas seguros.
¿ Que se está haciendo para poner al mundo civilizado a salvo del ciberterrorismo ?
Bueno pues los que se estan dando cuenta están poniendo su maquinaría en marcha para tomar medidas. El actor más conocido en este escenario tecnológico que empezó a tomarselo en serio fué EEUU.
Empezó a mediados de los años 90 y acelero su ritmo despues de los ataques del 11 de septiembre. Hay muchas iniciativas como :
- SP-99 Standard Technical report (2003),
- “Security Capabilities Profile for Industrial Control Systems”, PCSRF
- DOE’s 21 Steps to Improve Cyber Security of SCADA Networks
Europa y en concreto España van muy atrasados tanto en reconocimiento del problema como en poner en marcha las primeras fases de una adaptación de los modelos de negocio e infraestructuras tecnológicas.
La directiva promueve esta adaptación a los paises miembros que en España hasta finales del 2007 no se tradujo en el CNPIC, Centro Nacional de Infraestructuras Críticas.
Inteco y CNPIC parecen ser los candidatos para velar por nuestros intereses.
¿ Como vamos los españoles ?
En Google puse <scada cyber attack> y me salieron decenas y decenas de entradas relacionadas con empresas privadas, gobierno e instituciones académicas.
Puse <scada ciber ataque> y fue bastante decepcionante, algunos blogs y algún artículo escarriado. La iniciativa española va un poco atrasada.
En la página de Inteco busque palabras claves como ciberataque, ciberterrorismo o SCADA con resultados frustrantes. La web de CNPIC tiene poca chicha.
En un árticulo en un blog encontré que un tal Marco Gomez de Inteco afirma que estamos preparados contra el ciberterrorismo, y parece ser que incluso se han hecho simulacros de ataques, todos ellos rechazados. Como sean similares a las pruebas de stress bancario pues vamos listos.
¿ Pero Javier que tiene que ver el titulo del artículo con los SCADAS, EEUU y ..... una patada en la escalera ?
A ver, el pasado mes de julio alguien metido en el sector de la protección contra malware identificó unas trazas infecciosas muy curiosas cuyo objetivo era atacar sistemas de control de Siemens Simatic. Parece ser que un equipo multidisciplinar con no menos capacidad de recursos tenía la sana intención de echar a bajo las infraestructuras energéticas de Irán. Se ha declarado este evento como el primer ciberataque a sistemas industriales de la historia.
El pasado mes de Marzo 2010 se celebró el :
1st EU-US Expert Meeting on Critical Infrastructure Protection (CIP)
una bonita reunión entre los norteamericanos y sus siempre condescendientes aliados.
¿ Casualidad ? NO creo.
¿ Y que es la patada a la escalera ? Pues la simpática costumbre que tiene los EEUU de subir por una escalera a una mejor posición y una vez arriba pegarle una patada para que nadie le siga.
Mas claro, agua.
Javier G. Sáenz
Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA
Consultor Senior IT
Experto en ciberseguridad industrial, ISA S-99
Analista Programador Senior Siemens Simatic
Ingeniero de Software Senior proyectos de control de procesos
Especialidades:En general :
Ingenieria del Software Senior, metodos formales y ágiles
Ingniero de Sistemas Windows Senior
Programador multidisciplinar y multiplataformas, desktop, servidores e industrial
DBA Junior, specialidad Microsoft MS SQL
Operador de red Junior
Comprometido con ISO9001 , ISO27001, ITIL V2, COBIT, TOGAF, PMBOK
No hay comentarios:
Publicar un comentario