Year 2 - Week 9
GrupoDC Solutions visitó la pasada semana la VI edición del Salón Internacional HOMSEC, destinado a presentar los últimos avances en industria de defensa, con productos que van de los clásicos vehículos blindados, que cada vez incorporan mayores capacidades como es el caso de los VAMTAC, tecnología de transmisiones y vigilancia, a campos novedosos que ganan terreno en el sector de año en año, como son los sistemas de reconocimiento biométrico, drones, simuladores o, uno de los temas que nos suscita mayor interés, la evolución en el ámbito de la ciberseguridad.
De especial relevancia, por ello, nos resultó la mesa redonda “Protección de Infraestructuras Críticas: resiliencia y criptografía”, en la que participaron ponentes de las empresas EPICOM, ESET, ATOS y el IEEE, moderados por Miguel Ángel Abad, miembros del CNPIC (Centro Nacional de Protección de Infraestructuras Críticas).
Las infraestructuras críticas son un claro ejemplo en la necesidad de convergencia de los dominios de seguridad física y lógica con la propia seguridad nacional, por los servicios que prestan. Las infraestructuras críticas son, según la Ley 8/2011 de 28 de abril sobre protección de infraestructuras críticas, aquellas infraestructuras estratégicas –esto es, instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre las que descansa el funcionamiento de los servicios esenciales- cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales[1]. A ello se unen dos elementos clave: que las infraestructuras críticas están con frecuencia gestionadas por operadores privados y que continuamente manejan un ingente número de datos de los usuarios del servicio. Por tanto debemos de partir de la base de un modelo integrado de seguridad que aúne sector público y privado, seguridad física y lógica, y orientado tanto a proteger la continuidad y disponibilidad del servicio como la seguridad de la información de los usuarios. Esta configuración representa, de entrada, un escenario donde las vulnerabilidades son múltiples.
Sin embargo, ¿es tan dramático el escenario como nos parece? Sin lugar a dudas las vulnerabilidades son muchas y en aumento conforme las interconexiones crecen, pero el entorno de las infraestructuras críticas no es tan desolador como parece a priori. Por ejemplo, es cierto que buen número de ellas, como centrales nucleares y eléctricas, estaciones de televisión, redes de transporte público, etcétera, cuentan con distintos sistemas de control que dificultan las respuestas homogéneas, o que muchos de ellos se basan en sistemas operativos Windows desactualizados (como Windows XP); sin embargo, aunque los sistemas no estén actualizados tampoco están conectados: acceder a ellos requeriría un fallo en la seguridad física de la instalación, y ello es complicado, aunque no imposible. El gusano Stuxnet se introdujo en central nuclear iraní de Natanz a través del USB de algún trabajador, sin embargo este tipo de operaciones requieren una infraestructura logística y de inteligencia al alcance de muy pocos actores. Más probable es un ataque a la infraestructura a través de algún punto vulnerable y conectado, como puede ser el ordenador de un administrativo. Pero ello tampoco implica un riesgo inmediato para la continuidad del servicio o la integridad de la planta: casi todas las infraestructuras críticas cuentan con un sistema analógico no conectado de back-up que garantiza el funcionamiento aún en caso de un componente de infectado en la red. La alarma se genera debido a que por ley estos incidentes deben ser notificados para su gestión y verificación al CNPIC. Algunos elementos que pueden incidir en la prevención y en la minimización de daños son evaluar cuánto tiempo tenemos para actualizar el sistema antes de que emerja una nueva amenaza, cuánto estamos dispuestos a invertir para una gestión eficaz, y quién va a gestionar el proceso. En resumen, la protección pasa por la convergencia como mínimo de las variables técnica, económica y humana.
Resiliencia de redes.
Por resiliencia entendemos la capacidad de un cuerpo de absorber un impacto y recuperar su forma habitual. Implica capacidad de recuperación, lo cual traducido al ámbito de las infraestructuras críticas conlleva gestión de los incidentes, recuperación de los sistemas y capacidad para continuar operando. Y a su vez, la continuidad se relaciona con la disponibilidad del servicio, pero también la autenticidad, integridad y confidencialidad de la información, no sólo aplicado a las infraestructuras críticas, sino a cualquier modelo de negocio que preste un servicio. La información, pues, es un elemento clave, pues de ella depende el proceso de toma de decisiones, la velocidad de respuesta a incidentes y la gestión dada a los mismos, por ello el modelo de seguridad se ha ampliado de la seguridad física a la ciberseguridad, orientada a la protección del asset informativo. Una intrusión en un sistema operativo puede significar la alteración de los flujos y almacenamiento de información, y generar problemas de disponibilidad, integridad, autenticidad o confidencialidad en forma de ataques de no-repudio o DOS (denegaciones de servicio).
Algunas propuestas de solución:
La criptografía, que garantiza el cifrado de todo el mensaje, pero también el establecimiento de accesos remotos para que los propios trabajadores puedan trabajar desde distintos entornos garantizando los parámetros de la información, y una red segura de respaldo para mantener en paralelo el servicio en caso de emergencia, o soluciones criptográfricas que incluyan cifradores protegidos de forma que los puntos más vulnerables del encriptado, los extremos del mensaje, que con frecuencia precisas actualizaciones de software, parches, etc., queden también garantizados.
La monitorización de los sistemas para detectar anomalías a través de sistemas de control industrial (ICS) o de patrones de comportamiento, etcétera.
Diversificación de sistemas y software. La globalización tecnológica y de productos tiene la gran ventaja de proporcionar respuestas rápidas y homogéneas y estandarizadas a incidentes, pero presenta como inconveniente que es una plataforma para la globalización de las amenazas. Una respuesta básica es diversificar elementos tales como antivirus o firewalls, contando con dos de diferentes marcas, de modo que uno actúe como respaldo y refuerzo del otro.
Concienciación de toda la cadena de mando y de los propios usuarios. Los errores humanos ocurren a nivel de proveedores, técnicos, decisores, etcétera.
Reforzar la cooperación entre los sectores público y privado, especialmente en el ámbito de la protección de datos. El sector privado reclama la necesidad de apoyos financieros para poder garantizar la seguridad de la información de sus clientes y usuarios, y en este sentido las inversiones distribuidas desde el sector público mejorarían la protección de las empresas. Sensu contrario, para ello es imprescindible que las empresas reconozcan haber sufrido un ataque sin temor a que los niveles de confianza de sus usuarios se resientan, pues para poner la solución previamente es necesario tener conocimiento del problema. En este sentido, también es vital reforzar los canales de comunicación entre sector público y privado, mecanismos interactuación, los canales de información, el lenguaje en que esta información se retransmita y las garantías de seguridad que estas comunicaciones presentes.
Así pues, la protección no sólo de las infraestructuras críticas, sino de las organizaciones proveedoras de servicios en general, pasa por un esfuerzo conjunto de toda la cadena de mando, de la cooperación entre sector público y privado, y por la concienciación de que la seguridad ya no es sólo una cuestión de protección de elementos físicos.
[1] Artículo 2.d y 2.e de la L8/2011.