Sin duda, el sector de las infraestructuras críticas, donde se integran organizaciones que operan en los mercados de telecomunicaciones, transporte, energía y, por supuesto, cualquiera para la que una interrupción de sus servicios pueda tener consecuencias dramáticas, desempeña un papel fundamental para la buena marcha del Estado y de la sociedad y para mantener la seguridad de los ciudadanos.
Es por ello que salvaguardar estas infraestructuras y contener cualquier tipo de ataque que pueda conllevar una suspensión en los flujos de suministros vitales o una parada de la producción se ha vuelto más importante que nunca. Además, no hay que olvidar que, a diferencia de lo que ocurría en el pasado, las organizaciones industriales ya no permanecen aisladas. La constante necesidad de modernizar los sistemas industriales, de mejorar los procedimientos de mantenimiento operativo y de aumentar la productividad están impregnando las capas de una red cada vez más conectada al exterior, muchas veces sin que los responsables de su gestión sean conscientes de ello.
Tecnologías disruptivas en la protección de infraestructuras críticas
Así, realidades como el Internet de las Cosas, la nube, el edge computing o la automatización, robotización e Inteligencia Artificial son solo algunas de las tecnologías disruptivas que están impulsando esta industria hacia una nueva era gracias a la mayor conectividad que aportan con el resto de dispositivos y redes (PLC, RTU o IED). No obstante, esta mayor conectividad, fomentada por el uso masivo de tecnología de comunicación (protocolos IP, WiFi, estándares GPRS, 4G LTE, etc.) y la apertura de redes que tradicionalmente estaban cerradas, ha allanado el camino a nuevos vectores de ataque, haciendo que estas infraestructuras sean aún más vulnerables y se conviertan en el blanco principal de los actos terroristas o de sabotaje perpetrados mediante ciberataques.
De este modo, en los últimos años hemos conocido importantes ataques dirigidos contra estas infraestructuras y servicios críticos y que han ido evolucionando, desde malware, ataques DDoS, smurf, APT y hasta la utilización de malware modular avanzado que se aprovecha de vulnerabilidades en protocolos industriales, que no incluyen una dimensión de ciberseguridad ni proporcionan ningún mecanismo de autenticación o cifrado. Esta situación es aún más peligrosa porque el equipo de tecnología operativa (OT) que utiliza estos protocolos tiene un ciclo de vida mucho más largo que los de IT (Information Technology).
Por lo tanto, el riesgo cibernético crece con el tiempo… Y esto es particularmente cierto para los protocolos más conocidos como Modbus, Profinet, BACnet (específico para los sistemas de gestión de edificios), IEC 60870-5-104 y DNP3 (específico para las redes de distribución de energía).
En este sentido, a ataques de gran repercusión, como los dirigidos contra importantes infraestructuras críticas como redes eléctricas o alguna siderúrgica (con una clara motivación geopolítica), los han acompañado otros, menos conocidos, pero más comunes, cuyo objetivo es robar información. A raíz de esta tendencia, es de esperar, por tanto, que los ciberataques contra la industria y servicios críticos vayan a seguir en aumento. Por ello es necesario contar con mecanismos y contramedidas para proteger los sistemas críticos.
Contramedidas
La detección de estos ataques es de extrema dificultad y constituyen uno de los peligros más importantes a los que se enfrentan los profesionales de seguridad. Por ello, y por el carácter crítico de la infraestructura a proteger, multitud de países, entre ellos los Estados miembros de la Unión Europea, y por supuesto España, se han movilizado para generar leyes, reglamentos y directivas, así como para crear estructuras operativas destinadas a proteger el espacio cibernético en todos sus ámbitos. Tal es el caso de la directiva sobre la Seguridad de las Redes y los Sistemas de Información (NIS) en Europa, la Ley PIC 8/2011 para la protección de las infraestructuras críticas y del Real Decreto-ley 12/2018 (transposición de la NIS) para la seguridad de las redes y sistemas de información.
Fundamental resulta también el apoyo de entidades clave, como la Plataforma Tecnológica Española de Seguridad Industrial y los conocidos como CERT (Computer Emergency Response Team) o CSIRT (Computer Security and Incident Response Team), que han demostrado a lo largo de los años ser un factor clave para asegurar la continuidad de los servicios críticos a pesar de ataques exitosos, accidentes o fallos.
Sin embargo, este marco legal resulta, por sí solo, insuficiente. El paso del tiempo ha demostrado que las empresas y entidades que gestionan infraestructuras críticas deben seguir una serie de buenos hábitos que les permitan mantener su actividad. Asimismo, y ante la falta de profesionales de seguridad especializados, con unos conocimientos de control y de protocolos industriales adicionales a los que se deben de tener en TI, estas entidades deben apostar por soluciones tecnológicas y de ciberseguridad que les ayuden a cubrir esta falta y a asegurar sus infraestructuras.
Soluciones de seguridad fiables
Teniendo en cuenta las necesidades intrínsecas de disponibilidad, accesibilidad y seguridad que deben cumplir estas organizaciones, los sistemas informáticos deben ser robustos y resistentes para hacer frente a los ataques cibernéticos. De esta manera, es crucial que los diversos responsables sitúen los conceptos de gestión de riesgos, identificación de activos sensibles y segmentación de redes en el centro de sus procesos de transformación digital, asignando los presupuestos adecuados para una protección eficaz.
No obstante, y más allá de las redes, también es ineludible asegurar toda la cadena, desde las estaciones de trabajo y otros dispositivos diversos hasta todos los datos, con la elección de soluciones recomendadas y/o aprobadas por organismos internacionales que garanticen la disponibilidad de la red en caso de fallo, protejan los protocolos industriales (Modbus, OPC, etc.), filtren y delimiten los flujos de información entre la red IT y OT y los controlen entre la instalación y el exterior.
Dicha solución debe ser capaz también de mantener unas condiciones de seguridad óptimas para los entornos desconectados (estaciones de trabajo), proteger los sistemas operativos obsoletos como Windows XP, duplicar con éxito la seguridad del entorno de producción en el gemelo digital y asegurar que las áreas de IT y OT hablen el mismo lenguaje. Por último, el apoyo de especialistas será muy útil para ayudar a este tipo de empresas a sacar el máximo provecho de las soluciones implementadas en un entorno restringido.
Las amenazas a las infraestructuras críticas están ahí, y las empresas deben armarse para detenerlas
De nada sirve esconderse tras tecnologías obsoletas, variables aleatorias o falsos espejismos. Para estar a la altura y hacer frente a una amenaza descontrolada y multiforme es necesario dar un paso más: ya no se trata de saber si una determinada infraestructura será atacada, sino más bien de conocer cuándo se producirá el ataque. La clave es estar preparado.