Q93 - Tecnología y equipamiento para la industria química

SEGURIDAD 43 podían ser explotadas desde el interior de las propias infraestructuras. Pero no quedó ahí. Más recientemente, un nuevo grupo de ciberdelincuentes lla- mado Sandworm vulneró el interfaz hombre-máquina (HMI) de varios fabri- cantes de equipamiento industrial a través de las conexiones a Internet que tenían establecidas. RESILIENCIA, LA CLAVE El resultado de esta sucesión de even- tos ha sido una creciente sensación de vulnerabilidad. Una de las caracte- rísticas que más se intenta fortalecer en los sistemas críticos es la resiliencia —incluso, por encima de la confiden- cialidad de los datos. Los tiempos de respuestas en estas infraestructuras son clave y las paradas en muchos casos pueden resultar inadmisibles. Este hecho resulta más relevante si pensamos que a menudo estas deben funcionar durante 20 o 30 años con aplicaciones especiales que apenas sufren cambios y cuyo fallo puede pro- vocar pérdidas económicas y humanas muy importantes. Cualquier modi- ficación ha de ser planificada con enorme cuidado ya que no pueden hacerse pruebas sobre los sistemas en producción y el roll-back resulta demasiado costoso. En este contexto, la resiliencia de los sistemas resulta una propiedad fundamental, pero no es la única. DE FORTALEZAS A DEBILIDADES Desde siempre ha existido una increí- ble diversidad de sistemas críticos que combinan multitud de sensores y dispositivos. Esta arquitectura hete- rogénea ha disuadido a los posibles ciberdelincuentes de elaborar, desa- rrollar y lanzar ataques con malwares dirigidos debido a su elevado coste. Sin embargo, la estandarización tec- nológica ha cambiado el panorama. Por un lado, los problemas relaciona- dos con los sistemas legacy han sido resueltos con soluciones técnicamente más robustas y configurables. Por otro lado, la estandarización ha abierto la posibilidad a la automatización de nuevos modelos de ataques. Los sistemas modernos ya no son herméticos. La integración con redes Internet los exponen a las mismas vulnerabilidades que cualquier otro sistema TI: nuevos dispositivos IoT, seg- mentación de redes, configuraciones por defecto, gestión de privilegios y accesos remotos, cifrado de comu- nicaciones y datos, vulnerabilidades en interfaces Web de aplicaciones, parcheado y sistemas operativos obso- letos, manipulación de parámetros o inyección de comandos e incluso aplicaciones maliciosas. Numerosas, cierto, pero al menos compartidas por los colectivos profesionales que luchan contra ellas. En este escena- rio a muchos se les plantea la duda de si aquellas históricas fortalezas en realidad eran más bien ignora- das debilidades. Y DESPUÉS ESTÁ EL 5G Por si esto fuera poco, hay un ele- mento adicional que entrará en escena casi de forma inmediata: el 5G. El futuro desarrollo de la nueva gene- ración de redes móviles acentuará los intentos de vulnerar las infraes- tructuras críticas. Entre sus riesgos —consecuencia de sus nuevas venta- jas— está el incremento de dispositivos conectados, la complejidad de las redes o incluso la posibilidad de mani- pular las propias comunicaciones. Podríamos afirmar que la red 5G será considerada como una más de esas modernas infraestructuras críticas. Quizás, la más crítica de todas. La red 5G redefinirá los modelos de transporte, los servicios médicos, la agricultura, la distribución de agua, las finanzas, los servicios de trata- miento de residuos, los servicios de emergencia, la energía, la defensa… y así podríamos continuar en una lista interminable. La red 5G articulará muy posiblemente los ejes centrales de funcionamiento de casi cualquier infraestructura crítica. ¿SE PUEDEN MINIMIZAR LOS RIESGOS EN LAS MODERNAS INFRAESTRUCTURAS CRÍTICAS? Mucho se ha escrito en torno a qué medidas se deben tomar para pro- teger las infraestructuras críticas, no solo tecnológicas sino también orga- nizativas y de procedimientos. La aplicación de estándares y norma- tivas internacionales tiene mucho que decir en esta tarea. La adopción de buenas prácticas recogidas en estánda- res de Ciberseguridad industrial —por ejemplo, IEC 62443, el NIST CSF o la norma ISO 27001 — resultan clave para ese objetivo. Respecto a las recomendaciones técnicas, la lista sería demasiado extensa y posiblemente redundante con muchas otras aplicadas a entor- nos TI tradicionales. Solo a modo de reflexión podríamos pensar en situaciones en las que muchos de estos sistemas continúan utilizando sistemas operativos y aplicaciones completamente desactualizadas o en entornos que tienen interconec- tadas las redes de producción con sus sistemas corporativos. Sea cual sea el caso, debemos concluir que la ciberseguridad de los nuevos sistemas críticos deberá estar some- tida a mecanismos de supervisión y coordinación permanente, convirtién- dose ellos mismos —los sistemas de supervisión y coordinación— incluso en posibles sistemas críticos. No en vano, los operadores que los gestio- nen y los propios Estados que actúen como coordinadores deberán velar por su seguridad en un entorno econó- mico y social en continua y acelerada transformación digital. n