Coordinación y colaboración: claves en las pruebas de seguridad de sistemas de control industrial
Es indudable que en los últimos tiempos estamos viendo movimientos muy significativos en el sector de la Ciberseguridad enfocados al análisis y estudio de la problemática en el ámbito de los sistemas de control industrial. Incidentes de seguridad no tan recientes hace ya varios años como los más cercanos en 2013 nos indican que estar alerta tiene una gran motivación, más allá del interés específico de una corporación o una empresa, o incluso un sector, tienen el interés de la protección a nivel de Estado o de Seguridad Nacional. Así se ha demostrado en España no sólo en la Estrategia de Ciberseguridad Nacional recientemente publicada y difundida, sino en las estrategias nacionales de países punteros como EEUU, Canadá, Reino Unido, Japón, Alemania, Holanda o Francia.
Sin cambiar de tercio, y volviendo la vista mucho más atrás, en los albores de los primeros códigos maliciosos nos encontramos entre los mismos a un primer espécimen que buscaba paralizar o dañar los sistemas de transporte de gas de la Unión Soviética, y esas pruebas de concepto han ido evolucionando durante décadas hasta llegar a los ya demasiado manidos Stuxnet, Duqu o Flame (y no nos olvidemos del miniFlame…vaya parece un malware de bolsillo). Muy recientemente se ha demostrado una vez más que la ingeniería social es un vector de entrada o de ataque que seguirá en boga por muchos años, y se aplicará a todos los ámbitos conocidos, con mucho “Careto” en el ciberespionaje, o con no tanto, como el caso del operador de un sistema de control industrial que lamentablemente infectó su equipo abriendo un archivo que no debería ni entrar por el correo ni ejecutarse en ese entorno de trabajo.
Ante este panorama en el que todos los esfuerzos son pocos, y frente al cual el Gobierno ya cuenta con un servicio de alta capacidad en la protección de las Infraestructuras Críticas y los sectores estratégicos, el CERT de Seguridad e Industria que operan INTECO y el CNPIC del Ministerio de Industria, Energía y Turismo, y del Ministerio del Interior, respectivamente, no podemos dejar de seguir sumando. Y hacerlo también de forma transfronteriza, en cada tarea que requiera de un esfuerzo extra, por poco o mucho que podamos aportar. El último ejemplo de colaboración público privada en este campo lo acabamos de recibir hace poco (publicado en diciembre de 2013) en formato de un estudio elaborado por la Agencia Europea de Seguridad de las Redes y la Información de la Comisión Europea, la ENISA, y denominado “Good practice framework for an EU ICS testing coordination capability”.
El informe profundiza en la detección de distintas iniciativas que trabajan en las pruebas de seguridad de los ICS o sistemas de control industrial, y en que por su nivel de madurez es necesario, según los diferentes expertos consultados, aunar esfuerzos, iniciativas, conocimientos y experiencias para disponer de un modelo con una mayor capacidad de coordinación, apoyado y alineado en estándares reconocidos (o la autoregulación) y el soporte de instituciones públicas. El estudio ahonda incluso más allá, vislumbrando posibles pruebas obligatorias a las que someter a los sistemas. Como muchos de los últimos informes publicados por la ENISA nos encontramos con varias recomendaciones importantes en la materia, incluyendo la necesidad de disponer de un modelo de financiación específico que sirva para mantener en el tiempo esta difícil tarea.
El documento principal se apoya en varias actividades, entre ellas la realización de un workshop en Tallin con expertos en los que tuvimos la oportunidad de participar desde INTECO, a través de Miguel Herrero, uno de nuestros expertos, o una importante fase de entrevistas a expertos y stakeholders, en la que Enrique Redondo o yo mismo pudimos participar. En este punto es muy reseñable que la Comisión Europea confió hace un año y medio en un consorcio liderado por INTECO con la AEI-Seguridad, Everis, CNPIC, EFB, Telvent Energía, Telvent Global Services, Zanasi y NISZ, para poner en marcha SCADA LAB, proyecto de dos años de duración para el desarrollo de un laboratorio que permita probar y buscar tecnologías que prevengan, detecten y mitiguen ciberataques en los países de los Estados Miembros de la UE, relacionados con sectores estratégicos.
Pero volviendo a este ejemplo exitoso de colaboración de todos los actores, es ejemplar la participación española en todas sus actividades, destacando que no sólo contamos con siete expertos en las entrevistas, de los setenta que aproximadamente participaron, sino que además la ENISA se apoyó en la conocida compañía española S21Sec para el desarrollo del estudio y sus distintas fases. Todo esto nos dice mucho del posicionamiento que tenemos como Estado, como industria, y de lo mucho que podemos aportar en este campo desde todas las visiones. Leer por lo tanto este estudio no debería ser anecdótico. Los ICS necesitan este tipo de esfuerzos, y como estamos escuchando, viendo y confirmando en muchos frentes, dentro de los sistemas de control industrial en el ámbito de la energía nos encontramos con las SmartGrids en nuestra agenda, frente en el que tendremos que concentrar parte de esos esfuerzos, y de los que seguro veremos avances en esta línea, y esperemos que replicando estas experiencias de colaboración público-privada.