Detalle, precisión y colaboración son algunos de los requisitos indispensables en cualquier proceso. El fallo de un solo componente de un proceso puede suponer el fracaso de todo el conjunto, pudiendo acabar en catástrofe. Tomemos como ejemplo una máquina relativamente sencilla y uno de sus componentes principales: una bicicleta y sus ruedas.
Mientras el ciclista siga pedaleando, las ruedas de la bicicleta rodarán y llevarán al sujeto del punto A al punto B sin, en principio, ningún incidente. Para que esto suceda, todos y cada uno de los subcomponentes de las ruedas deben estar sincronizados. El mínimo desajuste o rotura de un único radio hace que la rueda empiece a desalinearse y, si se ignora el problema, acaba fallando, con la consiguiente aparatosa caída del ciclista.
Por tanto, es importante que el usuario esté en armonía con el conjunto del vehículo y el proceso de montar en bicicleta. Solo entendiendo al completo todas las dinámicas pueden asegurarse un viaje sano y seguro, y esto requiere un cierto nivel de formación, mucha práctica y un compromiso para cambiar el rendimiento.
Si bien esta analogía no es perfecta, cuando se trata de enfrentarse a ciberataques inéditos, más avanzados y agresivos sobre nuestros sistemas de control y seguridad industrial, es esta la forma en que se deben abordar la automatización de procesos y las manufacturas industriales.
Si queremos llegar al final de nuestro viaje sanos y salvos, no podemos emprender el camino solos. Al contrario: como en una bicicleta perfectamente ajustada, todos los componentes deben trabajar en conjunto, aportando su conocimiento, experiencia y saber hacer técnico, con tal de mejorar la capacidad colectiva de observación y comprensión de amenazas. Del mismo modo, solo esta conjunción de atributos nos ayudará a contrarrestar y anticiparnos a nuevos ciberataques.
Casi todos hemos leído los informes sobre distintos malware apodados Triton, Trisis o Hatman por proveedores de servicios de ciberseguridad industrial. Si no es tu caso, se puede resumir en lo siguiente: un usuario final anónimo sufrió un ciberataque altamente sofisticado y prolongado, que resultó en el cierre de una planta en agosto de 2017. Utilizando avanzados métodos de ciberataque nunca vistos, se logró forzar el acceso a un controlador Tricon de diez años de antigüedad. Por suerte, el sistema de seguridad detectó una anomalía y respondió como se esperaba de él: llevó la planta a un estado seguro, protegiendo al usuario final de cualquier peligro.
A partir de la investigación del incidente, los profesionales de seguridad descubrieron el malware responsable. Según pudieron esclarecer, el malware se había desplegado en el SIS de la estación de trabajo de ingeniería. Se descubrió, también, que el sistema de control distribuido también había sido vulnerado, lo cual era aun más preocupante.
Desde ese momento, todos los indicios apuntan a que se encadenaron múltiples vulneraciones de seguridad en plantas y procesos, lo que llevó a los atacantes, finalmente, a acceder a la conectividad remota del controlador de seguridad, desde donde se inició el ataque. No fue, por lo tanto, cosa de una sola vulnerabilidad. La sofisticación del ataque, así como el vector de este, demuestran que el incidente podría haberse dado en cualquier sistema industrial.
El incidente de Triton, nos ha permitido, por primera vez, ser conscientes de que el atacante puede manipular el DCS a la vez que reprogramar los controladores SIS, y la industria manufacturera global debe responder a esta nueva posible amenaza. En esta nueva era del IIoT, la preocupación por posibles ataques en sistemas industriales no deja de crecer, sobrepasando la frontera industrial y llegando a toda la sociedad. Se puede decir más alto, pero no más claro: ante el problema de la ciberseguridad, la industria debe unirse para vencer. Sencillamente, hay demasiado en juego.
El nuestro es un sector conservador, que sigue aplicando la filosofía “si no está roto, no lo arregles”, y eso debe cambiar. Una cultura más fuerte de ciberseguridad sólo se hará realidad si todos tomamos la iniciativa, y la clave podría recaer sobre tres medidas.
La primera consiste en que los fabricantes refuercen su compromiso con hacer sus productos más fuertes, así como poner a disposición del usuario final la información que necesita para adherirse a las best practices en todas sus instalaciones. Ello consiste, en parte, en estudiar nosotros mismos el panorama actual y cómo las amenazas actuales ya están impactando en infraestructuras críticas. Un ejemplo son los ataques a la red eléctrica en Ucrania. En los años 2015 y 2016, dos eléctricas del país fueron atacadas usando el mismo vector, dañando sus redes de distribución y dejando sin calefacción a grandes masas de la población durante las partes más crudas de su invierno. Estos ataques fueron duras lecciones de las que en la industria aun no hemos aprendido.
En segundo lugar, es necesaria una clara unanimidad para implantar prácticas y estándares unificados. Aunque la estandarización es un asunto que trae mucha cola, el primer paso y el más simple es asegurarse de que todos los sistemas estén actualizados. Un ejemplo perfecto fue el ataque Wannacry, ya que la eterna vulnerabilidad expuesta a partir de la filtración de la NSA se habría evitado fácilmente si las empresas hubieran tenido instalada la actualización que Microsoft había puesto a su disposición dos meses antes del día del ataque. Todo el que había retrasado la actualización de sus sistemas se ponía en un peligro obvio e innecesario.
Es muy importante también educar y, sobre todo, concienciar. Todo el mundo debería saber qué hacer y qué no hacer en el caso de incidente de ciberseguridad.
En esta era de conectividad aumentada, todos (no solo los encargados de la seguridad sino todos los trabajadores de una empresa manufacturera) deben entender los ataques potenciales y tener a su alcance los medios para protegerse a sí mismos y a la empresa.
Por último, es necesario llevar la colaboración inter-industrial a un nivel superior. Por eso debemos pedir la formación de un grupo o consorcio industrial imparcial que promueva una mejor comprensión de la severa gravedad de la amenaza, ayudando a crear una cultura corporativa gracias a la que todo el mundo tenga claro que la seguridad es parte de su día a día.
En un detallado análisis del incidente Triton, Larry O’Brien, de ARC Advisory Group, escribió: “en vistas de los ataques cada vez más innovadores y atrevidos, perpetrados por entidades maliciosas con tiempo, recursos y financiación ilimitados, todo fabricante, usuario, distribuidor e integrador de sistema debe ser parte de conversaciones abiertas, ayudando a que tanto la tecnología nueva como la instalada puedan combatir contra el más alto nivel de ciberataques.”
No podría tener más razón. Un cambio real que implique una mejora de la ciberseguridad industrial requiere un compromiso con ser transparentes que promueva la colaboración entre empresas competidoras. Este problema supera a una única empresa o industria. Es una amenaza internacional a la seguridad pública que solo puede abordarse y resolverse con cooperación, colaborando a través de fronteras e intereses competitivos.
Del mismo modo que la bicicleta perfectamente ajustada de la que hablaba antes, si se trabaja en equipo para entender y mejorar cada dinámica, el sector podrá empezar un viaje seguro y libre de incidentes. Solo así se pueden garantizar la seguridad de nuestra infraestructura global y la protección a largo plazo de aquellas personas, comunidades y entorno a los que prestamos servicio.
Firmado por Roberto Sanz, Process Automation Sales Manager de España.
Añadir comentario