Andrew Ginter.

¿Por qué cree que la primera generación de soluciones para la ciberseguridad de sistemas SCADA es inadecuada hoy en día?
Cuando la seguridad de los sistemas SCADA (o de Control Industrial) emergió como una alta prioridad en muchas instalaciones industriales, no había expertos de seguridad informática para sistemas SCADA, solo expertos en seguridad informática y expertos en SCADA. Estas personas hicieron lo mejor que pudieron: juntaron sus cabezas y crearon la primera generación de consejos de ciberseguridad para estas plataformas, pero las recomendaciones que les ocurrieron parecían consejos de seguridad TI.

¿En qué sentido?
En las redes TI, la prioridad es “proteger los datos”. La seguridad informática es, después de todo, la confidencialidad, integridad y disponibilidad (en inglés, “Confidentiality, Integrity and Availability”, o “CIA”) de los datos. Los expertos en seguridad TI y SCADA examinaron las redes SCADA y vieron datos viajando por todas partes, y concluyeron que ambos tipos de redes no eran tan diferentes. En la época, el consejo decía que las prioridades de seguridad en las dos redes podrían ser diferentes: las redes SCADA podrían tener, en lugar de CIA, prioridades del tipo AIC (Disponibilidad, Integridad y Confidencialidad) o IAC (Integridad, Disponibilidad, Confidencialidad). No obstante, la recomendación fue que la seguridad se veía bastante igual en ambos tipos de redes. En ambos casos, el trabajo consistía en proteger los datos.

¿Qué otras diferencias encontraron?
Estos expertos observaron que algunas medidas de seguridad informática encajan muy mal con algunas plataformas SCADA: los sistemas antivirus pueden afectar a las operaciones del sistema; las actualizaciones de seguridad pueden provocar inestabilidad y otras amenazas a operaciones seguras y confiables, e incluso las contraseñas largas podrían introducir retrasos y riesgos inaceptables en situaciones críticas de seguridad. A pesar de todo esto, se recomendó esencialmente “hacerlo de todos modos”. Sí, estos expertos observaron que, a veces, implementar una buena seguridad TI en las redes SCADA era difícil, pero había que hacerlo de todos modos. Estos expertos nos dijeron: “Si solo pudiéramos de alguna manera inventar alguna forma de hacer seguridad TI en redes SCADA, entonces todo estaría bien”. Ellos se equivocaron.

¿Por qué?
Innumerables sitios industriales han aplicado diligentemente estos consejos a sus sistemas SCADA y han implementado programas de seguridad que son más o menos tan seguros como las redes TI más seguras. El problema es que las peores consecuencias del compromiso de un sistema TI corporativo son el robo de datos o la corrupción de datos, mientras que las consecuencias de las redes SCADA comprometidas son mucho peores. En el peor de los casos, cada CPU comprometida en una red SCADA emitirá cada instrucción insegura y poco fiable que el dispositivo es físicamente capaz de emitir al proceso industrial que controla el host. Peor aún: las redes TI con mejor seguridad son comprometidas rutinariamente por ataques modernos. ¿En qué sentido siempre fue suficiente asegurar las redes SCADA solo al nivel de las mejores redes de TI?

Entonces, ¿cuáles deberían ser las diferencias en las medidas de seguridad?
Al mirar el problema de la manera correcta, las diferencias son claras. Considere la historia de las redes TI y SCADA: la “killer app” original para las redes informática era el procesamiento de las transacciones en un mainframe. El modelo original para los sistemas informáticos era un libro de registro –para hacer el seguimiento del dinero- y los datos en ese libro es lo que era importante. Esta perspectiva continúa hasta nuestros días. En cambio, ¿de dónde provienen las redes SCADA? Antes de que hubiese redes SCADA, controlábamos procesos físicos con perillas, interruptores y medidores de reloj. Cuando estos se automatizaron, los medidores produjeron datos de monitoreo, y los switches y perillas aceptaron comandos de control desde una computadora. Ahora bien, piense en esto: ¿Cuánto le importa a la gente de Operaciones cuando alguien saca sus binoculares desde lejos, observa nuestros medidores, y roba nuestros datos de monitoreo? Generalmente se preocupan un poco: a veces, esos datos son un secreto comercial. Las consecuencias del robo de datos de monitoreo son similares en las redes TI y en las de OT (del inglés, “Operational Technologies”).

Ahora bien, ¿cuánto nos importa si un extraño entra en nuestras instalaciones, camina hasta nuestro tablero de control y comienza a girar las perillas y a activar nuestros interruptores? Por lo general, nos preocupamos enormemente. Desordenar el proceso físico puede matarnos, puede cerrar nuestras líneas de producción de miles de millones de dólares, y puede dañar productos como agua potable o productos farmacéuticos, y así poner en riesgo la seguridad pública. El monitoreo es dato, y las señales de control son mucho, mucho más importantes que los datos. En este sentido, los mecanismos de seguridad informática son comúnmente adecuados para la tarea de proteger los datos de monitoreo, pero resultan completamente inadecuados para la tarea de proteger los sistemas de control industrial.