Jorge Olivares Olmos.

¿Qué motivación lleva a los responsables de Control y Automatización Industrial a implementar o a mejorar la Seguridad Informática de su plataforma? ¿Es el miedo a sufrir un ciberataque de gran escala o se trata, más bien, de acciones domésticas? Para acercarnos a la respuesta, primero analicemos el caso internacional.

Al preguntarse qué puede hacer realmente un ciberataque a una red industrial, se podría tomar como ejemplo uno de los incidentes “documentados” -ya que no debiésemos esperar a que todos los casos salgan a la luz pública-. Me refiero al ciberataque que afectó a fines del 2015 a múltiples empresas de la red de energía eléctrica de Ucrania, impactando a más de 225.000 clientes con un apagón de varias horas y convirtiéndose en uno de los casos de mayor impacto de corte de suministro eléctrico atribuible a malware.

Al respecto, el informe IR-ALERTH- 16-056-01 del ICS-CERT (The Industrial Control Systems Cyber Emergency Response Team) señala que se usó malware (puntualmente, los troyanos “BlackEnergy” y “KillDisk” combinados), más ingeniería social “spear phishing” que mediante correos personalizados usando información extraída de redes sociales, dirigidos a empleados específicos de cada empresa, lograron obtener claves personales en forma fraudulenta. Luego, aplicaron dichas claves para acceder en forma remota a los sistemas operativos, a los ICS (Industrial Control Systems) y VPNs, obteniendo así acceso a los sistemas de control, y el resto ya es historia. Se inhabilitaron UPS, se reescribió maliciosamente firmware de sistemas críticos y se colapsaron las centrales de Mesa de Ayuda con llamadas ficticias, y si cómo no fuese suficiente haber botado los sistemas automatizados de la red de control de suministro eléctrico, también retrasaron las medidas de detección, reacción y contingencia planificadas... Un gran “pastel”, con todos los ingredientes de un ciberataque de envergadura, muy bien planificado.

Como dicho ataque, hay muchos otros ejemplos a nivel internacional. Si retrocedemos en el tiempo, encontramos uno de los más recordados ciberataques industriales: Stuxnet, el malware que se cree fue desarrollado por EE.UU. e Israel para sabotear expresamente el programa nuclear iraní.

No cabría duda entonces que estos mega-ataques a nivel internacional han ocasionado grandes impactos en las redes industriales señaladas y, por tanto, debiesen motivarnos a la acción… Pero quiero sacarlos de esta premisa, tal vez obvia, y analizar nuestra realidad local.

A pesar de un punto de vista inicial, hicimos una mini-encuesta telefónica, por email y en ciertos círculos de Seguridad Informática Industrial, acerca del verdadero driver motivador del cambio. ¿Este estaría en los problemas más “domésticos”, de “housekeeping” de seguridad tecnológica industrial, o por el contrario, se originaría en la prevención de posibles ciberataques de terroristas informáticos internacionales o hackers de la Ciberseguridad Industrial?

Las respuestas han comprobado en forma contundente que no existe un gran “susto” por los ataques ocurridos a nivel internacional -como los mencionados anteriormente- y no son por tanto un real driver local para las acciones necesarias de protección a la informática industrial. En contraposición, sí lo son los temas más “domésticos” de seguridad, en el sentido de controles -del día a día- como respaldos de configuraciones, gestión de recambio a componentes por obsolescencia, protocolos para evitar errores humanos de configuración TI, controles antimalware u otras medidas diarias de protección para garantizar continuidad operacional del equipamiento informático que soporta la automatización industrial.

Esto evidencia algunas tendencias, como que Ucrania y las otras instalaciones afectadas, están muy, muy lejos, así como sus realidades beligerantes que no se identifican con nuestra situación local, sumado a que los grandes problemas de indisponibilidad ocurridas a nivel nacional no se han profundizado hasta sus posibles causas informáticas, ni menos que se haya logrado su publicación y compartición de análisis y aprendizajes. A todo esto agregamos que nuestro nivel de madurez en lo que respecta a Seguridad Informática Industrial y su gestión, está aún muy incipiente, en parte por antiguos paradigmas, ya obsoletos, como considerar a la red industrial aislada de la red corporativa e incluso de Internet.

Con todo esto, el foco o driver de cambio se mantiene en las acciones cotidianas que evitan problemas de continuidad y de posible daño a la imagen corporativa, por lo que se requieren esfuerzos para integrar primero las componentes informáticas del entorno industrial y luego sentar las bases de controles de seguridad, sin llegar a reinventar lo que ya está propuesto como mejores prácticas en estándares internacionales como ISA/ ANSI 62443.

Haciendo caso a lo que evidencian los comentarios recogidos, se debe proteger primero las actividades del día a día, implementando un Baseline (línea base) de Seguridad Informática Industrial -lo que ISA/ANSI 62443 denominaría un SL (Security Level) nivel 1-, para desde allí crecer a niveles más sofisticados de protección (SL=4). La siguiente es una recopilación de comentarios que avalan el preocuparse -al menos en una primera etapa- por un baseline de seguridad más doméstico, al reconocer falencias como:

• Contar con escasas mantenciones TI, tanto a nivel de hardware como software. “Escasamente, alguna única vez, se ha cargado un parche”.

• Si está funcionando, “mejor dejémoslo así”.

• Personal que, sin mala fe, hace mal uso de equipamiento crítico, cargando archivos o software de dudosa procedencia.

• Acceso no controlado de equipos personales de contratistas a entornos sensibles de control.

• Indefinición de umbrales entre lo que es red industrial y lo que es la corporativa.

En suma, para dar los siguientes pasos, se requiere identificar, implementar y gestionar controles de Seguridad Informática Industrial con miras a alcanzar una línea base mínima de higienización, para atender primero los temas domésticos y de operación rutinaria, utilizando marcos de referencia internacionales de mejores prácticas. Luego de esto, las miradas podrán colocarse en los llamativos “Industrial Cyber Attacks” que encandilan el horizonte.