Así se deben proteger las infraestructuras críticas

Antonio Villalón, Director de Seguridad de S2 Grupo, analiza el nivel de protección de las infraestructuras críticas y que pasos se deberían seguir en esa materia.

Actualmente, nadie duda de la necesidad de proteger adecuadamente las infraestructuras críticas, base necesaria para el funcionamiento de diferentes sectores de una nación y, por tanto, para la propia seguridad nacional. Y esa protección debe realizarse de forma integral, cubriendo todas las posibles vulnerabilidades de las infraestructuras críticas y garantizando el máximo nivel de seguridad desde cualquier punto de vista.

Obviamente, garantizar unos niveles de protección adecuados no siempre es fácil. En primer lugar, en la protección de infraestructuras críticas participan muchos actores con a priori poca –o ninguna- relación, tanto del ámbito público como del privado (desde el propio Gobierno de la Nación hasta el operador de la infraestructura). Un primer reto a superar es, por tanto, garantizar una coordinación, una comunicación y una operación correctas entre todos estos agentes, estableciendo protocolos ágiles y seguros que permitan una adecuada protección de cada infraestructura. Es especialmente relevante conseguir la absoluta implicación de los operadores de infraestructuras críticas, en su mayor parte pertenecientes al sector privado y cuyos intereses de negocio no siempre estarán alineados con los requisitos de seguridad necesarios para la protección.

El segundo gran reto que presenta la protección de infraestructuras críticas es quizás el adjetivo “integral” que ahora tanto nos gusta utilizar –y con motivo- cuando hablamos de seguridad. Todo el mundo entiende como algo habitual las salvaguardas habituales ante problemas de seguridad en el ámbito físico, tanto intencionados como accidentales, y así a nadie se le pasa por la cabeza que una central nuclear o una planta de tratamiento de aguas no disponga de un servicio de vigilancia 24×7, un control de suministros básicos o un sistema de videovigilancia. Esto, que como decimos parece obvio en el mundo físico, no lo es tanto en el mundo virtual y por tanto una de las asignaturas pendientes en protección de infraestructuras críticas es la seguridad lógica de las mismas.

Actualmente, muchos sistemas informáticos que operan estas infraestructuras, incluyendo demasiados sistemas de control (los famosos SCADA) están expuestos completamente a Internet, con lo que eso implica: puede resultar más fácil un ciberataque contra la infraestructura que un ataque tradicional contra la misma. Y si a esto añadimos que los entornos de control industrial no suelen estar diseñados con la seguridad como requisito básico, tenemos una situación bastante grave: en ocasiones, un atacante puede llegar a alterar el funcionamiento de la infraestructura causando un impacto enorme, desde cualquier punto del mundo y sin correr ningún tipo de riesgo.

El primero de estos retos debe superarse potenciando enormemente la colaboración y el intercambio fluido de información entre los diferentes actores participantes en la protección de infraestructuras críticas, a todos los niveles y con la especial participación del sector privado. Esta comunicación, que como hemos indicado debe ser ágil y segura, debe venir liderada al más alto nivel estatal y contar con el apoyo –reflejado en hechos, no sólo en palabras- de todos los niveles de trabajo, desde el más estratégico al más operativo.

Para superar el segundo de los retos a los que hacíamos referencia –algo que tenemos que hacer en breve- debemos aplicar, a muy corto plazo, medidas que incrementen la seguridad tecnológica de los sistemas de control industrial, en dos grandes líneas: control de acceso y robustez de aplicaciones. En primer lugar, y tal y como se hizo con los entornos de propósito general a mediados de los años 90, debemos restringir convenientemente el acceso a estos sistemas mediante cortafuegos, listas de control de acceso o equivalentes, de forma que no sea posible conectar a un entorno de control de una infraestructura crítica desde cualquier parte del mundo sin más que un usuario y una clave –en muchos casos por defecto- o peor, sin ni siquiera esta autenticación básica.

Además, debemos exigir a los diferentes fabricantes entornos seguros, diseñados, desarrollados y explotados con la seguridad como requisito básico, que no introduzcan debilidades en una infraestructura (usuarios y contraseñas por defecto, tráfico no cifrado, vulnerabilidades lógicas…) y que garanticen el equilibrio adecuado entre funcionalidad y seguridad.

Al igual que sucedió con esos entornos de propósito general –a los que hacíamos referencia- hace un par de décadas, nos empezamos a encontrar ahora mismo con sistemas relativamente inseguros y completamente expuestos a Internet; en pocas palabras, una bomba de relojería que puede explotar en cualquier momento. Y al igual que sucedió entonces, probablemente nos encontremos a corto plazo con problemas de seguridad muy relevantes que motivarán que fabricantes y operadores aceleren el paso en su camino hacia la seguridad, aunque sólo sea por imagen o por posibles sanciones económicas. Pero hay una diferencia muy importante con lo que sucedió a mediados de los 90, y es que los sistemas de control de los que estamos hablando pueden, en muchos casos, causar impacto grave en las personas… ojalá nos podamos proteger a tiempo. En ello estamos (creo).