InfoSecMan Blog

El comienzo del siglo XXI será recordado en primer lugar por suponer el inicio del conocimiento de una amenaza global a la que aún estamos expuestos. Los ataques terroristas relacionados con movimientos radicales islámicos en Nueva York (2001), Madrid (2004), Londres  (2005) o Bombay (2006 y 2008), entre otros, han mostrado el hecho de que no existe un lugar seguro en el mundo. Desastres naturales como el terremoto de Japón de este mismo 2011, el tsunami asiático en 2004, el ciclón Burma en 2008 y los terremotos de Pakistan (2005), China (2008) o Haití (2010) han matado a más de 800.000 personas. Este gran número de muertes podría haber sido reducido sensiblemente si algunas infraestructuras vitales hubiesen estado funcionando  después de estos eventos. Los errores humanos o los fallos encadenados han llevado a desastres como el vuelo 447 de Air France en 2009, la fuga de petróleo de BP en el Golfo de México en 2010 o el reciente accidente de la mina de San José en Chile en agosto de 2010.

Cada uno de estos incidentes, junto a muchos otros han contribuido a la creación de un sentimiento global de peligro e incertidumbre que ha cambiado, y aún está cambiando, nuestro modo de vida. Una parte importante de la respuesta de los gobiernos ha sido el desarrollo de leyes y normativa centrada en la mejora de la seguridad, la preparación para tratar incidentes catastróficos y la recuperación adecuada después de estos incidentes. Sin embargo, como se comentará más adelante, estas iniciativas tienen muchos inconvenientes que hacen difícil conseguir su cumplimiento.

En segundo lugar, el siglo XXI será recordado por el enorme desarrollo e inclusión de las tecnologías de la información en nuestra vida diaria. Algunos dispositivos e instalaciones que no existían o eran meras curiosidades 10 años atrás, hoy parecen esenciales y resulta complicado imaginar cómo podríamos sobrevivir sin ellas. De hecho, existen muchos servicios esenciales que se basan totalmente sobre las tecnologías de la información.

La mayoría de los fatales eventos ya mencionados tienen en común la existencia de infraestructuras críticas que fueron dañadas, no funcionaron correctamente o fueron mal gestionadas. Si los sistemas como cámaras de vigilancia, controles de acceso físico, líneas de comunicaciones, transporte o sanidad fueran resistentes a los eventos que fueron expuestos, las pérdidas humanas de las catástrofes hubiesen sido mucho menores. Por supuesto han existido en el mundo desastres naturales, fallos humanos, sabotajes y terrorismo antes de la era de la información, pero las tecnologías de la información han traído un nuevo vector de amenaza. Hoy en día no es necesario estar físicamente cerca de una infraestructura para causarle daño. De hecho la mayoría de las infraestructuras críticas del mundo tienen sus sistemas de control accesibles remotamente mediante líneas de comunicación, incluso desde redes públicas como Internet. Años atrás existía una clara diferencia entre el mundo físico y el llamado mundo virtual que comúnmente (y de forma errónea) se asociaba a Internet y al world wide web, pero hoy existe una línea muy fina que separa estos dos mundos. Esta línea está compuesta de sistemas software y hardware que proporcionan los medios para gestionar y controlar los activos físicos que pueden tener impacto en el mundo real. Es obvio que estos sistemas de control gestionados remotamente se han convertido en un objetivo claro de cualquier atacante que quiera causar daño y por tanto se ha presentado la necesidad de su protección y prevención de ataques.

Como testimonio de la difusión e importancia en la sociedad que esta necesidad ha alcanzado baste mencionar la amplia cobertura que los medios de noticias generales han dado al caso Stuxnet (http://en.wikipedia.org/wiki/Stuxnet) donde una parte con intenciones maliciosas, probablemente un estado o gobierno, ha desarrollado una pieza de software compleja y muy sofisticada que funciona como un “gusano malware” focalizado en un sistema de control específico muy empleado para controlar plantas nucleares y otras infraestructuras estratégicas.

Como respuesta a estos hechos, la Unión Europea ha desarrollado iniciativas sobre la obligatoriedad de la mejora de la seguridad y resistencia de las infraestructuras críticas (y por añadidura, de los sistemas de control industrial que las sustentan). Algunas de estas iniciativas son:

EPCIP (Europa, 2005-2007)

http://europa.eu/legislation_summaries/justice_freedom_security/fight_against_terrorism/l33260_en.htm
El Programa Europeo de Protección de Infraestructuras críticas, cuyo objetivo es mejorar la protección de infraestructuras críticas en la Unión Europa utilizando los siguientes elementos:
– Un procedimiento para identificar y designar las Infraestructuras Críticas Europeas y una vista común para evaluar sus necesidades de seguridad.
– Medidas como un plan de acción y una red de alertas sobre infraestructuras críticas (CIWIN: Critical Infrastructures Warning Information Netwrok) y grupos de expertos sobre protección de infraestructuras críticas
– Ayuda a los miembros de la Unión Europea
– Soporte financiero

CNPIC (España, 2007-actualidad)
http://www.cnpic-es.es/cnpic

El Centro Nacional de Protección de Infraestructuras Críticas tiene como principal objetivo preservar la seguridad de las infraestructuras críticas del territorio español. Después que la Comisión Europea aprobase el Programa Europeo para la Protección de Infraestructuras Críticas (EPCIP) en Diciembre de 2004, la Administración español lanzó el Plan Nacional para la Protección de Infraestructuras Críticas (PNPIC). El gabinete español decidió entonces crear el CNPIC, mediante acuerdo fechado el 2 de Noviembre de 2007. El CNPIC, dependiente de la Secretaría de Estado para la Seguridad, del Ministerio del Interior, es responsable de dirigir, coordinar y supervisar la protección las infraestructuras críticas nacionales.

CPNI (Reino Unido)

http://www.cpni.gov.uk

El Centro para la Protección de la Infraestructura Nacional (Centre for the Protection of National Infrastructure) es una autoridad gubernamental que proporciona ayuda y asesoramiento sobre seguridad y protección a las infraestructuras nacionales del Reino Unido. Este asesoramiento está dirigido principalmente al infraestructura nacional crítica (CNI, Critical National Infrastructure), aquellos elementos claves de la infraestructura nacional que son cruciales para la entrega continuada de los servicios esenciales al Reino Unido.  Sin estos elementos claves, los servicios esenciales podrían no ser ofrecidos y el Reino Unido podría sufrir consecuencias muy serias, incluyendo daños económicos importantes, problemas sociales graves o pérdidas de vidas a gran escala. El CPNI dirige su asesoramiento desde la experiencia, conocimiento de información de las organizaciones que contribuyen a su trabajo. Respalda investigaciones y trabajos en sociedad con centros educativos, otras organizaciones gubernamentales, instituciones de investigación y el sector privado, para desarrollar aplicaciones que puedan reducir la vulnerabilidad a ataques terroristas y otros tipos de ataques y disminuyan el impacto cuando estos ataques ocurran.

COSSI Plan PIRANET (Francia)

http://sgdn.gouv.fr/rubrique.php?id_rubrique=24

El Centro Operacional de la Seguridad de los Sistemas de Información (Centre Opérationnel de la Sécurité des Systèmes d’Information) ha desarrollado el plan PIRANET diseñado para tratar grandes ataques informáticos que puedan ser causado por terrorismo o puedan afectar sistemas de información de infraestructuras críticas así como para organizar la respuesta a estos ataques:
– Implementando un sistema de alarma y respuestas
– Llevando a cabo la contingencia de estos ataques y la rehabilitación de los sistemas afectados
– Transmitiendo la alerta a los servicios no afectados, indicando posturas y acciones a tomar.

Todas estas iniciativas parecen perfectamente adecuadas puesto que están focalizadas en:
– Proteger vidas humanas
– Asegurar la correcta operación de los procesos vitales para el país
– Proteger infraestructuras importantes y las inversiones realizadas en ellas

Pero más allá, el componente técnico de estas iniciativas está basado en estándares de seguridad adoptados y utilizados internacionalmente como:

– ISO 27000: Familia de estándares de Gestión de la Seguridad de la Información de ISO/IEC.
– BS 25999: Estándar de BSI (British Standard Institution) en el área de la Gestión de la Continuidad de Negocio, que es el estándar de facto para Continuidad de Negocio en todo el mundo.
– ISA 99: Estándar internacional de la Sociedad Internacional de Automatización (ISA) de  de Seguridad para los Sistemas de Control y Fabricación.
– NIST SP800-53 y SP800-82: publicaciones especiales del NIST que corresponden a las Guías de Seguridad de los Sistemas de Control Industrial y SCADA.
– Estándares NERC CIP: los estándares NERC CIP-002 al CIP-009 proporcionan un framework de cara a la ciberseguridad para la identificación y protección de “Ciber-activos” críticos para soportar la operación asegurada de la red eléctrica
– Guías CPNI: con buenas prácticas para la seguridad del Control de Proceso y de sistemas SCADA.

Estos estándares proporcionan una serie de buenas prácticas, controles y contramedidas para ser aplicadas a los sistemas protegidos para minimizar los riesgos e impactos en caso de un incidente.

Esta parece la aproximación correcta: el soporte gubernamental y el uso de estándares ampliamente conocidos y utilizados. En cualquier caso, sin embargo existen inconvenientes importantes en la adopción e implementación de los requisitos definidos por las iniciativas gubernamentales y los estándares propuestos. El mayor de ellos probablemente sea la falta de fondos que serán necesarios para desplegar, gestionar y mantener los requisitos de seguridad. Muchos de ellos necesitarán despliegues e instalaciones de controles técnicos y organizacionales que son complejos y caros. Este inconveniente se ve además agravado por la crisis económica que está sufriendo el mundo y que ha recortado drásticamente las inversiones. Por tanto, cualquier acción que se lleve a cabo deberá buscar el cumplimiento y la mejora en la gestión de la seguridad de estos sistemas, asegurando el maximizado del retorno de la inversión y proporcionando resultados en el corto plazo, todo ello agravado aún más si cabe por lo heterogéneo del tipo de sistemas que pueden residir dentro del alcance del concepto de infraestructura crítica. Con todo lo dicho, parece clara la necesidad de tener un framework común para la gestión de la seguridad en este tipo de instalaciones, en su mayoría industriales, que facilite y normalice la gestión de la seguridad de estos sistemas (no sólo de los sistemas TIC) de forma económica y rentable.

En la siguiente entrega de esta serie sobre Seguridad en Entornos Industriales y Protección de Infraestructuras críticas, veremos cuál es la visión global a nivel europeo de estos aspectos de la seguridad en lo que a Investigación e Innovación se refiere para los próximos 20 años mediante el análisis realizado por el Foro Europeo para la Investigación e Innovación  en Seguridad (ESRIF, European Security Research and Innovation Forum).

En breve, más 😉

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog