La Confederación Europea de Servicios de Seguridad (CoESS) y la Liga Internacional de Seguridad han publicado el documento “Seguridad ciberfísica e infraestructuras críticas. Protegiendo naciones y sociedades en la era de los sistemas conectados y las amenazas híbridas”. Se trata de un libro blanco cuya intención es “explorar la difusa frontera” que existe entre la seguridad física y la lógica en las infraestructuras esenciales para la sociedad, así como describir cómo “una aproximación holística de la seguridad puede ayudar a las organizaciones a protegerse y hacerlas más resilientes”.
“Las infraestructuras críticas son un gran objetivo más vulnerable que nunca, lo cual requiere una aproximación integral de la protección que alinee la seguridad física y la ciberseguridad”, observan los autores del libro blanco para explicar los porqué de esta publicación. En ese sentido, de inicio recomiendan colaboración entre esos dos ámbitos de la seguridad y trabajo continuo pues “la seguridad de las infraestructuras críticas es un proceso que tiene que nutrirse y que requiere dinero, compromiso, planificación estratégica a largo plazo y una visión holística”.
Infraestructuras críticas conectadas
Tradicionalmente, los sistemas industriales han permanecido aislados de la Red con el objetivo de hacerlos más seguros. Sin embargo, de un tiempo a esta parte dichos sistemas emplean dispositivos conectados para transmitir datos y hacerlos más eficientes y productivos. Por tanto, es común encontrar tecnologías conectadas a sistemas físicos en estos entornos, explica el documento.
A esto se suma la aparición de tecnologías como el 5G o la Inteligencia Artificial, que permiten automatizar procesos y gestionar determinadas funcionalidades como “resolver problemas en la red eléctrica, gestionar el uso de la energía o administrar la generación eléctrica”.
Esta conectividad permite grandes avances para la sociedad en general, pero a su vez “pone fin a la separación entre las redes informáticas y los sistemas físicos, entre la tecnología de la operación y la de información”. “En su lugar hay una compleja e interconectada red de sistemas ciberfísicos que sirven de base para las infraestructuras críticas de todo el mundo y sientan las bases para el futuro avance de las sociedades”.
Es por ello que el libro blanco elaborado por CoESS y la Liga Internacional de Seguridad recomienda que la división entre los sistemas físicos e informáticos se diluya y se reemplace por una red de sistemas “ciberfísicos”.
Amenazas y vulnerabilidades
Los beneficios de la digitalización son manifiestos, pero también los retos de seguridad que plantea. Tal como señala el documento, la transformación digital de las empresas ha provocado la extensión de su perímetro de seguridad, donde es frecuente el uso de dispositivos que escapan al control de la propia entidad para conectarse a redes corporativas. Una práctica que, aun beneficiosa en varios sentidos, también tiene un coste.
“La amenaza de los ciberataques contra sistemas físicos de operadores de infraestructuras críticas ha aumentado: las redes de los SCADA son más vulnerables desde que los propietarios abandonaron los entornos cerrados y comenzaron a permitir el acceso a ellos desde ordenadores con conexión a Internet”, alerta la publicación al respecto.
Los autores van a más al apuntar que los sistemas legacy que se abren a las comunicaciones y que incluso conectan con la nube “podrían chocar con las crecientes tensiones geopolíticas, con consecuencias devastadoras para la sociedad”. Pone ejemplos como los ataques contra el sistema de aguas de Israel o las redes eléctricas de India y Ucrania.
Los atacantes utilizan actualmente técnicas y herramientas que les permiten escanear la red en busca de vulnerabilidades de sistemas industriales. Una vez encontrados, conectarse a ellos “tiende a ser fácil”, entre otros motivos porque “carecen de la seguridad apropiada, tienen sistemas operativos sin soporte o utilizan contraseñas débiles o predeterminadas”. “Aunque un dispositivo no sea estratégicamente importante en sí mismo, puede proporcionar a los intrusos una puerta de entrada a los sistemas que sí lo son”, subrayan los autores.
Impacto ciberfísico en infraestructuras críticas
Los ciberataques pueden ser, por tanto, una puerta de acceso al mundo físico. Es decir, ya no se trata solo de proteger los datos y la información, sino incluso de evitar el uso de elementos físicos para causar daños. “Cuando dispositivos de seguridad como las cámaras de videovigilancia o el los paneles de control de accesos están conectados a la red de la organización, los ataques de denegación de servicio contra pueden hacer que dichos sistemas y dispositivos queden inoperables, o los atacantes remotos podrían conseguir accesos autorizados a ellos y manejarlos como usuarios autorizados”, plantea el documento.
Otro de los mensajes en los que insiste la publicación es que la seguridad del fabricante de los dispositivos no es suficiente para hacer frente a las amenazas actuales. “Dada su criticidad, las soluciones de seguridad robustas deben implementarse para restringir el acceso físico a las ubicaciones del servidor (como requerir dos o tres factores autenticación, incluida la biometría) y el control debe mantenerse a través de pruebas de penetración física de los centros de servidores y otras localizaciones que contengan componentes críticos de la red, tales como armarios de cableado”, ejemplifica.
Esta situación lleva a los autores a afirmar que las amenazas físicas y cibernéticas ahora se cruzan, luego la vulnerabilidad en un ámbito proporciona un medio de ataque para hacer daño a la infraestructura. “A través de una intrusión física o a través de la red es posible causar estragos incalculables, desde tomar el control de los sistemas de un edificio inteligente por completo a interrumpir los servicios básicos que necesita la sociedad para funcionar”.
Seguridad convergente
Por todo ello, los autores recomiendan apostar por medidas de seguridad convergente, alejada de la gestión de la protección corporativa mediante ‘silos’ diferenciados. No en vano, “las vulnerabilidades a veces responden a la falta de coordinación entre los diferentes gestores de la seguridad”. En ese sentido, “abordar el riesgo de las amenazas híbridas requiere un dedicado esfuerzo por romper la seguridad en silos y superar barreras a la coordinación”.
La convergencia, defiende el documento, ayuda a las diferentes disciplinas de seguridad dentro de la organización a reconocer el valor del trabajo en equipo y de la cooperación interdepartamental. Asimismo, ayuda a impulsar un objetivo ambicioso en relación con la seguridad de las infraestructuras críticas, como es garantizar la operatividad y la resiliencia
El enfoque conjunto de seguridad ciber y física también “ayuda a reducir costes al optimizar proyectos de seguridad tradicionalmente dispares; mejora la productividad y la velocidad del trabajo eliminando duplicidades; elimina costosas funciones de soporte al usuario y reduce los costes de mantenimiento; elimina ineficiencias como la duplicación de investigaciones realizadas por recursos humanos, TI y seguridad física; y aumenta la capacidad de demostrar a los de afuera que la organización cumple con los mandatos de seguridad física y la seguridad cibernética”, señala el libro blanco.
Por último, el documento defiende que las infraestructuras críticas deberían adoptar un marco unificado, alineado e integrado de la seguridad física y la ciberseguridad, así como facilitar la coordinación con otras funciones de resiliencia. “Un esfuerzo integrado para mitigar el riesgo relacionado con la seguridad es crítico para proteger la seguridad de las infraestructuras críticas en un mundo de riesgos interdependiente”, señala.
Archivado en:
