116 - ¿Qué significa proteger infraestructuras críticas? - 13/11/2011


Autor: Lic. Cristian F. Borghello

www.segu-info.com.ar

El pasado día 3 de noviembre se llevó a cabo en Bruselas el ejercicio Cyber Atlantic 2011 con el objetivo de simular escenarios que permitan a los participantes explorar los modos en que la Unión Europea y EE.UU. podrían coordinar mecanismos de cooperación y de defensa, en situaciones de ciberataques deliberados dirigidos a sus infraestructuras críticas.

Durante el ejercicio se crearon diferentes escenarios de ciberataque basados en APT (Advanced Persistent Threats) y dispositivos SCADA (Supervisory Control And Data Acquisition) en centrales de generación de energía.

Según la Wikipedia, los sistemas SCADA (Wikipedia) son aquellos "sistemas basados en computadoras que permiten supervisar y controlar variables de proceso a distancia, proporcionando comunicación con los dispositivos de campo (controladores autónomos) y controlando el proceso de forma automática por medio de un software especializado."

Si bien no es exclusivo, generalmente los sistemas SCADA controlan Infraestructuras Críticas que "son aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción pueden tener una repercusión importante en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de los gobiernos."

La UE define una Infraestructura Crítica como cualquier "elemento, sistema o parte de ésta que es esencial para el mantenimiento de funciones sociales vitales, la salud, la integridad física, la seguridad, y el bienestar social y económico de la población y cuya perturbación o destrucción afectaría gravemente a un Estado al no poder mantener esas funciones".

Las siguientes pueden ser consideradas Infraestructuras Críticas:

  • centrales y redes de energía
  • tecnologías de la información y las comunicaciones
  • sistemas de finanzas y tributarios
  • sector sanitario
  • agua
  • transportes
  • industria química y nuclear
  • investigación e instalaciones espaciales

Basado en que los riesgos de ataques terroristas catastróficos contra dichas infraestructuras está en aumento, desde junio de 2004, Europa ha estado trabajando en una estrategia global para proteger las infraestructuras críticas. Desde entonces la UE ha establecido un proceso de identificación de infraestructuras críticas y ha planteado un método para evaluar la necesidad de mejorar su protección. Por mencionar sólo un caso, por ejemplo España ya cuenta con legislación referente a la protección de dichas infraestructuras y cuenta con una serie de documentos referidos a la seguridad de sistemas SCADA.

Como menciona uno de estos documentos, los sistemas SCADA fueron pensados y diseñados antes de la masificación de Internet. Antes eran sistemas aislados y no conectados en red y, tradicionalmente carecen de dispositivos de seguridad como firewalls, mecanismos de cifrado o software. Su diseño se centraba en la funcionalidad y, en básicamente, limitar el acceso mediante seguridad física. Siempre utilizaron tecnologías propietarias y poco probadas fuera de ambientes controlados. Los riesgos actuales se basan en que estos sistemas (casi sin protección) se interconectaron ampliamente mediante la utilización de tecnologías y protocolos estándares, con vulnerabilidades conocidas y ampliamente explotadas.

Si bien parece obvia la relación que debería existir entre estas infraestructuras y su seguridad, el éxito de los ataques sobre las mismas ha comenzado a tomar relevancia en el último año y, sobre todo, la facilidad para ejecutar dichos ataques. Por ejemplo, los investigadores italiano y español respectivamente, Luigi Auriemma y Rubén Santamarta han reportado decenas de alertas y vulnerabilidades sobre sistemas ampliamente utilizados en la industria y en los gobiernos.

Como si esto fuera poco, luego del ataque ampliamente conocido del gusano Stuxnet a centrales nucleares de Iran, Mcafee y CSIS realizaron un informe en donde ponen en relevancia que, sobre una encuesta a 200 empresas de infraestructura crítica en 14 países, "el 40% de los ejecutivos pensaba que la vulnerabilidad del sector había aumentado y el 30% opinó que su empresa no estaba preparada para enfrentar un ataque cibernético."

En otro informe, Mcfee señala que "los propietarios y operadores de infraestructuras críticas afirman que sus redes están sometidas a ciberataques constantes, de adversarios de envergadura, como países extranjeros."

Como en cualquier organización, la protección de estos sistemas debería contemplar al menos:

  • Identificación de infraestructuras críticas locales
  • Análisis de riesgos sobre estas infraestructuras
  • Identificación de sistemas críticos sobre estas infraestructuras
  • Identificación de amenazas sobre las infraestructuras y sus sistemas
  • Análisis de impacto de cualquier amenaza identificada
  • Contemplar escenarios de ataques y posibilidades de realización
  • Contemplar soluciones y costos (eficacia y eficiencia)
  • Crear planes de recuperación de desastres y de contingencia
  • Analizar vulnerabilidades de los sistemas y crear un equipo de respuesta ante incidentes con conexiones internacionales (CERT)
  • Capacitarse e informar a la sociedad sobre los planes creados
  • Creación de planes de protección civil y apoyo logístico

En lo que respecta a América Latina, Brasil considera la importancia de sus infraestructuras críticas desde febrero de 2008, cuando publicó en Diário Oficial da União Nº 27, la importancia de las mismas. En este mismo contexto han creado una Guía de Referencia para mantener la seguridad en dichas infraestructuras.

Por su parte, Argentina cuenta desde agosto pasado con el "Programa Nacional de Infraestructuras Críticas de información y ciberseguridad", dependiente de la Oficina Nacional de Tecnologías de Información (ONTI), según el Boletín Oficial 32.204 y el cual establece algunos de los objetivos de seguridad mencionados. Sólo queda esperar que esta iniciativa sea el comienzo de lo que deberían ser acciones concretas y no sólo expresiones de deseo volcadas en un papel.

Buenos Aires, 13 de noviembre de 2011

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto