Ciber- noticias: centrales nucleares vulnerables y controles cibernéticos

Aquí tienes una rápida revisión y algunos comentarios de algunas “noticias”, más que actualizaciones, sobre lo que he estado insistiendo siempre. Odio decir que lo advertí, pero… ¡LO ADVERTÍ!

Photo (prise au hasard) de la centrale nucléaire de Cattenom en France. J'espère qu'ici, tout va bien du côté de la cybersécurité.Una foto al azar de la Central Nuclear de Cattenom, espero que todo esté bien en términos de ciberseguridad

Primero.

Me he dedicado a concienciar sobre la problemática de la seguridad cibernética en la industria e infraestructura durante más de15 años. En los últimos años ha habido un incremento de noticias relacionadas con este tema en todo el mundo por los organismos estatales, los institutos de investigación, los medios de comunicación y el público en general. Sin embargo, y a mi pesar, aunque se ha hablado mucho del tema, aún no se ha visto el progreso desde un punto de vista físico, legal, diplomático, etc. Este ejemplo lo demuestra:

A principios de esta semana, Chatham House, la organización no gubernamental británica más influyente, publicó un informe titulado “Seguridad Cibernética e instalaciones nucleares civiles: comprensión de los riesgos.” Sí, el título pone la piel de gallina; pero algunos de los temas en el interior… ¡UFF!

No entraré en detalles; puedes leer el reporte tú mismo si tienes tiempo de sobra. Sólo me gustaría decir que el principal objetivo del informe es comunicar sobre el riesgo de un ataque cibernético en las plantas de energía nuclear en todo el mundo. ¡UH OH!

El informe se basa exclusivamente en entrevistas con expertos. Sí, no hay pruebas de referencias utilizadas. Hmmm. Como alguien que intenta contar de qué trata una película erótica pero no se compara con verla con tus propios ojos. Aun así, supongo que esto es lo que se espera: siendo este un sector universalmente secreto.

Ahora deja que describa la película erótica desde mi perspectiva (leyendo el informe). Al menos, deja que vaya a las principales conclusiones – todas, si realmente lo piensas, son apocalípticamente alarmantes:

  1. El aislamiento físico de las redes informáticas de las centrales nucleares no existe: es un mito (nota: esto se basa en las estaciones que fueron analizadas, pero no hay nada en concreto). Los británicos sólo tuvieron en cuenta las conexiones VPN que son utilizadas en las estaciones de la central nuclear – habitualmente utilizadas por contratistas; a menudo indocumentadas (sin declaración oficial), y a veces se dejan en el olvidados, aunque siguen en vida y se pueden utilizar (o malutilizar).
  2. Una larga lista de sistemas industriales conectados a Internet pueden ser encontrados a través de motores de búsqueda como Shodan.
  3. Mientras el aislamiento físico exista, este podría obtenerse fácilmente utilizando memorias USB (como en Stuxnet).
  4. Por todo el mundo, la industria de la energía atómica no está interesada ​​en compartir información sobre ciber-incidentes, por lo que es difícil entender con precisión el alcance de la situación en cuanto seguridad. Además, la industria no colabora mucho con otras industrias, lo que significa que no aprende de su experiencia y saber hacer.
  5. Para reducir costes, el software (vulnerable) común y comercial es cada vez más utilizado en la industria.
  6. Muchos sistemas industriales de control son “inseguros desde el diseño”. Además se requieren procesos sin interrupción, así que el control resulta complicado.
  7. Y aún encontrarás muchas más cosas en el informe completo de 53 páginas.

Estos atemorizantes hechos no son nuevos para los especialistas en seguridad de las TIC. Aún así, espero que las publicaciones de alto perfil como ésta comiencen a producir un cambio. Lo más importante ahora es reparar el software correspondiente lo antes posible, y fortalecer toda la seguridad industrial de las TIC alto antes de que ocurra una catástrofe – no después.

Entre otras cosas, el informe recomienda promover la “seguridad desde el diseño” en sistemas de control industrial. ¡Escucha con atención! ¡Estamos completamente a favor! Nuestro sistema operativo OS es una de estas iniciativas. Para hacer que los sistemas de control industrial, incluyendo SCADA, sean impenetrables, se requiere una revisión de los principios de la seguridad cibernética en general. Por desgracia, el camino hacia esto es largo – y estamos sólo en el inicio. Aun así, al menos tenemos claro a qué dirección nos dirigimos. Pasos pequeños…

Segundo.

Durante varios años también he estado luchando para la creación de un acuerdo global contra la guerra cibernética. Aunque existen señales de una mejor comprensión en lógica de este acuerdo por las respectivas partes – académicos, diplomáticos, gobiernos, organizaciones internacionales, etc. – estamos viendo muy poco progreso hacia cualquier acuerdo en concreto, como en los sistemas industriales de seguridad. Aún así, frenar el ciber-espionaje y la guerra cibernética está en la agenda.

Photo : Michael Reynolds/EPA. SourcePhoto : Michael Reynolds/EPA. Source

Por ejemplo, Barack Obama y Xi Jinping, a finales de septiembre acordaron que sus países – las dos economías más grandes del mundo – no participarán más en ciber-espionaje comercial el uno al otro. Por otra parte, el tema de la seguridad cibernética predominó en la rueda de prensa que hicieron (junto con las medidas para frenar el cambio climático). Curiosamente, los temas polémicos de ciber-espionaje político y militar ¡no fueron mencionados en absoluto!

Entonces, ¿Esto representa un gran avance? Por supuesto que no.

Al menos se trata de un pequeño paso que va en la dirección correcta. También ha habido rumores de que Pekín y Washington están negociando acerca de un acuerdo sobre la prohibición de los ataques en el ciberespacio. En la reunión que tuvieron los líderes en septiembre, el tema no fue mencionado, pero esperemos que lo sea pronto. Sería un paso importante, aunque simbólico.

Por supuesto, lo ideal sería que todos los países del mundo firmaran los acuerdos, consiguiendo así una desmilitarización de Internet y un ciberespacio más cercano. Sí, ese sería lo mejor; sin embargo, por el momento, no el más realista. Vamos a seguir luchando por ello.

LEER COMENTARIOS 0
Deja una nota