Los centros de control de seguridad en la próxima guerra híbrida
Por Manuel Carpio Cámara | Asesor Senior de Ciberseguridad de INERCO Security
Las directivas de combate de la guerra aérea que precedió la invasión de Iraq en marzo de 2003, identificaron como primeros blancos de ataque de los misiles Tomahawk los sistemas de defensa aérea y los centros de control iraquíes.
En su ensayo “Los sistemas de mando y control: Una visión histórico-perspectiva” [1], el Capitán de Navío, D. Enrique Cubeiro, Jefe de Operaciones del Mando Conjunto de Ciberdefensa (MCCD) nos enseña que
“dificultar o impedir el ejercicio del mando y control del adversario será siempre objetivo prioritario de ambos bandos y para ello podrán optar entre una amplia gama de acciones, en un campo de batalla que ahora incluye también ese mundo misterioso conocido como ciberespacio”. (Cubeiro 2001. p.31)
Por otro lado, el Dr. Carlos Galán, en su reciente ensayo “Amenazas híbridas: nuevas herramientas para viejas aspiraciones” [2] define así las denominadas “amenazas híbridas”
“…son acciones coordinadas y sincronizadas —con origen habitualmente, pero no solo, en los servicios de inteligencia de los agentes de las amenazas— que atacan deliberadamente vulnerabilidades sistémicas de los Estados y sus instituciones a través de una amplia gama de medios y en distintos sectores objetivo (políticos, económicos, militares, sociales, informativos, infraestructuras y legales) utilizando el ciberespacio como la herramienta más versátil y adecuada para sus propósitos.” (Galán 2018. p.3)
La reciente guerra de Ucrania ha sido un buen ejemplo de guerra híbrida durante la que se han visto involucrados los centros de control de las infraestructuras críticas de los contendientes.
No debería sorprendernos pues que, en el futuro, los conflictos híbridos, como paso previo a una guerra híbrida, impliquen ataques contra centros de gestión de redes de servicios esenciales. Avisados de esta realidad, los poderes públicos y los operadores privados de dichos servicios, prestan atención a la resiliencia de dichos centros. Sin embargo, existe un talón de Aquiles, un punto débil del sistema, en el que pocos han reparado hasta la fecha: la Ciberseguridad de los sistemas de Seguridad Física (CBSF).
Previsiblemente, y de forma similar a lo que sucede en el mundo físico, los ‘Tomahawks cibernéticos’ irán dirigidos no solo a los centros de gestión, sino también a los centros de control de los sistemas que defienden las infraestructuras. Y uno de los centros neurálgicos para la defensa de dichas infraestructuras críticas son los Centros de Control de Seguridad Física (CCS).
La desactivación de los sistemas de control de acceso físico, o de detección de intrusión, en instalaciones desatendidas, la inhibición de los sistemas de detección de incendios o de condiciones ambientales, aunque sea temporalmente, son ejemplos de ciberataques previos que pueden facilitar un ataque posterior o combinado a las infraestructuras con otros vectores físicos o cibernéticos, multiplicando sus efectos dañinos.
Por lo tanto, como ya señaló mi compañero Enrique Bilbao en un reciente artículo publicado en esta revista,
“es urgente auditar los CCS, analizar sus riesgos de Ciberseguridad y estudiar el ‘gap’ entre las medidas existentes y las necesarias” [3].
Dada la naturaleza y multiplicidad de los dispositivos conectados, de las aplicaciones, de las instalaciones, y de las operaciones bajo responsabilidad del CCS, este tipo de revisiones no pueden ni deben limitarse a una tradicional auditoría de Seguridad de la Información, como si se tratara del sistema de facturación o del sistema SAP (ERP, Enterprise Resources Planning) de la empresa.
De hecho, un CCS puede considerarse como un complejo sistema Ciber-físico (CPS) más próximo al mundo OT (Operational Technology) que al IT (Information Technology), en el que resulta crucial un conocimiento profundo de los protocolos propietarios de autenticación mutua y de comunicación entre los elementos de la red y sus servidores, su interrelación con los eventos del mundo físico para el que se diseñaron y con la operativa del personal de vigilancia que los atiende.
Así, una auditoría de seguridad de un CCS debería contemplar cuatro dimensiones básicas:
- La eficacia de las funcionalidades y de los servicios de seguridad que brinda.
- La operación, dependiente del factor humano que los atiende.
- Las características físicas de las instalaciones donde se ubica y que protegen tanto a servidores como sus conexiones con los elementos de campo.
- La Ciberseguridad de los sistemas, de la red y de los propios dispositivos terminales.
Este es el caso de la metodología para la calificación de seguridad de los CCS desarrollada y puesta en práctica por INERCO Security. Se trata de una metodología ligera, basada en un mix procedente por un lado de controles generales extraídos de códigos internacionales de buenas prácticas del mundo de la Seguridad Física, de Seguridad de la Información, así como de normativas españolas como el ENS (Esquema Nacional de Seguridad), Reglamento de la Ley PIC (Protección de Infraestructuras Críticas), etc.
Y, por otro lado, de controles específicos aplicables a los CCS como el Reglamento de Seguridad Privada, las normativas EN/UNE (European Norm/Una Norma Española) de Seguridad Física y de Centros de Control, según el grado exigible, etc.
Sobre la base del cumplimiento y la eficiencia de un conjunto de más de trescientos controles, divididos en treinta áreas clave, se define una métrica por cada una de dichas áreas y por cada una de las cuatro dimensiones que las agrupan, así como unas metas que deberían alcanzarse para poder considerar el CCS en su conjunto como ‘ciberseguro’.
La metodología se ha diseñado para obtener un diagnóstico de situación objetivo y rápido, que evita los costosos procedimientos y retrasos asociados a recabar las evidencias documentales o la preparación de pruebas sustantivas que se suelen exigir en los procesos formales de auditoría llevados a cabo por las firmas de consultoría generalistas. En tal sentido, puede decirse que el servicio CBSF de INERCO Security no es estrictamente una auditoría, sino una calificación multidimensional de la Ciberseguridad del CCS, que además permitirá a su responsable comparar sus prestaciones con la calificación media obtenida por otros centros similares en cada una de las áreas clave.
Pero no sería justo calificar la Ciberseguridad del CCS dejando en la estacada a su responsable. Además de la calificación multidimensional, el servicio CBSF proporciona como resultado una batería de recomendaciones de mejoras en todos los ámbitos, con una estimación de plazos y costes para cubrir las carencias detectadas.
Evidentemente, todo lo anterior lo es sin perjuicio de que, tras la toma de conciencia de situación por parte del responsable del CCS y de la dirección del negocio, pueda dar el paso de certificar su sistema a través de las diversas alternativas existentes en el mercado, o realizar las auditorías formales a las que nos hemos referido.
Si por llevar desprotegido su talón pereció Aquiles, y con él se perdió Troya, esperamos que con el servicio CBSF de INERCO Security contribuyamos a que no se pierda el control de la seguridad de las personas y las instalaciones de las infraestructuras críticas y con ellas se pierdan los servicios esenciales que prestan.
Artículo publicado en la revista SEGURITECNIA, Nº 461, PG 50
Referencias
[1] Cubeiro, E. (2001). “Los sistemas de mando y control: Una visión histórico-perspectiva”. Madrid. Recuperado de https://dialnet.unirioja.es/descarga/articulo/4602258.pdf.
[2] Galán, C. (2018). Amenazas híbridas: nuevas herramientas para viejas aspiraciones. CIBER elcano No.39. Real Instituto Elcano. Documento de trabajo 20/2018. 13 de diciembre de 2018
[3] Bilbao, E. (Octubre 2018). “Ciberseguridad de los sistemas de seguridad físicos: un flanco abierto”. SEGURITECNIA nº 457. (p 64-66)