Internet de las cosas
¿Dónde queda la seguridad de las personas?

por Enrique Martín García, Senior Manager de Ciberseguridad en sistemas de control y Soluciones PIC de EY.

  • Compartir

Publicado en Red Seguridad, 21 de abril de 2017

Los problemas de seguridad siempre van asociados a las personas, y en la mayoría aplastante de las ocasiones, a la falta de ellas

Siempre he apoyado que la seguridad tecnológica es un proceso que se basa en tres pilares fundamentales: Personas, Procedimientos y Tecnología. En este estricto orden. En mi experiencia, los problemas de seguridad siempre van asociados a las personas, y en la mayoría aplastante de las ocasiones, a la falta de ellas. Este patrón es independiente del dominio tecnológico tratado y se repite tanto en las Tecnologías de la Información (IT), cómo en las Tecnologías Operacionales o de Sistemas de Control (OT). En esta ocasión, vamos a hablar de las personas que están (o deberían estar) involucradas en la seguridad de este “nuevo” fenómeno denominado Internet de las cosas (IoT).

Simplificando el escenario, podemos considerar tres grupos fundamentales de personas: La oferta, la demanda y las entidades reguladoras (nacionales y supranacionales). Dado el tamaño del dominio tecnológico a tratar, el número de personas a involucrar es muy alto. En la oferta, tendríamos que contemplar a los fabricantes de sistemas de control clásicos, y a los emergentes. A los fabricantes de sistemas TIC (Sistemas, Aplicaciones y Comunicaciones) clásicos y a los emergentes. En la demanda podemos encontrar dos grandes grupos: Usuarios domésticos y corporativos (Industriales o no). Y las entidades regulatorias podrían ser agrupadas cómo aquellas con poder legislativo (nacional y supranacional) y otras con poder fáctico en la implantación de buenas prácticas y, por tanto, prescriptoras a futuro.

Dada la extensión de este artículo, intentaré describir la postura de estos actores de manera global.

El poder de las palabras

Recientemente hemos sido “sorprendidos” por este nuevo paradigma tecnológico de sistemas híper conectados y que hemos denominado IoT. Cuando ponemos nombre a algo, muchas veces no nos planteamos la importancia y las consecuencias que pueda tener. Hace años, el término “Smart Phone” (seguramente ideado por alguien de algún departamento de Marketing) en realidad ocultaba el uso de microprocesadores que utilizarían sistemas operativos de gran volumen y muy alta complejidad.  Actualmente el uso de iOS y Android en la mayoría de estos dispositivos, nos expone a los defectos de programación de esos sistemas operativos, que en muchos casos (5% aproximadamente), se convierten en un posible método de ataque (vulnerabilidad) a nuestra privacidad o a la información que guardamos en ellos.

Creo que este mismo fenómeno se ha repetido con la denominación de esta tecnología de híper conexión y explotación de datos a través de sistemas heterogéneos (OT+IT+Cloud+Big Data).  Hemos asignado un peso determinante a las “cosas”, y a su tecnología subyacente, frente a las personas que deben sacar provecho de ellas y confiar su bienestar al funcionamiento seguro de las mismas.

Funcionamiento seguro

Hablar de funcionamiento seguro en IoT supone añadir un nuevo parámetro que normalmente no se maneja en la seguridad IT: la seguridad física. (Safety).  En este “Internet de las cosas”, hemos incluido sistemas Ciberfísicos (aquellos que pueden interactuar físicamente con su entorno), altamente conectados a redes públicas, en el caso del usuario doméstico, o a redes incorrectamente segmentadas en muchas ocasiones en el entorno industrial. Un uso malicioso de alguno de estos dispositivos por agentes no autorizados, podría acarrear daños físicos a las personas o al entorno.  Y esto es muy serio, y por desgracia ya ha pasado.

Para evitar este tipo de riesgos sobre la seguridad física (Safety), los entornos industriales han desarrollado numerosas metodologías de diseño y pruebas de aceptación previas a la operación, y deben cumplir numerosos reglamentos de seguridad sobre los productos y maquinaria que utilizan, y sobre las medidas de protección que han implantado en sus instalaciones. Sin embargo, todas estas medidas no se han adaptado aún a este nuevo paradigma en el que se plantea utilizar un alto número de dispositivos de sensorización y control basados en protocolos muy nuevos y ligeros, que se conectarán a infraestructuras de almacenamiento y cálculo en nubes privadas y públicas, y cuya complejidad sobrepasa en muchas ocasiones el nivel de formación de los actuales responsables de operarlos.

Seguramente alguien podría pensar que esto vuelve a ser otro “discurso del miedo“, orientado a la venta de servicios de Ciberseguridad industrial, por lo que he decidido sustentar todo esto mediante el diseño y ejecución de un rápido y sencillo “Fact Check” fácilmente reproducible por cualquier persona con algo de tiempo y conexión a Internet.

¿Cuál es tu postura sobre la seguridad tecnológica?

Dado que en el dominio IoT se encuentran involucrados fabricantes de sistemas de control clásicos (OT) y fabricantes de Sistemas de Información (IT), he querido saber cuál es su postura de seguridad frente a las tecnologías que proponen integrar en dicho dominio, mediante el siguiente procedimiento: Acceder a sus páginas Web de promoción de sus soluciones IoT, buscar los términos “security” y “business” en la zona de contenidos de esas páginas y contabilizarlos.

Los fabricantes OT que componen la muestra de datos son: Honeywell, Rockwell, ABB, Siemens, Schneider Electric, Emerson, OSIsoft y Moxa.

Los fabricantes IT que he seleccionado han sido: IBM, ORACLE,Cisco, Microsoft, Dell, Intel, HP y Google.

Para no herir susceptibilidades, he anonimizado los resultados que presento a continuación alterando el orden de presentación:

Fabricantes de Sistemas de control (OT)

EY - Internet de las cosas ¿Dónde queda la seguridad de las personas?

Como se puede observar, salvo en el caso de dos compañías, el término “business” aparece más veces que el término “security”. En tres ocasiones ni siquiera se menciona. La media de apariciones del término “security“en este grupo es de 1.

Fabricantes de Sistemas de información (IT)

EY - Internet de las cosas ¿Dónde queda la seguridad de las personas?

En este conjunto de fabricantes, se vuelve a repetir que solamente dos compañías priman la mención del término “security” frente al término “business”, aunque la presencia del término “security” es más frecuente. La media de apariciones del término “security “en este grupo es de 3,5

Las conclusiones que extraigo de los resultados de este simple “fact check”, son las siguientes:

  • En ambos conjuntos se priman aspectos económicos y de negocio para el despliegue de esta tecnología, a pesar de que la seguridad aparece en numerosos estudios cómo una de las barreras para su adopción. ¿Contradicción humana?
  • La madurez de los fabricantes IT en Ciberseguridad es más alta que la de los fabricantes de control. Este es un hecho conocido y fácilmente explicable por la experiencia de estas compañías en la resolución de vulnerabilidades de sus productos y por el impacto de los Ciberataques en los clientes que los utilizan, y que muchas veces les han acarreado consecuencias económicas directas e indirectas.
  • Los fabricantes de sistemas de control no parecen percibir la necesidad de potenciar la seguridad de sus soluciones frente a sus clientes. Esto se podría explicar por la escasa experiencia de los ingenieros de control en temas de seguridad lógica, la falta de análisis y atribución de los incidentes que ocurren en las redes de control y por la baja concienciación de los responsables de operación sobre los riesgos tecnológicos que van a tener que afrontar.

Debemos luchar por implantar la seguridad desde la fase de diseño de las soluciones IoT que, tarde o temprano, se desplegarán por motivos de eficiencia económica, ventaja competitiva o simplemente moda en el caso del mercado doméstico.

Mi propuesta es actuar sobre la personas en varios aspectos fundamentales:

  • Educación y comunicación. Los responsables de las operaciones y los ingenieros de control deben entender y cuantificar los riesgos que afrontarán tras los cambios que se acometerán en sus infraestructuras, y los responsables de IT deben entender las implicaciones sobre la seguridad física que pueden tener las operaciones sobre las infraestructuras conjuntas IT/OT. Deben ser las organizaciones empresariales que estén estudiando el despliegue de estas tecnologías las que se encarguen de esta educación. En el caso de los usuarios domésticos, esta concienciación debe ser asumida por las entidades con responsabilidades en la Ciberseguridad nacional o supranacional, y por los medios de comunicación (Debidamente asesorados).
  • Adquisición. Como resultado de la educación y comprensión del problema, los usuarios corporativos de esta tecnología implantarían nuevas metodologías de decisión de compra y aceptación de infraestructuras que, en muchas ocasiones aún no están ni diseñadas, y que contemplarían requisitos de seguridad lógica de manera explícita y medible. Eso es algo que los fabricantes tendrán que aceptar e implantar. Los usuarios domésticos son el eslabón más débil de esta cadena, ya que muchas veces la adquisición de este tipo de soluciones obedece al impulso instantáneo provocado por las técnicas de Marketing y a la compleja idiosincrasia del carácter humano, que no contempla (aún) el análisis de riesgos en la adquisición. (Véase la descarga de aplicaciones gratuitas de las grandes tiendas online de Apps para móviles).
  • Regulación. Los gobiernos nacionales y supranacionales deben desarrollar reglamentos de certificación tan exigentes cómo los que aplican al aparataje eléctrico o a las válvulas de alta presión, a las soluciones lógicas IoT que incorporen sistemas Ciberfísicos en algún punto de su infraestructura. Este tipo de soluciones es más frecuente de lo que se pueda imaginar en el mercado doméstico y su despliegue seguro debería estar garantizado por el cumplimiento de reglamentos técnicos comparables a los exigidos a los fabricantes de electrónica de seguridad física (Normas UNE-EN y UNE CLC)

Sobre el autor

EY - Enrique Martín García  Enrique Martín García

Senior Manager de Ciberseguridad en sistemas de control y Soluciones PIC en EY.
Télf.: +34 915 727 200