Roberto Uzal (*)
La protección de la Infraestructura Crítica de un estado nación frente a las agresiones del Ciberterrorismo implica cuestiones instrumentales no triviales y, además, extremadamente importantes. Los aspectos político-conceptuales son estrictamente necesarios pero totalmente insuficientes.
Los mencionados aspectos instrumentales tienen características eminentemente multidisciplinarias. La conducción del diseño, de la implementación y del mantenimiento de los aspectos instrumentales relacionados con la protección de la Infraestructura Crítica constituye una responsabilidad insoslayable de las más altas autoridades políticas de un estado nación. El presente artículo tiene por finalidad el aportar para que las autoridades políticas y sus asistentes inmediatos cuenten con los elementos de juicio básicos a tal fin o para discutirlos y llegar a esquemas superadores.
Este artículo comienza definiendo, mediante la enumeración de ejemplos, qué significa “Componentes de la Infraestructura Crítica”, a continuación describe, como potenciales fuentes de vulnerabilidades de los Componentes de la Infraestructura Crítica, a los Controladores de Lógica Programable (PLC) y a los Sistemas de Supervisión, Control y Adquisición de Datos (SCADA), a continuación el artículo cita, en el contexto de un caso real, las fuentes de vulnerabilidades descriptas.
A posteriori se propone un esquema completo y probadamente efectivo para preservar o al menos mitigar los efectos de agresiones Ciberterroristas a elementos componentes de la Infraestructura Crítica. El artículo también propone cómo analizar los temas asociados a las inversiones razonables destinadas a preservar los componentes de la Infraestructura Crítica de Ciber Agresiones. El “Problema de la Atribución” y la “Ciber Disuasión” son también citados en este artículo el cual finaliza con “Conclusiones” que se espera sean compartidas y deseablemente optimizadas por los lectores.
1. Componentes de la Infraestructura Crítica, Controladores de Lógica Programable y Sistemas de Supervisión, Control y Adquisición de Datos Los componentes de la Infraestructura Crítica de un estado nación constituyen blancos potenciales y altamente valorados por diversos tipos de organizaciones Ciberterroristas. Se destaca el concepto “organizaciones” para dejar de lado, en esta presentación, el mito del “adolescente talentoso” que, actuando individualmente, logra resultados devastadores en instalaciones complejas.
Se observan al Complejo Nuclear Atucha, a la Planta Potabilizadora de agua de Bernal - Quilmes – Gran Buenos Aires, a la Refinería de Petróleo de YPF en la Ciudad de La Plata, a la Represa Hidroeléctrica de Yacyretá sobre el Río Paraná, a una estación de distribución de Energía Eléctrica y al Aeroparque (aeropuerto doméstico) de la Ciudad de Buenos Aires. Todos estos ejemplos tienen en común el uso de Controladores de Lógica Programable y Sistemas de Supervisión, Control y Adquisición de Datos. Ambos conceptos tienen una importancia superlativa en la prevención de agresiones Ciberterroristas.
 |
Un Sistema de Supervisión, Control y Adquisición de Datos (SCADA - Supervisory Control And Data Acquisition) es una aplicación de software de control de producción, que se comunica con los dispositivos componentes de la instalación y controla el proceso en forma automática. El SCADA proporciona información del proceso a diversos tipos de usuarios: operadores, supervisores de calidad y de mantenimiento.
En la Figura 2 se observa un PLC de uso muy difundido. Además se expone un diagrama de bloques (arquitectura conceptual) de un PLC y además se muestran dos monitores en los que se despliegan pantallas correspondientes a un SCADA. Estas pantallas permiten el gerenciamiento integral de una planta u otro tipo de instalación a partir de los datos elementales provenientes de los componentes tomados desde cada uno de los PLC instalados. Tanto los programas almacenados que se ejecutan en los PLC como las correspondientes estructuras de datos (archivos) suelen ser de pequeño tamaño. Por otro lado, los Sistemas de Información del tipo SCADA suelen tener un nivel de complejidad y tamaño significativos.
El desafío para los Ciberterroristas: Modificar los programas y estructura de datos de los PLC de una instalación de manera de llevar a los componentes tales como bombas, calderas, centrífugas, torres de destilación, generadores de electricidad, intercambiadores de calor, etc. a condiciones de temperatura, rotación, presión, etc. tales que superen los niveles de resistencia térmica, mecánica o eléctrica de los componentes provocando su colapso, incendio, explosión u otra forma de inutilización. El desafío Ciberterrorista se complementa logrando que el Sistema de Información SCADA despliegue en sus pantallas que la planta u otro tipo de instalación monitoreada está funcionando en condiciones normales (mientras el ataque se encuentra en proceso).
3. PLC y SCADA en la Planta Potabilizadora en Bernal – Quilmes – Gran Buenos Aires. La Planta potabilizadora General Belgrano, inaugurada en el año 1978, se encuentra ubicada en la localidad de Bernal, en el partido de Quilmes, Provincia de Buenos Aires. Cuenta con una capacidad de producción de 1.900.000 m3 por día y su función es distribuir agua potable al conurbano bonaerense. Actualmente ocupa 36 hectáreas.
Trascendió ampliamente a la prensa lo informado inicialmente por el Diario El Clarín de Argentina (Claudio Savoia - 26/09/2016), confirmando que, por encargo de libaneses (en la Triple Frontera), un ex miembro de las Fuerzas de Seguridad de Argentina, había conseguido y vendido (a los libaneses) los planos de tres plantas potabilizadoras de agua que abastecen a la Capital Federal y al Gran Buenos Aires. Se supo que el interés manifestado por los compradores estaba centrado en el cableado eléctrico y en el tendido de fibra óptica, especialmente los vinculados a los “Controladores de Lógica Programable” (PLC) correspondiente a las bombas de la planta potabilizadora de Bernal.
En principio se supone que la idea era tomar el control de los PLC correspondientes a las 12 bombas de la planta de Bernal llevándolas a condiciones de funcionamiento que superaran su resistencia mecánica. De tener éxito el Ciber Ataque, por varios días se hubiesen quedado sin agua potable más de un millón de habitantes (zona de Bernal – Quilmes y alrededores).
4. Preservando – mitigando los efectos de Ciber Agresiones a la Infraestructura Crítica.
En la Figura 4 se sintetizan las recomendaciones de Ciberseguridad mínimas a ser tenidas en cuenta en los componentes de la Infraestructura Crítica de un estado nación.
 |
Una sud red aislada mediante firewalls se suele denominar “Zona Desmilitarizada” (DMZ su sigla en Inglés). Los servidores más sensitivos de un componente de la Infraestructura Crítica deben encontrarse protegidos en un “Zona Desmilitarizada”.
Un Honey Pot o falso Sistema de Información o Sistema Trampa o Sistema Señuelo, es una herramienta de Ciberseguridad implantado para ocultar a los verdaderos Sistemas de Información, atraer Ciber Ataques, facilitar su detección obteniendo información del mismo y del atacante. Dos Honey Pot son recomendables (ver Figura 4) luego de transpuesto el router que vincula la red del elemento de la Infraestructura Crítica con Internet o Redes de Área Amplia (WAN).
En la red interna del elemento de la Infraestructura Crítica o Red de Área Local (LAN) o Intranet debe instalarse un adecuado IDS (Sistema de detección de intrusiones) sigla que hace referencia a un mecanismo que, sigilosamente, “escucha el tráfico” en la red para detectar actividades (patrones de comportamiento) anormales o sospechosas, y de esta forma, reducir el riesgo de intrusión dando las correspondientes alarmas
5. Estimando las inversiones razonables para preservar los componentes de la Infraestructura Crítica de Ciber Agresiones. Para cada componente de la Infraestructura Crítica es necesario listar los posibles daños que podrían ser causados por Ciber Ataques. Globalmente ya existen antecedentes que permiten efectuar estas estimaciones con aceptables niveles de representatividad. A su vez, para cada uno de esos posibles daños, es posible y conveniente estimar los costos asociados a su reparación.
En un caso real los citados costos o consecuencias deberán ser expresados en unidades monetarias (estimación de costos de reparación de los daños causados por un eventual Ciber Ataque).
A partir del listado de daños posibles que se ha elaborado, es necesario, a cada uno de dichos daños, asociarle distintas probabilidades de ocurrencia en distintas circunstancias.
Dichas probabilidades de ocurrencia de daños se ordenan en el eje horizontal de la “Matriz de Riesgos” (Figura 5). En un caso real dichas probabilidades de ocurrencia de daños deberían expresarse en forma cuantitativa desde 0 a 1.
En cada nodo de la matriz queda el resultado de un producto o multiplicación del valor (expresado en unidades monetarias) del daño estimado para cada posible incidente (eje vertical) por la probabilidad de ocurrencia de dicho daño (eje horizontal). En matemática se suele llamar a este tipo de producto “esperanza matemática”. Las mencionadas “esperanzas matemáticas” constituyen una referencia razonablemente objetiva respecto de las inversiones a ser efectuadas para incrementar los niveles de Ciberseguridad.
Es posible y conveniente dividir a la “Matriz de Riesgos” en tres áreas: a) baja probabilidad de ocurrencia del incidente (raro) y bajos costos de los daños posibles (color verde); b) probabilidad media de ocurrencia del incidente por costos medios de los daños posibles (color amarillo graduado en dos tonos) y c) alta probabilidad de ocurrencia del incidente y altos costos de los daños posibles estimados (color rojo).
Las situaciones comprendidas en el área roja se corresponden con situaciones no viables; de relaciones riesgos / costos inadmisibles; no gestionables.
En Ciberdefensa / Ciberseguridad se suelen encontrar, con una lamentable frecuencia, casos comprendidos en el área amarilla (dos tonos que modelan dos niveles de gravedad). Los componentes de la Infraestructura Crítica de un estado nación deben ser llevados a los valores menores incluidos en los nodos de la matriz comprendidos en el área verde.
La primera versión de la “Matriz de Riesgos” constituirá una suerte de “relevamiento de riesgos iniciales”. Trabajando, por ejemplo según los lineamientos presentados en el punto 4 de este artículo, se podrá evolucionar hacia una “Matriz de Riesgos” en los que solo puedan presentarse situaciones modeladas en el extremo superior izquierdo de la Matriz.
6. “Backtracing” – El Problema de la Atribución – La Ciber Disuasión. La atribución de los Ciber Incidentes a su patrocinador sigue siendo un desafío significativo y de carácter multidisciplinario. Enmascarar el verdadero origen de un Ciber Incidente impidiendo el “backtracing” (rastreo hacia atrás) es relativamente fácil. Los grupos terroristas agresores a menudo utilizan proxies o equipos “representantes”, ubicados en otras jurisdicciones, para ocultar sus huellas.
Sin embargo la resolución del “Problema de la Atribución” es viable; los estados naciones deben trabajar duramente en este ámbito sobre todo para adquirir creíbles capacidades para identificar al verdadero Ciber Agresor, especialmente en los casos de Ciberterrorismo.
Respecto de la Ciber Anonimidad viene al caso mencionar al “Ciber Califato”, grupo que aparentemente se había adjudicado la responsabilidad de la toma del control de la televisora francesa TV5 Monde, manteniéndola fuera del aire, mediante un Ciber Ataque, en abril de 2015. El “Ciber Califato”, también aparentemente, se había adjudicadp la utilización de otros medios de comunicación social de dicha empresa televisiva para publicar contenidos en apoyo al autoproclamado Estado Islámico. Dos meses más tarde, medios de comunicación franceses, informaron que los verdaderos agresores habrían sido, en realidad, grupos patrocinados por Rusia y no elementos pro Estado Islámico.
Aún en los casos en los que sea posible identificar al Ciber Agresor, eso no garantiza que dicha identificación sea creíble, tanto respecto de la opinión pública doméstica como para la internacional; esta falta de crédito se verificará a menos que las autoridades del país agredido expongan, creíblemente, los conceptos, métodos y herramientas utilizados para resolver el “Problema de la Atribución”, es decir, cómo se trabajó para determinar la identidad del Ciber Agresor.
En un contexto de fuerte presión y plazos perentorios, suele ocurrir que las respuestas respecto de la identidad del Ciber Agresor se suministren, frecuentemente, con evidencia incompleta; lo mencionado provoca un alto grado de escepticismo en el público, tanto interno como externo.
Errores en la atribución de un Ciber Incidente podrían provocar una respuesta orientada a blancos equivocados, provocando serias crisis.
Para finalizar este punto del artículo se cita un capítulo particularmente sensitivo de la Ciberdefensa y de la Ciberseguridad: La Ciber Disuasión.
La esencia de un esquema de Ciber Disuasión es muy simple y clara: Lograr que los Ciber Agresores, reales y potenciales, perciban claramente que los costos esperados (económicos, políticos, militares, geopolíticos, de imagen) asociados a una Ciber Agresión a la Infraestructura Crítica Nacional, superan ampliamente a los resultados esperados de dicha hipotética Ciber Agresión. En síntesis: Que no atacar sea percibido claramente como un “mejor negocio” que atacar. Este aspecto, en el caso del Ciberterrorismo, constituye un significativo desafío.
7. Conclusiones
a. Preservar a la Infraestructura Crítica de un estado nación de agresiones del Ciberterrorismo es una clara responsabilidad de las más altas autoridades políticas. De ninguna manera es una incumbencia exclusiva de tecnólogos informáticos.
b. Los equipos que se conformen para definir cómo evitar o al menos mitigar los ataques Ciberterroristas deben ser eminentemente multidisciplinarios y de muy alto nivel profesional.
c. Los Sistemas SCADA y los PLC correspondientes a elementos que conformen la Infraestructura Crítica deben ser objeto de especial consideración.
d. La arquitectura conceptual del soporte de Tecnología Informática de los elementos que conformen la Infraestructura Crítica, teniendo en cuenta el esquema general mostrado en la Figura 4, debe ser definida mediante un proceso semejante a una “partida de ajedrez” (pensar qué va a hacer el otro) entre los equipos responsables y las organizaciones Ciberterroristas que real o potencialmente hayan fijado su atención en la Infraestructura Crítica de un estado nación. Esta arquitectura conceptual debe ser de naturaleza dinámica.
e. Es posible, y además muy conveniente, plantear a la preservación de la Infraestructura Crítica de un estado nación de agresiones del Ciberterrorismo en términos de viabilidad financiera del tipo costo / beneficio. El uso de la Matriz de Riesgos es un muy buen primer paso en ese sentido.
f. Generar un intercambio de opiniones a partir de los contenidos de este artículo podría llegar a ser el aporte con mayor “valor agregado” de esta contribución.
Referencias:
- Consejo Argentino para las Relaciones Internacionales - Instituto de Seguridad Internacional y Asuntos Estratégicos “Problema de la Ciber Atribución: Aportes para una estrategia de Ciber Defensa” Autor: Roberto Uzal http://www.cari.org.ar/pdf/boletin61.pdf (septiembre 2015)
- Consejo Argentino para las Relaciones Internacionales - Instituto de Seguridad Internacional y Asuntos Estratégicos “Ciber Disuasión: Un capítulo particularmente sensitivo de la Ciberdefensa” Autor: Roberto Uzal http://www.cari.org.ar/pdf/boletin64.pdf (julio 2016)
No hay comentarios:
Publicar un comentario