octubre 12, 2015

Ciber- noticias: centrales nucleares vulnerables y controles cibernéticos

Aquí tienes una rápida revisión y algunos comentarios de algunas “noticias”, más que actualizaciones, sobre lo que he estado insistiendo siempre. Odio decir que lo advertí, pero… ¡LO ADVERTÍ!

Primero.

nuclear_station-1024x768

Fotografía de la Central Nuclear de Cattenom en Francia dónde, espero, todo es óptimo en términos de seguridad cibernética.

Me he dedicado a concientizar sobre la problemática de la seguridad cibernética en la industria e infraestructura durante más de 15 años. En los últimos años ha habido un incremento de noticias relacionadas con este tema en todo el mundo por los organismos estatales, los institutos de investigación, los medios de comunicación y el público en general. Sin embargo, y a mi pesar, aunque se ha hablado mucho del tema, aún no se ha visto el progreso desde un punto de vista físico, legal, diplomático, etc. Este ejemplo lo demuestra:

A principios de esta semana, Chatham House, la organización no gubernamental británica más influyente, publicó un informe titulado “Seguridad Cibernética e instalaciones nucleares civiles: comprensión de los riesgos.” Sí, el título pone la piel de gallina; pero algunos de los temas en el interior… ¡UFF!

No entraré en detalles; puedes leer el reporte tú mismo si tienes tiempo de sobra. Sólo me gustaría decir que el principal objetivo del informe es comunicar sobre el riesgo de un ataque cibernético en las plantas de energía nuclear en todo el mundo. ¡UH-OH!

El informe se basa exclusivamente en entrevistas con expertos. Sí, no hay pruebas de referencias utilizadas. Hmmm. Como alguien que intenta contar de qué trata una película erótica pero no se compara con verla con tus propios ojos. Aun así, supongo que esto es lo que se espera: siendo este un sector universalmente secreto.

Ahora deja que describa la película erótica desde mi perspectiva (leyendo el informe). Al menos, deja que vaya a las principales conclusiones – todas, porque si realmente lo piensas, son apocalípticamente alarmantes:

  1. El aislamiento físico de las redes informáticas de las centrales nucleares no existe: es un mito (nota: esto se basa en las estaciones que fueron analizadas, pero no hay nada en concreto). Los británicos sólo tuvieron en cuenta las conexiones VPN que son utilizadas en las estaciones de la central nuclear – habitualmente utilizadas por contratistas; a menudo indocumentadas (sin declaración oficial), y a veces se dejan en el olvidados, aunque siguen en vida y se pueden utilizar (o malutilizar).
  2. Una larga lista de sistemas industriales conectados a Internet pueden ser encontrados a través de motores de búsqueda como Shodan.
  3. Mientras el aislamiento físico exista, este podría obtenerse fácilmente utilizando memorias USB (como en Stuxnet).
  4. Por todo el mundo, la industria de la energía atómica no está interesada ​​en compartir información sobre ciber-incidentes, por lo que es difícil entender con precisión el alcance de la situación en cuanto seguridad. Además, la industria no colabora mucho con otras industrias, lo que significa que no aprende de su experiencia y saber hacer.
  5.  Para reducir costos, el software (vulnerable) común y comercial es cada vez más utilizado en la industria.
  6. Muchos sistemas industriales de control son “inseguros desde el diseño”. Además se requieren procesos sin interrupción, así que el control resulta complicado.
  7. Y aún encontrarás muchas más cosas en el informe completo de 53 páginas.

Estos terroríficos hechos no son nuevos para los especialistas en seguridad de las TIC. Aún así, espero que las publicaciones de alto perfil como ésta comiencen a producir un cambio. Lo más importante ahora es reparar el software correspondiente lo antes posible, y fortalecer toda la seguridad industrial de las TIC alto antes de que ocurra una catástrofe – no después.

Entre otras cosas, el informe recomienda promover la “seguridad desde el diseño” en sistemas de control industrial. ¡Escucha con atención! ¡Estamos completamente a favor! Nuestro sistema operativo OS es una de estas iniciativas. Para hacer que los sistemas de control industrial, incluyendo SCADA, sean impenetrables, se requiere una revisión de los principios de la seguridad cibernética en general. Por desgracia, el camino hacia esto es largo – y estamos sólo al inicio. Aun así, al menos tenemos claro a qué dirección nos dirigimos. Pasos pequeños…

Segundo.

Durante varios años también he estado luchando por la creación de un acuerdo global contra la guerra cibernética. Aunque existen señales de una mejor comprensión en lógica de este acuerdo por las respectivas partes – académicos, diplomáticos, gobiernos, organizaciones internacionales, etc. – estamos viendo muy poco progreso hacia cualquier acuerdo en concreto, como en los sistemas industriales de seguridad. Aún así, frenar el ciber-espionaje y la guerra cibernética está en la agenda.

obama-xi

Foto: Michael Reynolds/EPA. Fuente.

Por ejemplo, Barack Obama y Xi Jinping, a finales de septiembre acordaron que sus países – las dos economías más grandes del mundo – no participarán más en ciber-espionaje comercial el uno al otro. Por otra parte, el tema de la seguridad cibernética predominó en la rueda de prensa que hicieron (junto con las medidas para frenar el cambio climático). Curiosamente, los temas polémicos de ciber-espionaje político y militar ¡no fueron mencionados en absoluto!

Entonces, ¿esto representa un gran avance? Por supuesto que no.

Al menos se trata de un pequeño paso que va en la dirección correcta. También ha habido rumores de que Pekín y Washington están negociando acerca de un acuerdo sobre la prohibición de los ataques en el ciberespacio. En la reunión que tuvieron los líderes en septiembre, el tema no fue mencionado, pero esperemos que lo sea pronto. Sería un paso importante, aunque simbólico.

Por supuesto, lo ideal sería que todos los países del mundo firmaran los acuerdos, consiguiendo así una desmilitarización de Internet y un ciberespacio más cercano. Sí, ese sería lo mejor; sin embargo, por el momento, no el más realista. Vamos a seguir luchando por ello.

LEER COMENTARIOS 0
Deja una nota
Facebook

enero 19, 2018

Los resultados preliminares confirman el éxito de Kaspersky Lab en 2017

¡Hola, amigos! En contra de la tradición y sin que sirva de precedente, este año decidimos no esperar a nuestra auditoría financiera y publicar inmediatamente los resultados preliminares de ventas del año pasado. En los negocios, la cifra más importante del año son los ingresos. Así que, durante el 2017, las ventas de nuestros productos, […]

octubre 26, 2017

Más transparente que el aire que respiras

La reciente campaña negativa contra KL de la prensa estadounidense no fue de nuestro agrado, pero sacamos algo bueno de todo esto: nos ha permitido hacer ciertas observaciones y deducciones

octubre 26, 2017

¡KL ganó el Gartner Platinum Award!

Como ya habrán visto, las noticias sobre nuestra pequeña (pero muy progresiva en tecnología) empresa informática se han convertido en una especie de Cataratas del Iguazú.

julio 6, 2017

Feliz cumpleaños a nosotros: ¡20 años (por ahora)!

¡Bzzzzz! ¿Qué ha sido eso? Eso, señoras y señores, ¡era la historia de la ciberseguridad pasando! Hace 28 años, en otoño de 1989, atacaron mi Olivetti M24 con un virus, lo que cambió mi vida y muchas otras. Si tan siquiera ese virus hubiera sabido de quién era el ordenador que estaba atacando y cuántos […]

Más

Vlog de Viajes