19 feb. 2021

Diligencia debida en Infraestructuras Críticas

Los antropólogos culturales ya hablan del transistor como el invento que indica una nueva era, y son muchos los que definen las bases de la nueva revolución industrial en el Big Data, los robots autónomos, el cloud computing y la ciberseguridad. Una parte importante de este cambio de era ha consistido en la automatización y el control remoto de procesos que hasta ahora requerían un tratamiento manual.

Desde controlar con un Smartphone la cantidad de agua de riego para una producción agrícola; dibujar con una Tablet lo que posteriormente una impresora 3D hará palpable; una cirugía en remoto hasta una videollamada para una reunión de trabajo, parecen infinitas las aplicaciones prácticas que simplifican los procesos de producción que realizamos. Sin embargo, también son nuevos los peligros a los que nos enfrentamos y de los que nos llevan advirtiendo años los expertos en la materia.

Con el desenlace más feliz de los que podría haber tenido, el pasado viernes 5 de febrero pudimos ver plasmados en la ciudad de Oldsmar (Florida) los riesgos de los que hablaban los ciberexpertos. Un atacante, aún no identificado, hackeó la plataforma software -TeamViewer- con la que la empresa de tratamiento de aguas solía realizar sus tareas de potabilización en remoto. El atacante desconocido subió los niveles de hidróxido de sodio hasta niveles altamente nocivos para la salud de las personas, pero por suerte un trabajador pudo percatarse de la intrusión y devolver las aguas a su cauce antes de que alguien saliera herido.

Según información facilitada la empresa de tratamiento de aguas utilizaba en sus ordenadores una versión Windows 7, sin ningún firewall. Además, todos los trabajadores compartían usuario y contraseña para la aplicación TeamViewer, el software que permitía realizar el trabajo en remoto.

Estas revelaciones ilustran una pobre relación de la empresa con la filosofía de la seguridad, una perspectiva empresarial un tanto alarmante si tenemos en cuenta que se trata de un servicio de primera necesidad. Así las cosas cabe preguntarse ¿Cuál es el deber de diligencia debida en ciberseguridad?

El sector acuífero norteamericano encuentra su regulación en "America’s Water Infraestructure Act" (AWIA), y en 2019 publicó el documento "Información de referencia sobre actos malévolos para los sistemas de agua comunitarios" [PDF] que, a pesar de no tener carácter de obligado cumplimiento, sí es una guía de buenas prácticas. En dicho documento ya se registran anteriores intentos de ciberataques a plantas de tratamiento de aguas y ofrece un test rápido de 13 preguntas para determinar si tu empresa es segura. Entre dichas preguntas se menciona tanto aplicar sistemas de seguridad firewall, como utilizar distintos usuarios y contraseñas para conectarse a los sistemas de uso remoto.

Desde una perspectiva más general, podemos encontrar, ya en febrero de 2013, una propuesta de medidas diligentes para la seguridad de los ordenadores y la privacidad de la información escrita por Craig J. Blakeley y Jeffrey H. Matsuura en las que resaltaban tres puntos como estándar para la diligencia debida.

En primer lugar demandan de todas las empresas la creación de políticas y prácticas para fomentar las operaciones informáticas seguras y la protección de la información, generando en la empresa una política de ciberseguridad comunicando dichas políticas y sancionando las actuaciones poco diligentes. Dichas políticas deben actualizarse periódicamente para adaptarse a las circunstancias cambiantes y abordar la seguridad del hardware, software, comunicaciones, bases de datos y actividades en línea.

Después recomiendan planificar estrategias en caso de una brecha en la seguridad con un plan de acción integral que permita cooperar con las autoridades.

Y, sobre todo, el uso de medidas apropiadas para la seguridad técnica. Es decir, el cuidado razonable. Es en este punto donde encontramos lo más interesante del texto, pues define como cuidado razonable, en el contexto de la seguridad informática, el uso de todos los medios técnicos comercialmente razonables disponibles para proteger el hardware, el software, las bases de datos y las actividades en línea.

Esas medidas técnicas incluyen software de cifrado, firewalls para aislar las redes cerradas de las abiertas, contraseñas y navegadores seguros. También incluyen medidas técnicas para proteger los teléfonos móviles y otros dispositivos informáticos móviles.

Y dice literalmente el texto "Es de vital importancia que todas las medidas técnicas de seguridad se actualicen periódicamente. A medida que las opciones y capacidades de seguridad técnica aumentan y mejoran, el estándar de atención razonable requerirá que las organizaciones continúen modificando, mejorando y actualizando sus medidas de seguridad técnica para utilizar esos avances de manera efectiva."

Así que podemos deducir que estas medidas mínimas de diligencia en 2013 deberían haber sido complementadas con las complejidades y herramientas que la realidad de 2021 permite.

Por todo lo hasta ahora expuesto, y a falta de más detalles sobre la realidad de la potabilizadora de Oldsmar parece a simple vista la que empresa no tomó medidas suficientes para proteger la vida de los más de 14 mil habitantes.

Sólo me queda preguntaros ¿cuáles creéis que deberían ser las medidas que las infraestructuras esenciales deberían tomar en materia de ciberseguridad? ¿Deberían dejar de ser recomendaciones y pasar a ser obligaciones?

María del Mar Diez Henao (@MarDiezHenao97) para Segu-Info

7 comentarios:

  1. Me encanta esta muy bien detallado y muy bien echo felicidades maria del mar

    ResponderBorrar
  2. excelente articulo,,,y muy bien aplicado a prevenir alguna catostrofe

    ResponderBorrar
    Respuestas
    1. Hola Mar
      Parece evidente que en este caso de Florida hubo un problema de actualización de seguridad cibernetica, no sé si por confianza, desconocimiento... Pero esta claro que el informático de la empresa (si es que lo había,imagino que si) no parece que hiciera bien su trabajo repito, no sé si por confianza, porque no tenía orden o por seguridad a que nadie iba a querer entrar por medios informáticos a la empresa, a juzgar por lo poco precavidos que han sido, seguro que ni se les pasaba por la mente lo que luego sucedió, siendo tan poco precavidos.
      A tu pregunta, opino que por supuesto, Internet hoy en día es esencial en una empresa y si ésta va informatizada siempre tiene que estar a las últimas en seguridad cibernetica. Los grandes expertos informáticos que hackean a las empresas saben bien que al igual que hay grandes medidas de seguridad, hay atajos que saben bien por donde llegar y que si no están bien cubiertas, tienen el peligro de intromisión, pudiendo poner en peligro no sólo el tema material de una empresa, sino más importante aún la vida de las personas que forman parte o no de la empresa, como era éste caso concretamente.
      Por lo que dices parece ser que hoy en día no es obligado, pero si creo que debería serlo porque ha quedado claro que esto es algo muy serio en muchas empresas.
      Un buen artículo.
      Enhorabuena Mar.
      Yoly

      Borrar
    2. Hola Mar
      Parece evidente que en este caso de Florida hubo un problema de actualización de seguridad cibernetica, no sé si por confianza, desconocimiento... Pero esta claro que el informático de la empresa (si es que lo había,imagino que si) no parece que hiciera bien su trabajo repito, no sé si por confianza, porque no tenía orden o por seguridad a que nadie iba a querer entrar por medios informáticos a la empresa, a juzgar por lo poco precavidos que han sido, seguro que ni se les pasaba por la mente lo que luego sucedió, siendo tan poco precavidos.
      A tu pregunta, opino que por supuesto, Internet hoy en día es esencial en una empresa y si ésta va informatizada siempre tiene que estar a las últimas en seguridad cibernetica. Los grandes expertos informáticos que hackean a las empresas saben bien que al igual que hay grandes medidas de seguridad, hay atajos que saben bien por donde llegar y que si no están bien cubiertas, tienen el peligro de intromisión, pudiendo poner en peligro no sólo el tema material de una empresa, sino más importante aún la vida de las personas que forman parte o no de la empresa, como era éste caso concretamente.
      Por lo que dices parece ser que hoy en día no es obligado, pero si creo que debería serlo porque ha quedado claro que esto es algo muy serio en muchas empresas.
      Un buen artículo.
      Enhorabuena Mar.
      Yoly

      Borrar
    3. Muchísimas gracias por su comentario, Yoli.
      Totalmente de acuerdo con tus apreciaciones.
      Un saludo.

      Borrar
  3. Un artículo muy interesante. Me encanta la temática que has escogido. Enhorabuena!!

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!