redseguridad 072

E ntrevista PIC monográfico 26 red seguridad primer trimestre 2016 especial ICS/SCADA están concebidos para asegurar la disponibilidad, rendimiento y calidad de los procesos. Sin embar- go, la ciberseguridad no siempre se ha tenido muy en cuenta, fundamental- mente por los sobrecostes que conlle- va en lo referido al diseño e implemen- tación de plantas industriales. Desde hace un par de años, gracias a las campañas informativas sobre los riesgos y vulnerabilidades de estos sistemas, y desgraciadamente por los casos reales de ciberincidentes, muchos operadores están tomando cartas en el asunto y no sólo plantean esta necesidad de securización como un requisito en el planeamiento de nue- vas plantas, sino que las plantas actual- mente en producción son dotadas de medidas básicas de seguridad que, en muchos casos, casi son consideradas suficientes y razonables si se tiene en cuenta la inversión realizada. No obstante, sigue existiendo en ciertos casos una resistencia conside- rable a la dotación de estos sistemas de protección, a pesar de que la fase de concienciación está bastante supe- rada. Es por ello que desde el CNPIC y el CERTSI, seguimos proponiendo ini- ciativas para ayudarles a dar ese paso. En términos más generales, ¿cuál es la situación de España en cuan- to a sus capacidades de ciber- seguridad? ¿Estamos expuestos a que sucedan incidentes como, por ejemplo, el supuesto ataque por malware a varias plantas eléctricas en Ucrania? Creo que España ha avanzado sus- tancialmente en materia de ciberse- guridad durante estos últimos años, y especialmente a raíz de la publicación de una Estrategia de Ciberseguridad Nacional. En este sentido, dispone- mos de un importante conjunto de capacidades que han sido puestas en común con objeto de mejorar nuestro nivel de respuesta coordinada. En lo que respecta al sector privado, creo firmemente que el panorama también ha evolucionado para mejor, disminu- yendo el número de operadores no concienciados suficientemente con la ciberseguridad. Ahora bien, me parecería muy atre- vido asegurar que estamos en dispo- sición de no recibir ningún ataque. Tal y como mencionaba anteriormente, las amenazas que pueden afectar a los dispositivos tecnológicos se caracteri- zan por su variabilidad, adaptándose a la evolución natural de estas tecnolo- gías. Si a esto unimos la existencia de las conocidas como vulnerabilidades 'día cero', es decir, aquellas que sólo son conocidas por los atacantes y que por tanto no tienen asociadas medi- das de mitigación conocidas, el riesgo puede llegar a aumentar en determina- das situaciones. Creo que lo más importante es dis- poner de herramientas que permitan identificar situaciones anómalas que puedan ser la punta del iceberg de un incidente más o menos grave; pero también considero fundamental dis- poner de protocolos y procedimientos que garanticen una respuesta coordi- nada entre todos los agentes que pue- dan verse involucrados. Esto es preci- samente lo que conseguimos desde la OCC con la capacidad de enlace que tiene con los operadores críticos, con el CERTSI y con las FCSE. Los terroristas ya no sólo utiliza la Red para comunicarse o hacer pro- selitismo sino también de realizar ataques directamente; por ejemplo, el que llevó a cabo el ISIS el año pasado contra la red eléctrica de Estados Unidos. ¿Hasta qué punto es real la amenaza terrorista en el ciberespacio y hasta qué punto puede afectarnos? Las infraestructuras críticas, por el especial impacto negativo que ten- dría un incidente y por la visibilidad que obtendrían sus atacantes, deben ser especialmente protegidas y eva- luadas. Por este motivo, la normativa sobre protección de infraestructuras crítica (la Ley 8/2011 y el Real Decreto 704/2011) está referida a situaciones de ataques deliberados, entre los que cabe destacar como posibles agentes a grupos terroristas. De hecho, todas las medidas de prevención y respuesta llevadas a cabo desde el CNPIC, desde la OCC y desde el CERTSI tienen por objeto final minimizar el impacto de estos ataques deliberados en el caso de que se lleguen a materializar. Sin embar- go, y a pesar de que trabajamos para mejorar el nivel de conocimiento de la situación que nos permita conocer qué amenazas son las más probables y de qué forma podríamos prevenir- nos ante ellas, no podemos obviar que los grupos terroristas pueden llegar a mejorar sus capacidades en materia de ciberseguridad. En este sentido, si bien hasta el momento emplean Internet como herramienta propagandística y de comunicación, los análisis de riesgos que elaboran los operadores no deben de obviar ataques dirigidos. Por tanto, podríamos concluir que el nivel de amenaza de recibir un cibera- taque dirigido de gran magnitud no lo considero elevado, si bien esto no debe hacer que minimicemos nuestros esfuerzos. Para ello creo que lo más importante es trabajar suponiendo que ese nivel de amenaza sí que es eleva- do, independientemente de la valora- ción real. Debemos trabajar suponien- do el peor escenario posible. Sólo de esa forma conseguiremos mejorar nuestras capacidades de prevención, detección y respuesta. "Si hablamos de ciberseguridad, es necesario dar un trato cercano a los operadores de servicios esenciales"