Para proteger mejor la infraestructura crítica de los Estados Unidos de los ciberataques, la administración Biden pide a las organizaciones que integren defensas en el diseño de los sistemas y no se basen únicamente en las protecciones de TI. Este artículo explica los conceptos de «ingeniería ciberinformada» y los ilustra con ejemplos del sector del agua.
•••
En suEstrategia nacional de ciberseguridad publicado el 2 de marzo, el gobierno de Biden pide cambios importantes en la forma en que los Estados Unidos priorizan la seguridad de los sistemas de software utilizados en las infraestructuras críticas. Reconoce que el enfoque de facto —hasta ahora básicamente «que el comprador tenga cuidado» — hace que las entidades que son menos capaces de evaluar o defender el software vulnerable sean responsables del impacto de las debilidades diseñadas, mientras que los fabricantes de la tecnología no asumen ninguna responsabilidad. La estrategia recomienda un enfoque de seguridad desde el diseño que incluye hacer que los proveedores de software sean responsables de cumplir el «deber de cuidado» con los consumidores y que los sistemas se diseñen para «fallar de forma segura y recuperarse rápidamente». En cuanto a la infraestructura energética, la estrategia menciona la necesidad de implementar un«estrategia nacional de ingeniería ciberinformada» para lograr una protección de ciberseguridad notablemente más eficaz. Este artículo ofrece una visión general de alto nivel de lo que eso implica. Los ingenieros que construyen nuestros complejos sistemas de infraestructura utilizan normas y procedimientos estrictos para garantizar altos niveles de seguridad y fiabilidad. Sin embargo, la mayoría de estos procedimientos se desarrollaron mucho antes de la llegada de la ciberseguridad moderna y aún no guían a los ingenieros a tener en cuenta las ciberamenazas, y mucho menos a diseñar defensas de ciberseguridad en esos sistemas. A través de su iniciativa de ingeniería ciberinformada, la Oficina de Ciberseguridad, Seguridad Energética y Respuesta a Emergencias (CESER) del Departamento de Energía busca remediarlo. Con la ayuda de los Laboratorios Nacionales, CESER se dedica a educar a los ingenieros sobre cómo diseñar sistemas que eliminen las vías de ciberataques y mitiguen los impactos de los ciberataques. Al principio de la fase de diseño del sistema, los ingenieros pueden identificar las funciones fundamentales del sistema y averiguar cómo diseñarlas de manera que se limiten los impactos de la disrupción o el uso indebido de la tecnología digital. En combinación con una estrategia de seguridad de TI sólida, esta ingeniería ciberinformada ofrece la oportunidad de proteger los sistemas de forma mucho más eficaz que la seguridad de TI por sí sola. El Laboratorio Nacional de Idaho fue pionero en el desarrollo de conceptos de ingeniería basados en el ciberespacio y está trabajando con el CESER para educar a otros miembros de la industria, el mundo académico y el gobierno sobre cómo aplicar estos conceptos a los desafíos del mundo real. En este artículo, resumiremos algunos de los principios básicos e ilustraremos cómo se ponen en práctica a través de un relato ficticio de una empresa municipal de agua. ## Diseño centrado en las consecuencias La tarea más importante de cualquier organización es garantizar que sus funciones más importantes nunca se vean interrumpidas. Los ingenieros están capacitados para diseñar sistemas resilientes y utilizan técnicas específicas para identificar y prevenir los modos de fallo tradicionales. Sin embargo, esto no protegerá el sistema contra un ciberataque sofisticado. Esto se debe a que los adversarios suelen aprovechar la funcionalidad innata de un sistema para hacer que funcione de una manera no deseada, como provocar el desbordamiento de un tanque o encender o apagar la energía repetidamente para dañar activos críticos y generar disrupción. En la práctica de la ingeniería cibernética, el primer paso que dan los ingenieros es identificar las funciones y los subsistemas relacionados, con el potencial de tener consecuencias catastróficas si un adversario inteligente los utiliza indebidamente. Luego, como describiremos más adelante, pueden identificar métodos para prevenir un ataque, detener las consecuencias negativas o limitar su impacto. Por ejemplo, supongamos que una empresa municipal de agua está considerando la posibilidad de crear un nuevo servicio basado en la nube para supervisar y controlar (es decir, iniciar y detener) una estación de bombeo remota y crítica. La tecnología en la nube haría que las operaciones fueran mucho más eficientes y ahorraría una cantidad significativa de mano de obra. En una revisión cibernética del diseño, se pidió a los miembros del equipo de diseño que imaginaran las peores consecuencias de un ataque. Identificaron una situación en la que un atacante podía entrar en el servicio en la nube y utilizarlo para controlar las bombas de forma remota, lo que podría afectar a la fiabilidad del flujo o a la seguridad del suministro de agua. Los líderes de la empresa de servicios públicos consideraron que se trataba de un riesgo demasiado alto y, como resultado, retrasaron sus planes de adquirir las funciones basadas en la nube hasta que el equipo pudiera establecer una forma de reducir este riesgo a casi cero. ## Controles de ingeniería Cuando se identifican las consecuencias de alto impacto de un posible ciberataque en la fase de diseño, los ingenieros tienen la facultad de ajustar los parámetros físicos del sistema en respuesta. Pueden seleccionar tecnologías con funciones que representen menos riesgo si se utilizan indebidamente. Pueden cambiar el funcionamiento de los procesos o ajustar las capacidades y tolerancias para reducir el daño que pueden causar las consecuencias negativas. También pueden introducir validaciones y controles adicionales para garantizar los resultados esperados. Como estas protecciones pueden incorporar barreras físicas u otros elementos en un proceso industrial, ofrecen protección adicional contra los ciberataques cuando se utilizan con las tecnologías de ciberdefensa tradicionales. Pueden crear protecciones que frustren las vías de los ataques y limiten sus consecuencias. Los miembros del equipo de diseño de la empresa revisaron las características de las bombas de agua a las que un atacante podría acceder a través del servicio basado en la nube. Identificaron que la peor consecuencia sería que un atacante encendiera y detuviera las bombas de forma remota con demasiada rapidez. Determinaron que instalar un relé analógico de retraso de 50 dólares en el controlador de la bomba ralentizaría las órdenes de arranque y parada remotos, lo que evitaría que un atacante que accediera a distancia dañara el sistema. La empresa de servicios públicos decidió incorporar esta protección y procedió con el aprovisionamiento de la tecnología en la nube, que ahorra costes. ## Defensa activa Cuando un adversario ataca un sistema de infraestructura, los operadores del sistema y los especialistas en tecnología de la información deben trabajar juntos para garantizar el funcionamiento continuo de las funciones críticas del sistema y, al mismo tiempo, defender el sistema del ataque. A menos que estas acciones se planifiquen, documenten y practiquen con antelación, este proceso puede resultar, en el mejor de los casos, ineficiente o, en el peor, totalmente ineficaz cuando se produce un ataque. En consecuencia, la ingeniería ciberinformada exige que los ingenieros planifiquen enfoques de respuesta que permitan que todo el sistema siga funcionando, aunque quizás no a todo su nivel, incluso cuando los elementos o características críticos queden fuera de servicio. Trabajan en equipo con especialistas en tecnología de la información para desarrollar estrategias de respuesta a medida que el sistema se diseña, desarrolla, prueba y opera. Realizan ejercicios con regularidad para practicar los procedimientos de respuesta documentados y medir su eficacia. En lugar de permanecer pasivos en caso de ciberataque, los ingenieros y operadores pasan a formar parte activa del equipo de respuesta. La mayoría de las empresas municipales de agua utilizan un sistema automatizado de supervisión, control y adquisición de datos (SCADA) para controlar sus funciones operativas. Este sistema tiene una programación que maximiza la eficiencia y la eficacia del sistema de agua y supervisa las operaciones del sistema mucho mejor que cualquier persona. Los equipos de ingeniería y operaciones formados en los principales conceptos de ingeniería basados en la ciberseguridad desarrollan los procedimientos que deben seguirse en caso de ataques a sus sistemas SCADA y realizan ejercicios periódicos con sus equipos de TI, ingeniería y operaciones, simulando escenarios en los que la automatización no está disponible o es poco fiable. Los ejercicios periódicos permiten al personal de operaciones desarrollar las habilidades necesarias para operar los sistemas de agua de forma manual, si es necesario, a fin de mantener un servicio seguro y confiable a los clientes. Los propietarios de sistemas de energía, agua y otros sistemas de infraestructura crítica deben estar preparados de forma continua para hacer frente a los ciberataques que infrinjan sus defensas electrónicas externas. Añadir medidas defensivas impulsadas por la ingeniería mejora su capacidad de resistir y prevenir las catastróficas consecuencias de los ciberataques. La estrategia nacional para la ingeniería ciberinformada proporciona los medios para formar a los ingenieros, desarrollar herramientas y aplicar estos métodos de ciberdefensa a las infraestructuras actuales y futuras. Al identificar las posibles consecuencias catastróficas de los ciberataques antes de que se produzcan y al eliminar la capacidad de los adversarios de lograr los resultados negativos que pretenden, podemos mejorar notablemente la ciberdefensa de las infraestructuras que desempeñan algunas de las funciones más importantes del país.