Misión de ciberseguridad: responder a las necesidades cambiantes del sector

Todos estamos cada vez más conectados y más concienciados con la seguridad. Si hablamos del Internet de las Cosas (IoT) y de dispositivos interconectados en casi todos los contextos de nuestra vida, la seguridad es clave. Es un hecho constatado, pero vale la pena señalar que la cuestión es cómo desarrollar continuamente prácticas para mitigar las intrusiones cibernéticas dirigidas. El proyecto SMESEC, financiado por la Unión Europea, ha puesto a algunos expertos en ciberseguridad a trabajar y ahora está probando el concepto en una infraestructura real en la ciudad de Patras (Grecia). 

El papel de las tecnologías de la información (TI) y las tecnologías operativas (TO) 

Para apreciar cómo construir mejor las prácticas de ciberseguridad, es bueno entender qué son los entornos de Tecnologías de la Información (TI) y de Tecnologías Operativas (OT) y cómo funcionan e interactúan. Como explica Gartner , la TI se refiere a todo el espectro de tecnologías para el procesamiento de la información, incluyendo el software, el hardware, las tecnologías de comunicación y los servicios relacionados. La OT, por su parte, se refiere al hardware y al software que detecta o provoca un cambio a través de la supervisión y/o el control directo de los dispositivos físicos, los procesos y los eventos de la empresa.

En líneas generales, las prioridades para TI son la confidencialidad y la seguridad de los datos; la integridad y la disponibilidad de la información no son tan importantes. OT siempre prioriza que el trabajo con los dispositivos sea posible, es decir, su disponibilidad, por lo que la confidencialidad juega un papel secundario.

Hacia la necesaria convergencia de las TI y las OT 

Sin embargo, en muchos sectores industriales la diferencia no es tan clara. Si nos fijamos en el IoT industrial, tenemos maquinaria conectada a sensores y software en red que proporcionan datos que permiten un análisis inteligente para optimizar los procesos industriales. Podemos ver que los límites entre los escenarios de OT y IT pueden difuminarse fácilmente. 

Dado que la naturaleza de los sistemas está en constante cambio, las empresas deben responder alineando las políticas y herramientas de TI y OT. La coexistencia no es suficiente, los procesos y el flujo de información tienen que ser convergentes. Como explica Cisco, esta alineación puede suponer un importante ahorro de costes.

Un proyecto específico con financiación europea

En el marco del Programa de Investigación e Innovación de la UE, existe una iniciativa dedicada a esta necesidad clave. SMESEC es el acrónimo de "Protección de la tecnología digital de las pequeñas y medianas empresas mediante un marco innovador de ciberseguridad", un proyecto dirigido por un grupo internacional de expertos en ciberseguridad de 7 países. El proyecto fue concebido especialmente para ayudar a las (pequeñas y medianas) empresas con escasos conocimientos de ciberseguridad. El resultado es un marco de ciberseguridad fácil de instalar y desplegar desarrollado en 36 meses que estará listo para que estas empresas lo apliquen.  

SMESEC ha completado sus primeros 24 meses desplegando con éxito un caso de uso real para los servicios industriales en el que se están integrando y orquestando herramientas de ciberseguridad, mejorando realmente la solución de IoT utilizada para supervisar las operaciones de los activos industriales.

Basándose en su experiencia en la prestación de servicios tecnológicos basados en el IoT a la industria durante más de una década, uno de los socios del proyecto, Worldsensing, incluyó un caso de uso que debía desarrollarse en un lugar fuera del laboratorio: un estadio de fútbol en la ciudad de Patras (Grecia). 

Incorporación de soluciones de ciberseguridad al ámbito del IoT industrial 

Se seleccionó una infraestructura real para emular una situación de la vida real en la que se utiliza la tecnología IoT para la monitorización del estado estructural, en la que se monitoriza una determinada infraestructura para garantizar su integridad y prevenir cualquier evento no deseado, como un fallo estructural.

El mantenimiento preventivo de cualquier infraestructura debe gestionar el ámbito de la OT sin dejar de lado la información relacionada con la TI. Esto es especialmente importante si coexisten piezas distribuidas de hardware y software, y la comunicación se realiza a través de múltiples métodos y protocolos.

El estadio de fútbol Panachaiki es uno de los más antiguos de Patras. Construido en 1939 y con un aforo de 25.000 personas, sigue en funcionamiento albergando partidos regulares. Se realizan operaciones de mantenimiento y controles estructurales para garantizar la seguridad de las instalaciones. Cada vez es mayor la demanda de información por parte de las autoridades para que puedan aplicar medidas correctoras proactivas en la gestión de la infraestructura, si es necesario.  

Para supervisar la estabilidad de la estructura, se han instalado 10 registradores de datos Worldsensing . Estos nodos inalámbricos están equipados con sensores de inclinación, vibración y temperatura y transmiten datos a 2 pasarelas y a una infraestructura en la nube duplicada. Se estudia la estabilidad de las terrazas del estadio para establecer una dependencia entre las cargas y el movimiento de la estructura, fijando umbrales de alarma para activar planes de contingencia. 

Kostas Lampropoulos, de la Universidad de Patras, explica que el uso de dispositivos IoT de alta gama ofrece a las autoridades del estadio acceso en tiempo real a datos relevantes para la inclinación de los pilares de cemento, lo que es fundamental para la estabilidad de toda la construcción. Destaca que la capacidad de recopilar un amplio conjunto de datos históricos proporciona a los ingenieros una visión general del comportamiento de la estructura en diferentes temperaturas y cargas, por ejemplo, durante un partido de fútbol en el que el estadio está lleno de gente. 

"El proyecto SMESEC es una oportunidad excepcional para los directores técnicos del estadio, así como para los ingenieros responsables de evaluar y certificar la salud estructural del estadio". Kostas Lampropoulos, Grupo de Arquitecturas y Gestión de Redes, Departamento de Ingeniería Eléctrica e Informática, Universidad de Patras.

Se han instalado equipos de monitorización en el estadio y se ha puesto en funcionamiento la infraestructura en la nube para ejecutar el proyecto. Desde julio de 2018, el sistema recopila información a partir de los datos adquiridos por la instrumentación in situ. Y la contribución del SMESEC ha permitido incluir una capa que añade requisitos de seguridad de alto nivel a los requisitos funcionales estándar. Esta capa de ciberseguridad se añade evaluando la criticidad de cada activo que forma la estructura de información. Las amenazas potenciales que afectan a cada uno de los activos se han identificado teniendo en cuenta la probabilidad de que se produzca el evento y el impacto resultante.

Preparado para usuarios no expertos 

Los sistemas de IoT industrial son utilizados habitualmente por operadores de infraestructuras con perfiles diversos, pero generalmente centrados en la dimensión OT y con poca experiencia en ciberseguridad. 

El proyecto pretende facilitar la implantación y el funcionamiento de la ciberseguridad de los productos IoT. Con este objetivo, expertos locales como la Universidad de Patras y el personal del operador del estadio han participado desde el principio. Esto ha dado lugar a que el proyecto evolucione para satisfacer sus necesidades, por ejemplo, se está desarrollando una solución de visualización del front-end a raíz de un requisito directo del usuario. 

El usuario se convierte en un activo en la protección de la infraestructura al recibir información actualizada tanto del ámbito operativo como de la seguridad. Para cubrir mejor las posibles necesidades de los usuarios, el proyecto ha categorizado diferentes perfiles con una experiencia diferente en ciberseguridad.

Un camino apasionante para la integridad, la confidencialidad y la disponibilidad de los datos  

La solución desarrollada es más que la suma de distintas soluciones de seguridad: el sistema es capaz de correlacionar entradas de datos heterogéneas para emitir alarmas informáticas que complementan las alertas OT que ya recoge el sistema Worldsensing. 

Los operadores del estadio están dispuestos a ampliar la colaboración con el proyecto e instalar más dispositivos de IoT en otras zonas del estadio. Antonis Koukouvinis, ingeniero jefe del proceso de certificación de seguridad del estadio, señala que esta práctica debería adoptarse en muchas otras estructuras y edificios de toda la ciudad de Patras, algunos de ellos monumentos históricos que datan del siglo II de nuestra era. 

"Al ser Patras una zona altamente sismogénica, las zonas de reunión de la ciudad deben ser vigiladas activamente con esta solución mejorada para identificar rápidamente cualquier daño estructural y prevenir incidentes que puedan tener un impacto severo en la seguridad pública". Antonis Koukouvinis, ingeniero jefe del proceso de certificación de seguridad del estadio de fútbol Panachaiki, Patras, Grecia. 

El proyecto tiene ahora 12 meses más para seguir desarrollando la integración real de las tecnologías de ciberseguridad e IoT, y aportar soluciones de seguridad a la sociedad. Los usuarios finales de varios sectores industriales podrán acceder tanto a los dominios OT como IT a través de una herramienta unificada que permita comprobar de forma exhaustiva y fiable el estado de las infraestructuras en cualquier momento. 

Este proyecto ha recibido financiación del programa de investigación e innovación Horizonte 2020 de la Unión Europea en virtud del acuerdo de subvención nº 740787 (SMESEC). Este trabajo cuenta con el apoyo de la Secretaría de Estado para la Investigación y la Innovación de Suiza (SERI) bajo el número de contrato 17.00067. Las opiniones expresadas y los argumentos empleados en el presente documento no reflejan necesariamente las opiniones oficiales de estos organismos de financiación.