Cada vez estamos más conectados y somos más conscientes de la seguridad. Si hablamos del Internet de las Cosas (IoT) y de dispositivos interconectados en casi todos los contextos de nuestra vida, la seguridad es clave. Es un hecho evidente, pero merece la pena señalar que la cuestión es cómo desarrollar continuamente prácticas para mitigar las intrusiones cibernéticas selectivas. El proyecto SMESEC, financiado por la Unión Europea, ha puesto a algunos expertos en ciberseguridad manos a la obra y ahora está probando el concepto en una infraestructura real en la ciudad griega de Patras.
El papel de las tecnologías de la información (TI) y las tecnologías operativas (TO)
Para saber cómo construir mejor las prácticas de ciberseguridad, es bueno entender qué son los entornos de Tecnología de la Información (TI) y Tecnología Operativa (TO) y cómo funcionan e interactúan. Como explica Gartner , TI se refiere a todo el espectro de tecnologías para el procesamiento de la información, incluyendo software, hardware, tecnologías de la comunicación y servicios relacionados. OT, por su parte, se refiere al hardware y software que detecta o provoca un cambio a través de la monitorización directa y/o el control de dispositivos físicos, procesos y eventos en la empresa.
En líneas generales, las prioridades para TI son la confidencialidad y seguridad de los datos; la integridad y disponibilidad de la información no es tan importante. OT prioriza siempre que se pueda trabajar con los dispositivos, es decir, su disponibilidad, por lo que la confidencialidad juega un papel secundario.
Hacia la necesaria convergencia de TI y OT
Sin embargo, en muchos sectores industriales la diferencia no está tan clara. Si nos fijamos en el IoT industrial, tenemos maquinaria conectada a sensores y software en red que proporcionan datos que permiten un análisis inteligente para optimizar los procesos industriales. Podemos ver que los límites entre los escenarios OT e IT pueden difuminarse fácilmente.
Dado que la naturaleza de los sistemas está en constante cambio, las empresas tienen que responder alineando las políticas y herramientas de TI y OT. La coexistencia no es suficiente, los procesos y el flujo de información tienen que ser convergentes. Como explica Cisco, esta alineación puede suponer un importante ahorro de costes.
Un proyecto específico con financiación europea
En el marco del Programa de Investigación e Innovación de la UE, existe una iniciativa dedicada a abordar esta necesidad clave. SMESEC es el acrónimo de «Protección de la tecnología digital de las pequeñas y medianas empresas mediante un marco innovador de ciberseguridad», un proyecto dirigido por un grupo internacional de expertos en ciberseguridad de 7 países. El proyecto se concibió especialmente para ayudar a las (pequeñas y medianas) empresas con escasos conocimientos de ciberseguridad. El resultado es un marco de ciberseguridad fácil de instalar y desplegar desarrollado en 36 meses que estará listo para que estas empresas lo apliquen.
SMESEC ya ha completado sus primeros 24 meses desplegando con éxito un caso de uso real para servicios industriales en el que se están integrando y orquestando herramientas de ciberseguridad, mejorando realmente la solución IoT utilizada para supervisar las operaciones de los activos industriales.
Basándose en su experiencia prestando servicios tecnológicos basados en el IoT a la industria durante más de una década, uno de los socios del proyecto, Worldsensing, incluyó un caso de uso que debía desarrollarse en un lugar fuera del laboratorio: un estadio de fútbol de la ciudad de Patras (Grecia).
Incorporación de soluciones de ciberseguridad al ámbito del IoT industrial
Se seleccionó una infraestructura real para emular una situación de la vida real en la que se utiliza la tecnología IoT para la monitorización del estado estructural, en la que se monitoriza una infraestructura determinada para garantizar su integridad y evitar cualquier evento no deseado, como un fallo estructural.
El mantenimiento preventivo de cualquier infraestructura necesita gestionar el ámbito OT sin prescindir de la información relacionada con IT. Esto es especialmente importante si coexisten piezas distribuidas de hardware y software, y la comunicación se lleva a cabo a través de múltiples métodos y protocolos.
El estadio de fútbol Panachaiki es uno de los más antiguos de Patras. Construido en 1939 y con capacidad para 25.000 personas, sigue en funcionamiento albergando partidos con regularidad. Se llevan a cabo operaciones de mantenimiento y controles estructurales para garantizar la seguridad de las instalaciones. Cada vez es mayor la demanda de información a las autoridades para que, en caso necesario, apliquen medidas correctoras proactivas a la gestión de las infraestructuras.
Para supervisar la estabilidad de la estructura, se han instalado 10 registradores de datos de Worldsensing . Estos nodos inalámbricos están equipados con sensores de inclinación, vibración y temperatura y transmiten datos a 2 gateways y a una infraestructura en la nube duplicada. Se estudia la estabilidad de las terrazas del estadio para establecer una dependencia entre las cargas y el movimiento de la estructura, fijando umbrales de alarma para activar planes de contingencia.
Kostas Lampropoulos, de la Universidad de Patras, explica que el uso de dispositivos IoT de alta gama ofrece a las autoridades del estadio acceso en tiempo real a datos relevantes para la inclinación de los pilares de cemento, lo que es fundamental para la estabilidad de toda la construcción. Destaca que la capacidad de recopilar un amplio conjunto de datos históricos proporciona a los ingenieros una visión general del comportamiento de la estructura a diferentes temperaturas y cargas, por ejemplo durante un partido de fútbol en el que el estadio se llena de gente.
«El proyecto SMESEC es una oportunidad excepcional para los directores técnicos del estadio, así como para los ingenieros responsables de evaluar y certificar la salud estructural del estadio». Kostas Lampropoulos, Grupo de Arquitecturas y Gestión de Redes, Departamento de Ingeniería Eléctrica e Informática, Universidad de Patras.
Se han instalado equipos de monitorización en el estadio y se ha puesto en funcionamiento la infraestructura en la nube para ejecutar el proyecto. Desde julio de 2018, el sistema recopila información a partir de los datos adquiridos por la instrumentación in situ. Y la contribución del SMESEC ha permitido incluir una capa que añade requisitos de seguridad de alto nivel a los requisitos funcionales estándar. Esta capa de ciberseguridad se añade evaluando la criticidad de cada activo que forma la estructura de información. Las amenazas potenciales que afectan a cada uno de los activos se han identificado teniendo en cuenta la probabilidad de que se produzca el evento y el impacto resultante.
Preparado para usuarios no expertos
Los sistemas IoT industriales son utilizados habitualmente por operadores de infraestructuras con perfiles diversos, pero generalmente centrados en la dimensión OT y con escasa experiencia en ciberseguridad.
El proyecto pretende facilitar la implantación y el funcionamiento de la ciberseguridad de los productos IoT. Con este objetivo, expertos locales como la Universidad de Patras y el personal del operador del estadio han participado desde el principio. Esto ha dado lugar a que el proyecto evolucione para satisfacer sus necesidades, por ejemplo, se está desarrollando una solución de visualización del front-end a raíz de un requisito directo del usuario.
El usuario se convierte en un activo en la protección de la infraestructura al recibir información actualizada tanto de los ámbitos operativos como de seguridad. Con el fin de cubrir mejor las posibles necesidades de los usuarios, el proyecto ha categorizado diferentes perfiles con distintos conocimientos de ciberseguridad.
Un camino apasionante para la integridad, confidencialidad y disponibilidad de los datos
La solución desarrollada es más que la suma de distintas soluciones de seguridad: el sistema es capaz de correlacionar entradas de datos heterogéneas para emitir alarmas informáticas que complementen las alertas OT que ya recoge el sistema Worldsensing.
Los operadores del estadio están dispuestos a ampliar la colaboración con el proyecto e instalar más dispositivos IoT en otras zonas del estadio. Antonis Koukouvinis, ingeniero jefe del proceso de certificación de seguridad del estadio, señala que esta práctica debería adoptarse en muchas otras estructuras y edificios de la ciudad de Patras, algunos de ellos monumentos históricos que datan del siglo II a.C.
«Al ser Patras una zona altamente sismogénica, las áreas de reunión de la ciudad deben ser vigiladas activamente con esta solución mejorada para identificar rápidamente cualquier daño estructural y prevenir incidentes que puedan tener un grave impacto en la seguridad pública.» Antonis Koukouvinis, Ingeniero Jefe del Proceso de Certificación de Seguridad del estadio de fútbol Panachaiki, Patras, Grecia.
El proyecto cuenta ahora con 12 meses más para seguir desarrollando la integración real de las tecnologías de ciberseguridad e IoT, y aportar soluciones de seguridad a la sociedad. Los usuarios finales de varios sectores industriales podrán acceder tanto a los dominios OT como IT a través de una herramienta unificada que permite realizar comprobaciones exhaustivas y fiables del estado de las infraestructuras en cualquier momento.
Este proyecto ha recibido financiación del programa de investigación e innovación Horizonte 2020 de la Unión Europea en virtud del acuerdo de subvención nº 740787 (SMESEC). Este trabajo cuenta con el soporte de la Secretaría de Estado de Educación, Investigación e Innovación de Suiza (SERI) bajo el número de contrato 17.00067. Las opiniones expresadas y los argumentos empleados en este documento no reflejan necesariamente los puntos de vista oficiales de estos organismos de financiación.
