Las costumbres del hombre pocas veces serán tan peligrosas como la de seguir, en el entorno OT, los mismos pasos que se dieron en el entorno IT. En el mundo, y me atrevería a decir, gracias a Dios, existen dos tipos de formas de entender la tecnología: La IT vs OT. Por centrar un poco el comentario y resumiendo muy por encima qué es cada cosa, podríamos decir que la IT es la tecnología de los usuarios y las empresas en general (los PCS, los servidores, las páginas Web, etc.). Por otro lado la OT sería la tecnología que controla los grandes sistemas tecnológicos que posibilitan los altos hornos, las centrifugadoras de Uranio, la apertura de las presas, etc. Sistemas que por su criticidad no permiten hacer nada más que para lo único que están programadas, básicamente y de forma muy ruda, abrir o cerrar alguna cosa.
Las preguntas a resolver son:
- ¿Cuál ha sido el objetivo de la IT?. La IT ha evolucionado para conectarse a todo el mundo y con todos. Facilitar la comunicación, el intercambio de información y la ubicuidad de la conexión.
- ¿Qué ha pasado con la OT?. Que se ha resistido a la interconexión por centrarse en sistemas críticos y muy localizados. Ha permanecido al margen de esta hiperconexión de todo con todo hasta ahora.
- ¿ IT vs OT, cuál es el problema?. El problema reside en que la criticidad de los mecanismos de la OT ha hecho que no sufriera continuas modificaciones y no haya modernizado sus programas con la misma asiduidad que lo hacía la IT.
- ¿Cuáles fueron los motivos?. Es muy sencillo, siempre nos han dicho que no se debe de jugar con fuego, no pasaría “casi nada “si una empresa ralentiza algún sistema con su IT, pero no podríamos permitir que el enfriador de un reactor nuclear no enfriara. El problema se presenta ahora, que precisamente al igual que nadie pensó en que en el año 2000 los ordenadores no podrían funcionar si sólo tenían los dos últimos años, año 89 en vez de 1989, nadie pensó que alguna vez fuera interesante conectar la OT a la IT… hasta ahora.
- ¿Qué ocurre?. Pues que la OT no está preparada a esta hiperconexión sin un proceso adecuado de estrategia y rediseño de los sistemas, para garantizar perfectamente el funcionamiento de lo que hasta ahora sólo el técnico que estaba físicamente delante del botón de la central podía hacer.
- ¿Cuál es la solución?. Sólo sabemos que hay una única cosa que no podemos hacer, que es, no hacer lo que hicimos con la IT ;-). Dicho esto, y por no ser catastrofista, lo que es necesario es entender la seguridad como un proceso innato a cualquier actividad que se desarrolle:
- Ya no importa conectar un sistema con otro, sino que hay que conectarlos con seguridad.
- Ya no importa que haya que hacer un interfaz para controlar una consola, sino que hay que desarrollarlo con seguridad.
- Ya no importa que haya que enviar un orden a un válvula de cierre de una puerta de una presa, sino que la orden se transmita con seguridad absoluta.
- Etc.
Está claro que este proceso va a ser caro, y que los atajos serán peligrosos, pero no es imposible. IT vs OT no tiene que se el problema, el único problema es ser lo suficientemente ordenados y pacientes para poder establecer unas estrategias de conexión y control adecuadas, que eviten los errores del pasado.
Esto no es un juego de niños y los errores podrían llevarse por delante muchas vidas humanas. Aplicar las metodologías oportunas, por especialistas en cada una de las materias, con herramientas adecuadas e innovadoras y tener el tiempo suficiente para obtener productos adecuados es la única solución a este problema.
¿Seremos capaces?
Origen: Ciberseguridad para los sistemas de control industrial