25 enero 2012

Seguridad industrial

A estas alturas, hablar de la seguridad en torno a los sistemas de control industrial no es nada novedoso. Stuxnet supuso el punto de inflexión, el hito a partir del cual la industria comenzó a prestar más atención a la seguridad en este tipo de entornos. Se había demostrado que era posible atentar contra la población civil a través de Internet, y era imposible que la sociedad no reaccionase ante tal constatación.

Sin embargo, que el verano de 2010 fuese el detonante de los cambios en la concepción de la seguridad en torno a los sistemas SCADA no quiere decir que año y medio más tarde la situación real haya cambiado mucho. Cualquier cambio tecnológico de envergadura es lento, y la adopción de nuevas tecnologías en este tipo de entornos industriales lo es todavía más. No obstante, iniciativas como la publicación de fallos de seguridad en sistemas SCADA llevada a cabo en el S4 demuestra que la concepción de la seguridad en este tipo de entornos está cambiando, pareciéndose cada vez más a la existente en el mundo TIC "clásico", el conectado a Internet. Ver cómo prácticas como el full disclosure empiezan a abrise camino en el cerrado mundo de los sistemas de control industrial es una prueba de que la seguridad empieza a tener la relevancia que se merece.

En cualquier caso, no es momento de echar las campanas al vuelo. Una compañía como Microsoft ha tardado casi diez años en integrar la seguridad en sus desarrollos, y ha necesido desarrollar una iniciativa global específica para seguridad y desarrollar dos nuevos sistemas operativos (desde el Windows XP hasta el Windows 7, sin contar el Windows XP SP2) para conseguir un entorno que puede considerarse aceptablemente seguro. Vistos los antecedentes, no creo que podamos esperar grandes revoluciones de los fabricantes de productos SCADA, y mucho menos de empresas que a día de hoy utilizan versiones de estos productos que funcionan sobre equipos Windows 98 o incluso anteriores. No obstante, las bases poco a poco se están asentando, de modo que quizás dentro de 10 años alguien pueda escribir, en torno a estos productos, un artículo similar al referenciado para Microsoft.

No hay comentarios: