TEMAS PROFESIONALES sus propias redes, como era el caso antes del boom de las nuevas tecnologías. Si se accede a estos sistemas, se puede tomar control efectivo de la instalación. Una de las vulnerabilidades más evidentes es la del ataque cibernético por un exempleado resentido. Muy pocos elementos digitales de las infraestructuras críticas fueron diseñados o instalados con la seguridad como elemento prioritario o siquiera fue esta considerada en absoluto. Gran parte de la infraestructura se instaló hace muchos años, antes de la existencia del control por ordenador o, cuando menos, antes de que la seguridad de las redes informáticas fuera un asunto serio. La mayoría de los sistemas SCADA están plagados de vulnerabilidades (4). Muchos de los sistemas de control están basados en sistemas operativos estándar de Windows o Linux y, en palabras de los hackers, se tardaría tan solo una semana en conseguir acceso a la mayoría de ellos. Según algunas fuentes (5), el 17 por 100 de fallos en los sistemas SCADA se debe al acceso directo al sistema desde Internet. Otras posibilidades de conexión son a través de redes privadas virtuales (VPN) (6) o módem. A pesar de que el acceso remoto no es recomendable por motivos de seguridad, la necesidad de reducir costes y la posibilidad de control remoto y centralizado de varios sistemas SCADA/instalaciones llevó a muchas compañías a establecer esta arquitectura de comunicaciones. En una encuesta realizada en 1997, se descubrió que el 40 por 100 de las instalaciones de agua permitían a sus operadores el acceso directo a Internet y el 60 por 100 de los sistemas SCADA podían ser conectados vía módem. La mayoría de expertos coincide en que los peores escenarios solo son posibles por la falta de protección adecuada. En un estudio (7), las administraciones de Estados Unidos fueron auditadas para comprobar su adherencia a una norma de 2002 sobre medidas de seguridad en tecnologías de la información. La nota media global fue «D +» (8). Lo peor es que el Department of Homeland Security (Ministerio de Interior), responsable de ciberseguridad, obtuvo una calificación de «F» (9). No es el sector público el único al que culpar. Más del 80 por 100 de las infraestructuras críticas pertenecen a entidades privadas. Muchas de ellas (4) GOODMAN S. E.: «Fuentes informales», en Critical Information Infrastructure Protection. IOS Press, International Affairs and Computing. Georgia Institute of Technology. Atlanta, USA, 2008. (5) BRUNST, P. W.: Use of the Internet by Terrorists. A Threat Analysis. IOS Press, Responses to Cyber Terrorism, Centre of Excellence Defence Against Terrorism, Ankara, Turkey, 2008. (6) Virtual Private Networks. Son redes lógicas cifradas; forman «túneles» privados en redes físicas menos restringidas o abiertas. (7) BRUNST, P. W.: op. cit. (8) Nota escolar equivalente en España a un «5 raspado». (9) Nota escolar equivalente en España a «4» o inferior. 2015 105
REVISTA GENERAL DE MARINA ENERO FEBRERO 2015
To see the actual publication please follow the link above