Seguridad en Data Centers, Centrales Eléctricas y Edificios Inteligentes.
Los ciberataques, ya tan conocidos por todos en sus diferentes formas, contextos y daños causados, hoy hacen mucho ruido. Y esto se extiende también al área de los Data Centers, Edificios Inteligentes y últimamente en Centrales Eléctricas. Sin embargo, se sabe poco o casi nada de los mecanismos de aseguramiento, prevención y certificación de los sistemas que se operan y administran en estas infraestructuras.
Para entrar en materia es necesario señalar que un Data Center, más allá de ser la base fundamental del Cloud, es un complejo encuadre de 16 sub-sistemas de ingeniería de tipo eléctrico, mecánico, hidráulico, arquitectónico, de ingeniería estructural, obra civil, seguridad física, comunicaciones, por nombrar los más destacados o más visibles. Pues bien, todos ellos y en su conjunto operan bajo sistemas de administración parcial o centralizada a través de otros sistemas que principalmente son DCIM (Data Center Infrastructure Management), BMS (Building Management System), SCADA (Supervisory Control And Data Acquisition) y sobre protocolos específicos tales como, TCP/IP, Modbus, LonWorks, Backnet, lo mismo para Centrales Eléctricas y Edificios Automatizados.
Todos estos sistemas y protocolos son claramente vulnerables para los hackers, puesto que están operando sobre redes casi totalmente desprotegidas o, peor aún, con muy malas prácticas en la administración. En este último caso, cualquier persona del ecosistema de mantenimiento puede ingresar y transaccionar información desde o hacia sus sistemas particulares en la nube o computadora personal.
Un ejemplo claro se da en el mantenimiento de los sistemas de respaldo UPS (el más conocido). Éste contempla revisar la UPS, por consola y vía application browser, los estados de funcionamiento junto con los updates/upgrades del software de gestión del o los UPS. Pero en este procedimiento el Oficial de Seguridad no tiene control sobre muchos de estos factores. Menos aún en tareas de mayor envergadura como el sincronismo de grupos de generación, donde se descargan o insertan por USB las actualizaciones o bien directamente desde Internet hoy en día.
Si hasta aquí se ha podido imaginar el daño que podría tener un ataque o una infiltración de códigos maliciosos a cualquiera de estos subsistemas, se dará cuenta que el Mega Firewall con todos los bundles de IPS, IDS o AV no servirán de nada, puesto que con la energía apagada nada se podrá hacer. Esto en el mundo de la infraestuctura lo llamamos también “Down-Time”.
Asimismo, sabemos que, día a día, en los Data Centers, a nivel de infraestructura electromecánica, se toman todas las providencias a nivel de mantenimiento, administración y operación (observable más en Data Centers de Colocations o ISPs), pero éstas no están exentas de fallos por algún cortocircuito, falla de un interruptor, bombas del sistema de refrigeración, equipos UPS, generadores, sincronía, PLC´s, entre otros.
A partir de lo anterior, nacen las famosas Certificaciones tipo TIER (TIER III, TIER IV del Uptime Institute o ICREA), pero éstas velan sólo por el adecuado diseño de los sistemas electromecánicos, de seguridad física, instalaciones y de la continuidad operacional de ellos. No obstante, no ven nada de seguridad lógica y no lo harán nunca puesto que no es su objetivo y porque para ello están los Oficiales de Seguridad. Ésta es la importancia que tienen estos personajes en las empresas y es lo que se comenta en los diversos Summits. Personalmente quiero contribuir a esta causa – resaltar el rol de los Oficiales de Seguridad – mediante el conocimiento y haciéndome parte de las iniciativas del mercado para estas potentes amenazas.
Hace un tiempo se viene desarrollando con mucha fuerza en el Comité de ISA99 la ISA/IEC 62443 Series of Standards on Industrial Automation and Control Systems (IACS) Security, en la que estamos trabajando para afinar un poco más la “puntería” a los Data Centers. Sin embargo, estamos claros que son cuestiones que tardan en liberarse.
Esto, en mi opinión, es algo que la industria de la seguridad ya debiera estar mirando así como en su tiempo fueron certificaciones de la infraestructura del Uptime Institute, ICREA, LEED, temas de los cuales me ha tocado “evangelizar” en Latinoamérica.
Frente a este panorama existen hoy ciertos procedimientos y soluciones de seguridad cruzada que se pueden utilizar para lograr una mitigación a la problemática expuesta y que van de la mano con las nuevas tecnologías de la gestión de seguridad IT.
Finalmente, les dejo algunos tips o consideraciones que se podrían tomar en cuenta para estar atentos en seguridad: tener procedimientos y certificación en la Gobernabilidad de la Infraestructura; alineamiento Normativo ISA 99 Industrial Automation and Control Systems Security (ex-ISA/IEC 62443); poseer firewall para sistemas Scada; aseguramiento para los Sistemas DCIM, BMS y BACS y tomar el riesgo de un Down-Time como parte de los procesos de aseguramiento. Y no olvidar mantener personal especializado o asesoramiento de expertos y permanente entrenamiento de los operadores.