Una aproximación al análisis de la ciberseguridad ferroviaria desde el punto de vista del safety ferroviario

Introducción

La ciberseguridad ferroviaria está al orden del día. Debido a la evolución tecnológica de la industria ferroviaria con su fuerte digitalización de los últimos años (teniendo en cuenta lo lenta que es la introducción de tecnología en este sector), la aparición de ataques cibernéticos en varias administraciones ferroviarias en diferentes puntos del mundo y, la estandarización de la ciberseguridad ferroviaria con la aparición de la especificación técnica CLC/TS 50701, ha convertido la ciberseguridad en uno de los nuevos retos tecnológicos de los players del sector, tanto administraciones ferroviarias, empresas tecnólogas, proveedores de servicios, etc.

Más allá de los dolores de cabeza que nos supone a los hispano hablantes no tener dos palabras para diferenciar el safety y el security (ambas se traducen en castellano como seguridad), en este artículo Leedeo Engineering presenta un análisis de la ciberseguridad ferroviaria como punto de partida al safety ferroviario. ¿Qué diferencias tienen?¿Como se relacionan?¿Cuándo penaliza o favorece una respecto a la otra? 

Como veremos en este artículo, concluiremos que la seguridad y la ciberseguridad son diferentes y que no pueden acoplarse fácilmente. Además, la ciberseguridad no puede considerarse simplemente como un complemento del safety o viceversa.

El safety y la ciberseguridad tienen objetivos diferentes pero complementarios: el safety busca principalmente proteger a las personas, activos o al eco-sistema que le rodea de los fallos de funcionamiento de los sistemas ferroviarios, mientras que la security (y por tanto la ciberseguridad), tiene como objetivo proteger los sistemas técnicos ferroviarios de los ataques de sus entorno o ecosistema que le rodea.

Una particularidad muy importante que marcará el futuro de ambas tecnologías, la Ingeniería RAMS y la Ingeniería de la Ciberseguridad, es la procedencia de sus autoridades de referencia o reguladoras. Por ejemplo, el safety viene regulado por la Agencia de Ferrocarriles de la Unión Europea (ERA), mientras que la ciberseguirdad, de la Agencia de Seguridad de las Redes y la Información de la Unión Europea (ENISA). También nos encontramos frente a diferentes comités de estandarización y estándares diferentes separados. Por ejemplo la serie EN 50126 para la Ingeniería RAMS Ferroviaria y la serie ISO 27000 o IEC 62443 para la ciberseguridad.

El safety por definición genera inmovilismo y poca evolución de los diseños de sistemas y productos ya que la demostración del cumplimiento de las normativas de safety son tediosas, complejas y longevas. En cambio en la ciberseguridad, la capacidad de adaptación al medio es un valor añadido.

Otra particularidad que nos encontraremos es que en safety, se deben evitar los cambios frecuentes debido al costo de la demostración de safety. Es decir, por definición, el safety genera inmovilismo debido a los procesos de certificación u homologación de productos o sistemas: todos los que los hemos sufrido sabemos que son complejos, duros y costosos económicamente y temporalmente. En cambio, en ciberseguridad, la actualización debe ser fácil para poder parchear el sistema de manera oportuna y ágil. La teoría más básica de la ciberseguridad concluye que todo sistema es vulnerable, sólo es cuestión de aplicar tiempo y recursos para conseguirlo. La evolución constante de los sistemas, lleva a alejar también constantemente, el tiempo teórico hasta que un sistema vuelve a ser vulnerable. Por tanto, por definición, la ciberseguridad será, contrariamente al safety, tremendamente inmovilista.

Los requisitos entre el safety y la ciberseguridad, a menudo, como hemos visto, serán contradictorios. Tomemos como ejemplo simple un mensaje de emergencia (por ejemplo, para apagar un sistema que se ha detectado que no funciona correctamente). Desde la perspectiva del safety, el mensaje debe transmitirse lo más rápido posible y la reacción debe ejecutarse de inmediato. 

Desde una perspectiva de la ciberseguridad, el mensaje debe autenticarse (proceso costoso en tiempo) para evitar ejecutar un mensaje que pudiera venir de un atacante que tiene como objetivo afectar a la disponibilidad del sistema. 

Por tanto, la integración del safety y la ciberseguridad no tiene demasiado sentido, pero si lo debe ser su coordinación

Debido a las muchas diferencias, no es razonable, en la mayoría de ocasiones, integrar el safety y la ciberseguridad dentro de los mismos procesos de Ingeniería. Sin embargo, los procesos y ciclos de vida deben coordinarse, ir en paralelo, y deben establecerse los interfaces adecuados. En particular, en el análisis de riesgos del safety, es necesario identificar los peligros que resultan de los problemas de ciberseguridad y estos se tratan como amenazas en la evaluación de riesgos de la ciberseguridad. En este caso, el ingeniero de safety debe dar apoyo para evaluar las implicaciones de safety durante la evaluación de la ciberseguridad, pero la definición de las contramedidas de ciberseguridad adecuadas es responsabilidad de los ingenieros de ciberseguridad de acuerdo con los estándares y best practices que rigen esta tecnología

Por tanto, según nuestra experiencia la mejorar decisión es separar el safety y la ciberseguridad en la medida de lo posible, pero coordinarlas de manera efectiva. 

Si el safety y la ciberseguridad estuvieran estrechamente integradas, cualquier cambio en las funciones de ciberseguridad podría invalidar el costoso estudio de seguridad, safety case.

Los problemas de ciberseguridad relacionados con el safety se producen debido a amenazas a la integridad del sistema, que surgen de atacantes que explotan vulnerabilidades en el entorno de ciberseguridad. Los atacantes (los piratas informáticos) actúan intencionadamente, utilizando toda la información sobre el sistema que pueden obtener, de acuerdo con un cierto estado de la técnica en piratear.  Por tanto, a diferencia del safety, no existe probabilidad o tasa de ataque, como la tasa de fallo probabilística de los análisis RAMS y de safety. 

La similitud con el safety es que las causas de las amenazas a la ciberseguridad son similares a los fallos sistemáticos en el safety. Las vulnerabilidades a menudo se originan por errores en la funcionalidad de ciberseguridad, principalmente del software, que es similar a fallos sistemáticos de software en safety. Por tanto, ni es factible ni tiene sentido, evaluar el riesgo de seguridad de forma probabilística.

La principal diferencia es que en ciberseguridad se necesita un atacante para explotar la vulnerabilidad, mientras que en safety, ciertas condiciones en el entorno operativo desencadenan el fallo, lo que resulta en un fallo del sistema. Por lo tanto, los requisitos de seguridad deben establecerse de manera similar a los requisitos de integridad de la seguridad, es decir, un esquema de niveles objetivo similar a los niveles de integridad de seguridad (SIL). Según la norma IEC 62443, SL 1 representa errores no intencionales o solo un mal uso previsible, mientras que SL 2, SL 3 y SL 4 se refieren a ataques intencionales en los que el atacante posee niveles crecientes de conocimiento, motivación y recursos.

Muchos ataques exitosos muestran un patrón similar: primero, el atacante obtiene acceso al sistema (red). Luego el atacante explora el sistema, a menudo tratando de obtener privilegios más altos, hasta que finalmente, el atacante lleva a cabo el ataque. El acceso o privilegios superiores se pueden obtener explotando vulnerabilidades (por ejemplo, contraseñas débiles) o por medios sociales como el phishing. A menudo, el atacante no puede lograr sus objetivos sin operadores o empleados que infrinjan las reglas de seguridad o no sean conscientes de las consecuencias de según que actos. Por eso es muy importante que se promueva y se capacite la conciencia de ciberseguridad como parte de la cultura de la empresa, de la misma manera que se ha promovido, durante los últimos años, la cultura de la seguridad (del safety) en las organizaciones.

Leedeo Engineering, especialistas en sistemas ferroviarios, Ingeniería RAMS y normativas ferroviarias. También las relacionadas con la ciberseguridad en la industria ferroviaria.