1

Infraestructuras críticas y sistemas de control industrial

Las infraestructuras críticas, cuya definición es necesario comprender y acotar apropiadamente para comprender el contexto del artículo, son un tipo de infraestructura que por su naturaleza pueden catalogarse como estratégicas. Es decir, se trata de construcciones diseñadas para la prestación de servicios fundamentales, cuyo funcionamiento se antoja indispensable y esencial para los ciudadanos, por lo cual su perturbación o pérdida supondría consecuencias enormemente catastróficas para la sociedad.[1] Se trata de sistemas físicos y virtuales o conjuntos de activos esenciales para dar un correcto respaldo a los sistemas sociales, económicos y ambientales, por lo que se vuelve un asunto prioritario velar por su correcto funcionamiento y seguridad.

¿Qué infraestructuras son consideradas como críticas?

En la práctica, este tipo de infraestructuras puede catalogarse como crítica o no en función del contexto en el que desarrolle su actividad, de manera que una misma infraestructura en un país puede catalogarse como crítica, mientras que en otro país podría no tener un desempeño que no sea esencial. En consecuencia, en función de las características del estado (necesidades, recursos y nivel de desarrollo) y las consecuencias que acarrearía que ocurriera algún tipo de problema, pueden ser determinantes a la hora de considerar este tipo de infraestructuras.[2]

De esta manera, se han de tener en consideración una serie de parámetros que sirvan para poder evaluar y determinar la criticidad de este tipo de infraestructuras. Factores como el número de personas afectadas, impacto económico, impacto medioambiental o el impacto público y social.[3]

Muchas infraestructuras comunes en la mayoría de los países cuentan con una naturaleza que las hace críticas debido a la función que realizan para las sociedades, son servicios necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas. Entre otras, podemos encontrar comúnmente entre este tipo de infraestructuras algunas como las siguientes:

  • Sistemas de telecomunicaciones
  • Sistemas de suministro eléctrico
  • Sistemas de suministro de gas natural y combustibles
  • Sistemas de suministro de agua y gestión de residuos
  • Bancos y sistemas financieros
  • Servicios gubernamentales y jurídicos
  • Sistemas de emergencias, rescate y protección civil
  • Sistemas de suministro de alimentos
  • Sistema sanitario
Las infraestructuras críticas pueden ser de una gran diversidad de naturalezas.

¿Qué son los sistemas de control?

Llegados a este punto, llega la hora de hablar del otro punto clave en este asunto, los sistemas de control industrial (SCI). Dentro de la ingeniería de sistemas, se entiende por sistema de control un conjunto de dispositivos encargados de la gestión y el manejo de las acciones y, en consecuencia, el comportamiento de otro sistema asociado con el objetivo principal de reducir las probabilidades de fallo.[4]

Este tipo de sistemas se entiende que son aquellos sistemas que residen en entornos industriales y de fabricación, es decir, la producción de electricidad, agua y energía. No obstante, es necesario mencionar y comprender que este tipo de sistemas abarca otros tantos como los sistemas de control de procesos (SCP), sistemas de control distribuido (SCD), y sistemas de supervisión, control y adquisición de datos (SCADA, del inglés, supervisory control and data acquisition). En definitiva, se trata de un término que incluye diferentes sistemas de supervisión, control y configuración que se encuentran a menudo en los sectores industriales e infraestructuras catalogadas como críticas.[5]

Sala de control de Metro Bilbao.

Tipos de SCI

Típicamente se distinguen dos tipos de sistemas de control diferenciados: sistemas de lazo abierto y sistemas de lazo cerrado. En los primeros, la salida del sistema no interviene en la acción de control, esto es, no reacciona antes perturbaciones; mientras que en los segundos sí se requiere conocer la salida para ejecutar las acciones de control ya que el sistema de control reacciona ante las perturbaciones corrigiéndolas. Siendo estos últimos sistemas mucho más complejos y amplios.[6]

Asimismo, a nivel industrial y de infraestructuras críticas, pueden encontrarse diferentes soluciones de sistemas de control utilizadas a menudo en este tipo de entornos:

  • Sistemas de Control Distribuido (SCD). Los SCD controlan procesos industriales dentro de la misma zona geográfica y se integran como una arquitectura de control que contiene un nivel de control para supervisar múltiples subsistemas integrados, los cuales son responsables de controlar los detalles de un proceso determinado. En los sistemas modernos, los SCD suelen estar usualmente interconectados mediante una red interna.
Niveles de funcionalidad de un sistema SCD.
  • Sistemas de Supervisión, Control y Adquisición de Datos (SCADA). Los sistemas SCADA se componen tanto de hardware como de software y son sistemas altamente distribuidos utilizados para controlar activos dispersos geográficamente donde la adquisición y control centralizada de datos son críticos para la operación o funcionamiento del sistema. Estos sistemas se encuentran diseñados para que sea posible recoger la información y transferirla a una instalación central donde se puede supervisar o controlar de manera centralizada un sistema en tiempo real.
Ejemplo de implementación de un sistema SCADA.
  • Controladores Lógicos Programables o Autómatas Programables (PLC). Los PLCs son dispositivos informáticos de estado sólido que controlan equipos y procesos industriales. Aunque los PLCs se utilizan ampliamente en sistemas SCADA y SCD, a menudo son los componentes primarios de configuraciones de sistemas de control más pequeños utilizados para proporcionar control operativo de los procesos diferenciados. Su uso se encuentra ampliamente extendido en gran cantidad de procesos industriales.
Dispositivos PLC.

Conclusiones

En resumidas cuentas, hoy por hoy es una tarea primordial y necesaria la de segurizar las infraestructuras críticas de las que vivimos rodeados en nuestro día a día. El avance de las nuevas tecnologías y sobre todo de las telecomunicaciones suponen grandes cambios en muchos de los procesos de las mismas, cambios que en muchos casos necesitan de sistemas de control eficientes que sean capaces de prevenir fallos catastróficos para todos nosotros.

Referencias

[1] Incibe-Cert. s.f. https://www.incibe-cert.es/respuesta-incidentes/infraestructuras-criticas/preguntas-frecuentes (último acceso: 24 de octubre de 2020).

[2] OBS Business School. s.f. https://obsbusiness.school/es/blog-investigacion/operaciones/infraestructuras-criticas-definicion-y-proteccion (último acceso: 24 de octubre de 2020).

[3] España. Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. (último acceso: 24 de octubre de 2020). Disponible: https://www.boe.es/buscar/pdf/2011/BOE-A-2011-7630-consolidado.pdf 

[4] Wikipedia. s.f. https://es.wikipedia.org/wiki/Sistema_de_control#Sistema_de_control_de_lazo_abierto (último acceso: 25 de octubre de 2020).

[5] ISACA. «Sistemas de Control Industrial: Un Manual Básico para el Resto de Nosotros.» Libro blanco, 2015.

[6] Turmero, Pablo. Monografias.com. s.f. https://www.monografias.com/trabajos101/automatismos-y-control-sistemas-basicos-control-industrial/automatismos-y-control-sistemas-basicos-control-industrial.shtml (último acceso: 26 de octubre de 2020).




Sistemas de control industrial y riesgos

Caminar por la calle debería ser suficiente para darse cuenta del afán de los humanos por controlar todo. El tiempo, el clima, la calidad del aire, el numero de plazas en el parking de debajo de tu casa. Está por todos los lados. En las farmacias, en los escaparates de tu tienda de ropa o en el bar con tus amigos. Y lo cierto es que todo este control tiene un sentido. El control nos ayuda a comprender nuestro entorno, y por consiguiente predecirlo. Esto es algo que el ser humano no ha tardado mucho en darse cuenta, ya que la intención de controlar nuestros alrededores se remonta muy atrás, pero es actualmente cuando más controversia. Ante el control que el gobierno quiere imponer a los ciudadanos, estos se revelan para proteger su privacidad. Y siempre es por lo mismo, el afán de controlar y predecir. Este control también se extiende al mundo de la empresa y de la industria. Sería ideal controlar todas las variables que pueden inferir en el negocio, pero entran en juego dos variables que limitan este sueño: el tiempo y los recursos. Por ello, es cada vez más importante saber gestionar estos recursos e identificar las variables más importantes a controlar.

Antes de comprender el presente, intentemos comprender el pasado. Uno de los primeros mecanismos de control, se cree que fue un antiguo reloj de agua Ktesibios en Alejandría, Egipto. Sin embargo, se considera que el boom de los sistemas de control industrial se inicio a medidos del siglo XVIII. Fue a finales de siglo cuando realmente se avanzó en la industria y campos específicos notaron considerables mejoras. En la industria naval, por ejemplo, se permitió la construcción  de barcos más grandes gracias a la invención de los servomecanismos o servomotor. A mediados de 1950, empiezan a aparecer lo que conocemos como sistemas de control modernos. Los ingenieros se dieron cuenta de que las mediciones reales contienen errores y están contaminadas por el ruido, por lo que empezaron a aparecer nuevas formas de medir. Emergen también los PLC, o los controladores lógicos programables y términos como SCADA (Supervisory Control and Data Acquisition). Automatizar el control hizo que incrementara muchísimo la producción del sector industrial, pero de la misma forma que la tecnología y la información trae nuevas oportunidades, trae consigo también nuevos riesgos.

Los sistemas de control industrial se habían convertido en un activos muy fiables. Si bien es cierto que podían tener algún fallo interno, estaban completamente cubiertos en cuanto a los ataques externos se refiere. Sin embargo, los sistemas computacionales no son inmunes a las ciber-amenazas. La entrada del Internet en la industria, se abre un nuevo mundo para los ciberataques. Esto es una grave amenaza, que algunas empresas han sabido identificar mejor que otras, ya que se ha demostrado que un ataque de este tipo puede tener las mismas o peores consecuencias que un ataque físico. Ejemplos muy actuales demuestran la capacidad devastadora con la que cuentan. En esta imagen se muestran los 8 mayores ciberataques del 2016 según Forbes. Los sistemas de control industrial han pasado literalmente de tener cero días de ataques, a tener ataques de día cero.

A medida de que la industria avanza surgen nuevas tecnologías con las que controlar los procesos. Los sistemas de computación en la nube son cada vez más populares en el mundo de la industria, y términos como IIoT o la industria 4.0 están dejando de ser novedosos. El mundo de la industria está viviendo su cuarta revolución hacia un mundo totalmente nuevo, en el que las fábricas son más productivas, más flexibles y más eficientes. La computación en la nube ya es una realidad también en el mundo industrial. Nuevamente vuelven a surgir oportunidades y amenazas. En un mundo tan competitivo, donde se le otorga un altísimo valor a la información y el dato, ¿qué pasa cuando esos datos están en la nube? Los sistemas de control se tienen que extender mucho más allá de los límites de la organización.

Ciertamente, como con cada revolución, se plantea un futuro incierto pero ilusionante, donde se permite que el desarrollo y la innovación puedan volver a ser factores determinantes. Sin embargo, tenemos que aprender del pasado y aplicar esas lecciones al presente y al futuro. Innovación y desarrollo y control y seguridad tienen que ir de la mano. Olvidarlo es ser olvidado.

 


 

Referencias:
<<JOnline: Security of Industrial Control Systems>>, Acceso el 8 de octubre de 2017, https://www.isaca.org/Journal/archives/2010/Volume-4/Pages/JOnline-Security-of-Industrial-Control-Systems.aspx

<<Industrial Control Systems and Risks>>, Acceso el 8 de octubre de 2017, https://blogs.deusto.es/master-informatica/industrial-control-systems-and-risks/

<<Breaking Down the Risk of Industrial Control Systems Security>>, Acceso el 8 de octubre de 2017,http://www.aberdeenessentials.com/techpro-essentials/breaking-down-the-risk-of-industrial-control-systems-security/

<<Control system>>, Acceso el 8 de octubre de 2017, https://en.wikipedia.org/wiki/Control_system

<<Industrial Control Systems: A Primer for the Rest of Us>>, Acceso el 8 de octubre de 2017, http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/industrial-control-systems-a-primer-for-the-rest-of-us.aspx

<<An Abbreviated History of Automation & Industrial Controls Systems and Cybersecurity>>, Acceso el 10 de octubre de 2017, https://ics.sans.org/media/An-Abbreviated-History-of-Automation-and-ICS-Cybersecurity.pdf

<<8 Major Cyber Attacks Of 2016 [Infographic]>>, Acceso el 10 de octubre de 2017, https://www.forbes.com/sites/kevinanderton/2017/03/29/8-major-cyber-attacks-of-2016-infographic/

<<Industria 4.0>>, Acceso el 10 de octubre de 2017, https://es.wikipedia.org/wiki/Industria_4.0