La ciberseguridad se ha convertido en una palabra de tendencia en el mundo actual para todos, ya sea utilizado como un término elegante, para generar confianza asociada a temas de alta tecnología, o para crear pánico, produciendo esa sensación de miedo e impulso a la protección.  Podemos encontrar esta sensación incómoda en nuestro entorno más cercano, cuando usamos nuestro teléfono inteligente, tableta o computadora portátil, o también en una escala más amplia de usos aplicados en cualquier industria en cualquier nivel.

El ferrocarril es probablemente uno de los sectores donde la seguridad es primordial y, por lo tanto, está obligado a invertir muchos recursos para proteger su complejo ecosistema de red y mantener la seguridad de sus activos, personas, trabajadores y pasajeros.  La evolución de la red ferroviaria se ha movido inevitablemente de sistemas aislados de TI, que se ejecutan en sistemas operativos y protocolos propietarios, sobre hardware especializado, a su integración dentro de las redes corporativas que utilizan protocolos estándar y se ejecutan en el sistema operativo convencional.  Además, pasar de un sistema de cobre cableado a un sistema de conectividad inalámbrica representa un gran cambio de paradigma con ventajas indudables ha abierto la caja de pandora con toda la miríada de vulnerabilidades y amenazas cibernéticas inherentes a la nueva tecnología.

El nivel de complejidad y exposición aumenta cuando observamos el nivel diferente de los sistemas de comunicación que las redes TNC (Train Communication Network) gestionarán, desde el crítico ETCS (European Train Control System) para la visión ascendente del movimiento de trenes, TCMS (Train Control and Management System) que centraliza toda la información recogida de todos los periféricos operativos (los llamados equipos «inteligentes»), se transmiten en el tren y, por supuesto, a todas las comunicaciones que se transmiten a los pasajeros, ya sea para su entretenimiento o para recibir información del Sistema de Información de Pasajeros del tren. Para cada uno de los sistemas hay diferentes tipos de acciones que atacan la red y provocan, a su vez, diferentes reacciones.  De manera simplista, el modelo de la Pirámide del Dolor de la Seguridad Cibernética resume muy bien lo que una «víctima» puede esperar y cual debe ser el nivel de protección que debe estar equipada su dispositivo de TI. La Pirámide se clasifica, en orden ascendente, relacionando el tipo de admisión que se puede recibir con el dolor causado para defender al atacante. De abajo hacia arriba, la pirámide cuenta con ataques a «valores duros», «direcciones IP» y «nombres de dominio» que se clasifican como ataques triviales, fáciles y simples para defenderse. En este caso, se puede utilizar un NGFW (New Generation FireWall). Cuando pasamos al siguiente nivel, el esfuerzo y la dificultad se vuelven más difíciles. Estos ataques involucran «artefactos de redes», «herramientas» y «TTP» (tácticas, técnicas y procedimientos) que pueden ser realmente «molestos», «desafiantes» y «difíciles» de reaccionar. Como se explicó, cuanto más nos acercamos a la cima, más difícil es revelar y reaccionar causando un nivel creciente de «dolor».

Un programa de seguridad fuerte definitivamente consiste en detectar y convertir la información en algo procesable. El modelo «Cyber Kill Chain» es una herramienta que puede ayudar a las organizaciones de ciberseguridad a comprender los eventos involucrados en un ataque externo y reaccionar en consecuencia.  Sin entrar en detalles más profundos del modelo, la caracterización de cualquier fase de la cadena considerará y correlacionará, quiénes son el adversario y la víctima, así como la infraestructura adjunta y sus capacidades de reacción. Solo una vez que se ha identificado esta información, se pueden implementar las estrategias y tecnologías correctas y bloquear el ataque antes de que pase a la siguiente fase.

Este proceso no es trivial y menos aún inmediato. Se necesita tiempo para implementar el proceso y, cuando llegue, desencadenar la primera acción defensiva. Por lo que el tiempo es muy crítico, además, lo que se ha descrito hasta ahora, son acciones tomadas una vez que se ha lanzado el ataque. En todas aquellas industrias en las que la seguridad es esencial, se hace evidente que las acciones preventivas son aún más importantes que las acciones defensivas, pero su aplicación tampoco es trivial.

En la industria ferroviaria, las acciones preventivas se llevan a un nivel tan alto que, hasta cierto punto, ralentizan enormemente la capacidad de reaccionar en una segunda etapa. La seguridad general, tanto de TI como de no-TI, aplicada con estándares y normas técnicas, directivas y regulaciones nacionales e internacionales, leyes, etc. son obligatorias para la seguridad de los materiales, los activos y las personas en primer lugar. El dilema es evidente, todas esas normas de seguridad insertan una alta complejidad a lo largo de toda la cadena de TI que, si por un lado se hace más difícil recibir ataques externos, también se vuelve más lento para reaccionar ante ellos una vez que suceden, extendiendo las ventanas de vulnerabilidad del sistema.

Lanzar la moneda entre la prevención y la detención no es lo más sabio que un equipo cibernético puede hacer por un entorno crítico.  Para facilitar las acciones y reacciones en cualquier caso de que ocurra un ataque, existen productos de seguridad de última generación que ayudan a analizar lo que está sucediendo dentro de toda la red corporativa, así como a prevenir las intrusiones más furtivas de hackers externos. Network Traffic Analysis (NTA’s) son herramientas con un elemento pasivo que entra en la red y escucha y memoriza lo que los usuarios están haciendo, qué acción realizan, qué protocolos utilizan, en qué máquina y más. NTA’s entra en la «Cyber Kill Chain» para romper la cadena en sí y detectar dónde y qué va mal, lo que permite una intervención correctiva más rápida. Por otro lado, ciertas herramientas de ciberseguridad son los elementos activos que evitan, y por lo tanto protegen, la red corporativa interceptando el tráfico malicioso mediante el uso de políticas configurables, inspecciones de tráfico, descifrado SSL, solo por nombrar algunos métodos.

Teldat es, por lo tanto, el socio de ciberseguridad adecuado con be.Analyzer and be.SAFE para apoyar ambos objetivos con y proporcionar al sector ferroviario ese nivel de flexibilidad y preparación que la industria requiere dentro de un paraguas de seguridad fuerte y sólido.