Cuando los objetos físicos incluyen microchips que tienen en mayor o menor grado capacidades de un ordenador, e incluso que pueden tomar decisiones en el mundo físico, la seguridad se torna vital. En robótica, esto supone el salto a robots no dedicados a una tarea y no asentados en un espacio, sino que pueden aprender dentro de un ámbito y se pueden mover. "Planifica para lo peor. IoT debe tener capacidades para responder a ataques, malware o cualquier incidente negativo, antes de que sea necesario"[i].
De la IoT
"Nosotros somos entes físicos, y también nuestro entorno. Todavía hoy la tecnología de la información es tan dependiente de los datos originados por las personas que nuestros ordenadores saben más de ideas que de cosas. Necesitamos capacitarlos para que con sus propios medios recojan información por ellos mismos. RFID y sensores capacitan a los ordenadores para observar, identificar y entender el mundo."[ii]
Este párrafo pertenece al artículo "That 'Internet of Things' Thing", publicado en junio de 2009, y escrito por Ashton Kevin, al cual se le atribuye el haber acuñado el término de "Internet de las Cosas" o IoT (Internet of Things), hecho que recuerda él mismo al comienzo de dicho artículo.
La idea de Ashton, como el mismo indica, era la de que los ordenadores pudieran recoger información de objetos físicos para hacer un seguimiento y recoger medidas de sus estados, y así poder informar de cuando las cosas tuvieran que se reemplazadas, reparadas, o si habían caducado o no; todo ello sin intervención humana.
Esto parece haberse ya realizado con creces al haber insertado en casi cualquier objeto al uso pequeños dispositivos -microchips- capaces de, como mínimo, conectarse a Internet, recoger datos y ser capaces de enviarlos a otros dispositivos u ordenadores.
La "Internet de las cosas" ha conformado una infraestructura de red global basada en protocolos de comunicación estándar e interoperables, que ha venido a sumar a los datos ya producidos e introducidos por las personas en los ordenadores, los recogidos por objetos, de ellos o del entorno, a los que se han incorporado microchips para estos efectos -sensores y medidores-, incrementado la cantidad de datos existentes.
Según Rob Highi[iii], vicepresidente y CTO de IBM-Watson, ya en el 2015 se generaron del orden de 2,5 exabytes (EB = 1018 bytes) cada día, de los cuales sólo vemos y utilizamos una pequeñísima parte, y para el 2020 se espera que ese número crezca hasta los 44 zettabytes (ZB = 1021 bytes).
Pero los microchips pueden hacer otras muchas cosas, como almacenar gran cantidad de datos -memorias-o realizar operaciones lógicas y aritméticas -procesadores-, lo que se traduce en la ejecución de aplicaciones. Constituyen pequeños ordenadores dentro de los objetos, conectados entre sí - a través de Internet- y que tienen la capacidad de ejecutar código, de ver -cámaras-, oír -micrófonos- oler -procesar sustancias químicas- y, en definitiva, sentir el mundo físico que los rodea y actuar sobre él. A estos dispositivos que disponen de capacidad de computación y de conectividad se les ha llamado "dispositivos inteligentes" (smart devices).
Los objetos han cobrado una identidad propia, por una parte virtual que los identifica como únicos en Internet, y por otra su realidad física asociada a la virtual, con lo que otros objetos y personas los pueden identificar.
Un ejemplo reciente lo constituye el paraguas "oombrella"[iv], proyecto que empezó en el 2014 y que finalizará, previsiblemente, en otoño de este año 2016 con la salida a la venta de dicho paraguas.
Realiza tres funciones básicas: 1) envía a un smart-phone alertas del tiempo local, por ejemplo "lloverá en 15 minutos. Llévame contigo"; 2) envía alerta a un smart-phone si se aleja de él de 30 a 50 metros, algo como "no me dejes"; y 3) comparte datos meteorológicos con la comunidad "oombrella".
Para llevar a cabo todo esto, dispone de una plataforma de hardware compuesta de sensores de temperatura, humedad, presión y luz, para recoger datos meteorológicos; de procesador para, con los datos recogidos, estimar el tiempo meteorológico; y de las comunicaciones con un teléfono, y con el servicio en la nube que constituye la plataforma de software "wezoo", un servicio que funciona como una red social y que predice el estado del cielo en tiempo real en base a los datos recogidos de los paraguas de la comunidad, y que, a su vez envía alertas a sus miembros.
A esta tecnología de red de objetos que se comunican entre sí, compartiendo datos, y que conecta el mundo físico y el mundo virtual a través de servicios en la nube, se le ha llamado IoT.
El mundo físico se ha transformado en un enorme sistema de información el cual, junto a los algoritmos de aprendizaje de las máquinas, tiene como resultado que éstas "lo identifiquen y lo entiendan", tal y como deseaba Ashton Kevin, capacitándolas para tomar decisiones y actuar en él, sin intervención humana.
Sin embargo, con la llegada de las "máquinas pensantes" y "actuantes" sobre aquel, se ha dado un salto cualitativo en cuanto a la seguridad de la información: desde la seguridad de objetos virtuales, a la seguridad de objetos físicos y a la de las personas, o como dirían los anglo-parlantes, del "security" al "safety".
Algunos datos históricos acerca de la seguridad de la información
Antes de la época de los sistemas electrónicos, el guardar ante terceros ya era una preocupación. Una de las técnicas que se utilizan para mantener la confidencialidad de la información y a buen recaudo sus secretos es la criptografía, técnica cuyo uso se remonta al siglo V antes de Cristo, utilizada por el pueblo griego de Esparta, según nos cuenta el programa educativo "Criptored" de la UPM[v].
La seguridad informática es tan antigua como la existencia de los ordenadores, así como el empleo de contraseñas de acceso a las máquinas, y estos dispositivos son pequeños ordenadores. Con la seguridad informática, y siguiendo con "Criptored", "estamos centrando nuestra atención en aquellos aspectos de la seguridad que inciden directamente en los medios informáticos en los que la información se genera, se gestiona, se almacena o se destruye; siempre desde el punto de vista tecnológico de la informática y de la telemática".
J.P.Anderson escribió en 1980 un documento titulado "Vigilancia y Monitorización de las Amenzas de Seguridad Informática", en el cual podemos encontrar la siguiente definición de "Amenaza: la posibilidad de un intento deliberado y no autorizado de a) acceder a la información; b) manipular la información; c) convertir un sistema en no-confiable o inútil"[vi].
El primer virus del que se tiene noticias que se extendió fuera de los límites de un laboratorio fue el virus "Elk Cloner"[vii] desarrollado a principios de los 80 para el "Apple II" y que se propagaba entre distintos ordenadores a través de diskettes.
Con la llegada de internet -años 90- a empresas y hogares, la propagación de malware y la capacidad de entrar en cualquier dispositivo conectado se hizo mucho más sencilla. La seguridad del software y de las redes y dispositivos conectados empezó a cobrar su importancia. Surgieron los antivirus; se empezó a tomar en serio las contraseñas; aparecieron los firewall, primero sistemas hardware y posteriormente también software o una combinación de ambos; la criptografía y el cifrado de claves salió de ámbitos restringidos como gobiernos o bancos, para popularizarse en productos al consumo.
Se acuñó un nuevo concepto, ciberseguridad, para agrupar los medios a emplear para minimizar los riesgos asociados al empleo de sistemas conectados para el tratamiento de datos y de la información, que se puede definir como "Protección de los activos de información por medio del tratamiento de las amenazas a la información procesada, almacenada y transportada por medio de sistemas de información interconectados"[viii].
El término "ciberseguridad", que se aplica hoy día a toda la seguridad de la información, supone un abuso del lenguaje, al tomar una parte -seguridad de la información en sistemas interconectados- por el todo.
Si tan importante es la información, ¿por qué no se va aplicando lo ya conocido a las nuevas formas de tratarla y nuevos dispositivos?
Los conceptos de confidencialidad, integridad y disponibilidad, los tres pilares en los que se apoya la seguridad de la información, no han perdido su vigencia, todo lo contrario.
Tristemente, después de que los ordenadores personales se llenaran de virus en particular y malware en general, y de antivirus y medidas de seguridad, cual si de un sistema biológico se tratara en el que conviven el sistema inmunológico con gran cantidad de bacterias y virus, llegaron los dispositivos inteligentes, y de nuevo hubo que buscarles protección después de que hubieran penetrado en el mercado.
Creo que no es necesario citar casos de todos conocidos ya que no hay más que buscar en Internet para encontrar abundante literatura sobre ello, desde automóviles, teléfonos, televisores, juguetes y así un largo etc., robando información, inhabilitando los dispositivos para su uso o invadiendo nuestra intimidad.
... a la IIoT [ix]
La IoT se puede encuadrar en la interacción humana con los objetos. Los dispositivos son capaces de enviar mensajes a otros que nos sirven de interfaces cuando se producen ciertas situaciones, como que va a llover -el caso del paraguas- o si han entrado intrusos en nuestras casas. Así mismo, las personas por medio de los dispositivos tenemos la capacidad de controlar y monitorizar a distancia, desde cualquier sitio, objetos y condiciones, y la posibilidad de actuar sobre ellos.
Esta tecnología, llevada al mundo de la industria es a lo que se ha llamado "La Internet de las cosas en la Industria" o IIoT (Industrial Internet of Things), o también Industria 4.0.
Con esta tecnología, se ha dotado a sensores, medidores, bombas, máquinas-herramientas, motores, etc. de capacidad de comunicación e intercambio de datos entre ellos y con sistemas de control, a través de Internet, desde las áreas de producción en tiempo real, lo cual proporciona potentes herramientas de mantenimiento, ya que las máquinas pueden informar en todo momento de cuál es su estado -de cuándo hay que actualizarlas o repararlas, o cómo es su rendimiento-, incluso estos sistemas podrían alterar su comportamiento en respuesta a condiciones cambiantes.
Los beneficios que aporta esta tecnología a la industria están, por una parte, en los servicios de almacenamiento y aplicaciones que la nube provee, y el análisis, gestión y mantenimiento de datos, que big-data proporciona, constituyendo herramientas potentes de toma de decisiones; y por otra, en la robótica.
Según "Control design"[x], la robótica hasta ahora se basaba, al igual que los ordenadores convencionales, en realizar una operación -aquella para la que estaba programada- una y otra vez, y en un sitio determinado. Con los algoritmos de la IA -Inteligencia Artificial-, a la máquina se le indica lo que tiene que hacer, y la manera en que lo hace ella misma la va adaptando según las situaciones por las que va pasando.
La IA amplía visión, movimiento y capacidad de actuar del robot. "El robot [colaborativo] se define por lo que está haciendo en el lugar que lo está haciendo, no por el robot en sí mismo. Los robots se diseñan para trabajar en cooperación con las personas dentro de un espacio de trabajo donde robots y humanos pueden realizar tareas simultáneamente".
Tal es el caso de la factoría de Siemens en Amberg[xi] (Baviera) en la cual los empleados fundamentalmente se encargan de tareas de supervisión y control de lo que realizan las máquinas. Estas proporcionan información en tiempo real, entre ellas, para controlar y seguir el proceso de producción, y a un ordenador desde donde una persona puede revisarlo. El software define los procesos de fabricación y cada paso y estado de dicho proceso, desde su inicio hasta su fin, puede ser grabado. Alrededor de 50 millones de registros se generan cada día.
Según un artículo publicado por "El Mundo"[xii] en junio de 2014, "el perfeccionamiento de la cadena de producción queda patente en los resultados: si en 1990 la misma fábrica desechaba 550 productos por millón por ser defectuosos, en 2013 esa cifra cayó un 97%, hasta los 12 componentes inválidos". Y añade que se ha hecho realidad "una fábrica como una máquina perfecta donde cada elemento es un engranaje de una auténtica cadena inteligente".
La ciberseguridad industrial
En los dispositivos industriales de fabricación y control a lo largo de los años se han ido incorporando tecnologías genéricas de las Tecnologías de la Información (TI), desde ordenadores personales con sistemas operativos de propósito general como Unix, Windows o Linux hasta los protocolos e interfaces de comunicación entre los distintos dispositivos como Ethernet y TCP/IP, es decir, conectividad entre todos y a través de Internet, IoT y robótica con algoritmos de IA.
Se está produciendo una convergencia de TI y de la Tecnología de Operaciones (TO), que desgraciadamente viene acompañada de los problemas de seguridad que siguen afectando a las TI.
Los expertos en seguridad industrial deben estar acompañados de los expertos en ciberseguridad, dado que los problemas y sus soluciones son comunes.
Las dos partes de las tecnologías que se veían separadas en una organización industrial -informática corporativa (TI) e informática de operación (TO)- ya suponen un continuo en la Industria, y los atacantes siempre buscan el punto más débil para entrar en una instalación. La superficie de ataque ha aumentado.
El OWASP ("Open Web Application Security Project") "proporciona una lista de superficies de ataque que deben entender los fabricantes, desarrolladores, investigadores de seguridad, y aquellos que busquen desarrollar o implementar tecnologías IoT dentro de sus organizaciones"[xiii].
La seguridad de IoT/ IIoT no sólo supone diseñar la seguridad en los propios dispositivos para que los datos que residen en él no sean manipulados o robados, también se deben diseñar sistemas de autenticación para hacerse reconocer y reconocer a otros como sistemas autorizados, así como implementar las comunicaciones seguras entre los distintos dispositivos.
* *
Hasta ahora se está hablando de dispositivos conectados que comparten datos, pero ...
"¿Qué pasaría si los robots pudieran entender más cosas por sí mismos y compartir su conocimiento entre ellos?[xiv]. RoboBrain: el primer motor de conocimiento para robots, como Google o Bing para los humanos[xv]". MIT Technology Review.
* * *
Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", octubre, 2016, nº 315, pg.85, Ciberseguridad – "De paraguas que piden salir de casa y de fábricas robotizadas" – María José de la Calle.
----------------------------
[i] "12. Plan for the Worst. IoT systems should have capabilities to respond to compromises, hostile participants, malware, or other adverse events. There should be features in place to re-issue credentials, exclude participants, distribute security patches and updates, and so on, before they are ever necessary." "Principles of IoT Security". OWASP. url [a 26-08-2016] https://www.owasp.org/index.php/Principles_of_IoT_Security
[ii] "We're physical, and so is our environment. Yet today's information technology is so dependent on data originated by people that our computers know more about ideas than things. We need to empower computers with their own means of gathering information. RFID and sensor technology enable computers to observe, identify and understand the world". Ashton, K. (22 junio, 2009) "That 'Internet of Things' Thing". RFID Journal. url [a 14-08-2016] http://www.rfidjournal.com/articles/view?4986
[iii] Krazit, T. (30 de marzo, 2016) "IBM: Systems like Watson will save us from the data deluge". StructureData. url [a 16-08-2016] http://www.structuredata.com/tag/rob-high/
[iv] "oombrella - unforgettable umbrella" url [a 31-08-2016] https://www.indiegogo.com/projects/oombrella-unforgettable-umbrella-smart#/
[v] "Proyecto Thoth - Píldoras formativas en seguridad de la información". Criptored. url [a 31-08-2016] http://www.criptored.upm.es/thoth/index.php#
[vi] "The potential possibility of a deliberate unauthorized attempt to: a) access information; b) manipulate information; c) render a system unreliable or unusable". James P. Anderson Co. 26 Feb, 1980. "Computer Security Threat Monitoring and Surveillance". url [a 31-08-2016] http://csrc.nist.gov/publications/history/ande80.pdf
[vii] url [a 31-08-2016] https://es.wikipedia.org/wiki/Elk_Cloner . Una pequeña reseña de la historia de los virus la podemos encontrar en la "History of Viruses", 10 de marzo, 1994. csrc.ncsl.nist. url [a 31-08-2016] http://csrc.nist.gov/publications/nistir/threats/subsubsection3_3_1_1.html
[viii] "The protection of information assets by addressing threats to information processed, stored, and transported by internetworked information systems". ISACA. url [a 31-08-2016] http://www.isaca.org/Pages/Glossary.aspx?tid=2077&char=C
[ix] Turbide,D. "What is the difference between IoT and IIoT?" TechTarget. url [a 31-08-2016] http://searchmanufacturingerp.techtarget.com/answer/What-is-the-difference-between-IoT-and-IIoT
[x] Perkon,D. (4 de abril, 2016). "Is machine learning smart enough to help industry?" controldesign. url [a 31-08-2016] http://www.controldesign.com/articles/2016/is-machine-learning-smart-enough-to-help-industry/
[xi] url [a 31-08-2016] http://www.siemens.com/innovation/en/home/pictures-of-the-future/industry-and-automation/digital-factories-defects-a-vanishing-species.html
[xii] Folgado,R. (16 de abril, 2014). "La fábrica más inteligente de Europa produce a base de 'big data'". El Mundo. url [a 31-08-2016] http://www.elmundo.es/economia/2014/04/16/534d662c268e3efc2d8b457c.html
[xiii] "The IoT Attack Surface Areas Project provides a list of attack surfaces that should be understood by manufacturers, developers, security researchers, and those looking to deploy or implement IoT technologies within their organizations". "OWASP Internet of Things Project/ IoT Attack Surface Areas Project". OWASP. url [a 31-08-2016] https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=IoT_Attack_Surface_Areas
[xiv] "What if robots could figure out more things on their own and share that knowledge among themselves?.". Schaffer, A. "Robots That Teach Each Other". MIT Technology Review. url [a 31-08-2016] https://www.technologyreview.com/s/600768/10-breakthrough-technologies-2016-robots-that-teach-each-other/
[xv] "RoboBrain: The World's First Knowledge Engine For Robots". MIT Technology Review, 12 de diciembre, 2014. url [a 31-08-2016] https://www.technologyreview.com/s/533471/robobrain-the-worlds-first-knowledge-engine-for-robots/
