Acueductos del Imperio romano
Uno de los primeros casos de infraestructura crítica reconocidos históricamente fue el sistema de acueductos romano. El más antiguo conocido («Aqua Appia», 312 A.C.) era subterráneo (entre 17 y 30 metros bajo tierra) y proveyó agua a la capital a lo largo de 16 kilómetros, durante al menos cinco siglos.
Una sección de 32mts. del Aqua Appia descubierta de 2017. Fuente: romanaqueducts.info
El sistema de distribución de agua dulce en el Imperio romano fue uno de los pilares fundamentales para el crecimiento sostenido del Imperio, y como tal, requirió los cuidados que necesita toda infraestructura crítica. Esto se analiza brillantemente en el artículo «Infrastructure Protection in the Ancient World»[1]
Los Romanos sabían que sin agua el Imperio colapsaría al poco tiempo, no importaba cuán numeroso o poderoso fuese su ejército. Además del servicio esencial que brindaban los acueductos, sabían que no podían reemplazar o reparar el sistema fácilmente, y debían cuidarlo al extremo. Por tal motivo, abordaron de manera proactiva la protección efectiva del sistema, designando a un administrador y responsable de los acueductos, y desarrollando normativas precisas para salvaguardar esta infraestructura crítica.
Por supuesto que los atacantes eran conscientes de esta situación. Luego de muchos años de paz, el Imperio romano se vio asediado por ataques germánicos altamente efectivos contra los principales acueductos, lo que tuvo un gran impacto en la cadena de suministro de agua del Imperio, precipitando así su caída.
Los primeros acueductos atacados exitosamente fueron los más expuestos. Debido a que en el momento del apogeo romano el territorio era enorme y las fronteras estaban lejos, el riesgo de ataques a los acueductos principales era ínfimo, y sin esa amenaza su construcción era más vistosa que segura. Cuando el Imperio comenzó a perder territorios, «Aqua Appia» resistió los asedios enemigos por su naturaleza subterránea, pero los más vulnerables quedaron al alcance, y ya era demasiado tarde.
«Los ingenieros de hoy en día deben aprender de este ejemplo y comprender que las decisiones de diseño deben anticipar los factores cambiantes, incluida la seguridad.»[2]
A la luz de la historia, los puntos que valían para los Romanos también son válidos en la actualidad.
- Las infraestructuras son críticas para la seguridad de un Estado y representan un bien común. Las mismas pueden estar gestionadas por entidades privadas, pero requieren un control pormenorizado y efectivo del Estado cuando la interrupción de las operaciones afecta intereses nacionales.
- Las infraestructuras se construyen para durar mucho tiempo y rara vez se reemplazan. Su ciclo de vida es en promedio mucho mayor que cualquier otro sistema. Su reemplazo no es trivial y requiere una significativa planificación.
- La incorporación de nueva tecnología puede introducir vulnerabilidades, al igual que los cambios en sus procedimientos operativos.
- Nuestros sentidos afectan la percepción que tenemos sobre la seguridad. Eso hace que muchas veces se tomen decisiones erradas al momento de diseñar una estrategia de prevención y defensa. Se requiere un ejercicio preciso y formal en la estimación de los riesgos en el momento de la implementación.
- Políticas, procedimientos, reglamentos y normativas no garantizan la seguridad si no hay inversión y acciones para la implementación efectiva de los controles.
Hoy
En la Antigüedad seguramente se necesitó una gran fuerza de invasión germánica para atacar e interrumpir con éxito el complejo sistema de acueductos de la antigua Roma. Pero a diferencia de la época romana, hoy se necesitan muchas menos personas para explotar las vulnerabilidades que se encuentran en los sistemas críticos modernos.
2300 años después de aquel Imperio, a través de la reciente escalada bélica entre Rusia y Ucrania, la historia se repite. Ataques a aeropuertos[3], a talleres de reparación aeronaval[4], y también ciberataques a otras infraestructuras críticas[5] están a la orden del día; y los ataques exceden a esos dos países, extendiéndose a otros integrantes de la OTAN, y también a cualquier Gobierno u organización, porque «A río revuelto, ganancia de pescadores».
Podemos decir que proteger infraestructuras críticas es un objetivo obvio. Cualquiera con sentido común sabe que hay que hacerlo. El desafío es lograrlo, y no es una tarea trivial.
La complejidad es alta, ya que el ambiente OT es muy delicado. Es como un mundo en el que cualquier simple resfrío podría ser letal. Además, la tecnología de las operaciones (OT) en ambientes críticos se extendió con los avances tecnológicos de los últimos años, y alcanza a todos los ámbitos, donde lo que está en juego es crucial. Los sistemas deben poder operar sin interrupción durante todo el año, lo demás es secundario.
En sectores como el minero y el energético, por ejemplo, la cadena de suministro es clave. Un sensor que comienza a medir mal, o un actuador que deja de funcionar, puede implicar pérdidas millonarias en los próximos eslabones de la cadena. Sin cobre no hay circuitos. Sin litio no hay baterías. Sin energía no hay producción. Los ingresos por exportaciones se verían seriamente afectados. La cadena no debe interrumpirse, especialmente en un país como Chile, en el que el sector minero aporta el 11 % de su PIB.
Conclusión
En este contexto es importante tener presente algunas pautas.
Proactividad. Debemos adelantarnos a las amenazas. La protección requiere planificación y análisis constante de todos los factores de riesgo.
Pericia. Saber elegir los recursos tecnológicos y humanos. No podemos poner el cibercuidado de nuestras infraestructuras críticas en manos de personas inexpertas.
Experiencia. Las acciones de protección deben ser efectivas y basadas en buenas prácticas y experiencias de mercado. Más de 2300 años de historia tienen que servir de lección.
----
[1] Assante, Michael J. (2009). «Infrastructure Protection in the Ancient World». Proceedings of the 42nd Hawaii International Conference on System Sciences. https://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.401.7316&rep=rep1&type=pdf
[2] Assante, Michael J. (2009), p.4.
[3] «Russian Forces Target Airports In Western Ukraine, Far From Main Offensive»: https://www.huffpost.com/entry/russia-ukraine-war_n_622af842e4b06349371bbe75 ; «Russian rockets destroy airport in Ukrainian city of Dnipro»: https://www.aljazeera.com/news/2022/4/10/russian-rockets-destroy-airport-in-ukrainian-city-of-dnipro
[4] «Ukraine war: Russia destroys aircraft repair plant near western city of Lviv»: https://www.bbc.com/news/world-europe-60791471
[5] «Russia’s war on Ukraine spotlights critical energy infrastructure»: https://www.energymonitor.ai/tech/networks-grids/russias-war-on-ukraine-spotlights-critical-energy-infrastructure; «Russia-Ukraine Crisis Places Critical Infrastructure At High Risk»: https://blog.cyble.com/2022/03/09/russia-ukraine-crisis-places-critical-infrastructure-at-high-risk/
