Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
REPORTAJE

Jornada de Seguridad en la Industria 360º

La ciberseguridad, clave para proteger los entornos industriales 19/07/2017 - Texto: David Marchal Foto: Red Seguridad
Las revistas de seguridad de la editorial Borrmart (entre ellas RED SEGURIDAD) y el CCI organizaron en Barcelona la Jornada de Seguridad en la Industria 360º, un evento en el que no solo se trató la necesidad de proteger estas instalaciones de ataques físicos y otros riesgos, sino que también se habló de la importancia de impulsar la ciberseguridad.

Una de las mesas redondas más destacadas de la Jornada de Seguridad en la Industria 360º, celebrada en marzo, fue la relacionada con el ámbito de la ciberseguridad, la cual contó con la presencia de cuatro especialistas de distintas compañías. Entre todos los ponentes expusieron los riesgos cibernéticos a los que se enfrentan las organizaciones industriales, mencionaron  las formas para hacerles frente, ejemplificaron cómo se puede integrar la ciberseguridad en estos entornos y comentaron qué supondrá para las organizaciones del sector la aprobación de la Directiva NIS. 

El primero en intervenir fue Eduardo di Monte, director de Seguridad y Continuidad de Negocio de Grupo Agbar/Suez, quien, nada más comenzar, reveló cuáles son actualmente las amenazas más destacadas en el entorno industrial, las cuales están relacionadas con los controladores lógicos programables (PLC). "¿Qué pasaría si a una industria le secuestraran todos los PLC mediante un ataque de ransomware y le pidieran un rescate en bitcoins para recuperarlos?", se preguntó el directivo, quien confirmó que esto ya está pasando. "Como no hay una regulación al respecto, hay poco riesgo y mucho beneficio". Tanto es así que, según Di Monte, se calcula que hace seis meses habría unos 92.000 millones de euros en bitcoins provenientes de acciones ilegales.

A partir de ahí, el ponente intentó plantear algunas soluciones a este problema. Lo primero, según comentó, sería analizar la instalación industrial y hacer un diagnóstico para buscar los puntos vulnerables. Luego se crearían dos grupos: uno de detección y otro de protección. En el primero se utilizarían sondas que permitieran recopilar la información y separar la que resultara más útil para detectar las amenazas. Eso sí, tendría que tener "una capacidad de detección rápida, porque no se puede tardar meses en encontrar una amenaza", añadió. A continuación, se pasaría a la protección. Lo malo es que, en este punto, cada instalación tiene sus particularidades, con distintos componentes, de diferentes marcas, con complejas instalaciones... Además, añadió: "Los PLC tienen un ciclo de vida muy largo; por tanto, tenemos que trabajar en las amenazas que evolucionan, pero no podemos cambiar esos sistemas".

La implementación de estas medidas no es sencilla, y debe hacerse en un tiempo razonable y con un procesamiento rápido de los datos. Por ejemplo, en la industria del agua, se están poniendo pequeños "candados" en la red de cada instalación, cuyo punto final acaba en un centro de control integral. "Con esta estrategia logramos que el ataque se retarde; y que los cibercriminales necesiten más capacidad, recursos, tiempo y motivación. Por otro lado, mejoramos los tiempos de detección y también la respuesta ante incidentes", concluyó el directivo.

Seguridad en la Industria 4.0

A continuación, tomó la palabra Javier Zubieta, responsable de Desarrollo de Negocio de Ciberseguridad de GMV, quien recordó el ataque de denegación de servicio (DDoS) Mirai, que tuvo lugar hace unos meses, y que, a juicio del directivo, "demostró lo vulnerable que es el Internet de las Cosas", puesto que "una simple cámara puede ser usada como zombi para un ataque DDoS", subrayó.

Para intentar evitar este tipo de situaciones, en la medida de lo posible, Zubieta propuso dos acciones: "Elevar la ciberseguridad industrial y proteger el dato". 

Ahora bien, en ese proceso, pueden surgir complicaciones, en tanto en cuanto hay una dependencia muy grande de los fabricantes y de los sistemas que ya llevan funcionando muchos años. "Esto provoca que el cliente no sea autónomo en la toma de decisiones y tenga que consultar con el fabricante", explicó el directivo. Y a ello se añade la existencia de una serie de "leyendas urbanas", como que se trata de instalaciones tan específicas y especializadas que el atacante desiste debido a su complejidad; que el sistema está aislado, porque no se conecta a Internet; o que una empresa no puede ser el objetivo de los cibercriminales porque tiene poco interés para ellos. "Todo esto es mentira", subrayó Zubieta. 

Para el directivo, la solución es considerar la ciberseguridad como "un proceso" para que acabe convirtiéndose "en una característica propia de cada empresa". De hecho, según comentó, ya hay servicios y tecnologías maduras para el entorno industrial. Por ejemplo, están los "cyber assessments", para tener una foto real de lo que hay; los estándares, para saber dónde colocar las cosas; y las bases de datos críticas. En definitiva, resumió, "la transformación digital es imparable y la ciberseguridad es un habilitador de esa estrategia". 

Caso de uso de integración

Seguidamente, la mesa sobre ciberseguridad continuó con la ponencia de José Valiente, director del Centro de Ciberseguridad Industrial (CCI). Para comenzar, indicó que la seguridad de procesos industriales se aborda mediante capas de protección, que van desde los sistemas que controlan lo básico, como la temperatura, hasta los operadores que monitorizan todo, pasando por otras tecnologías automáticas que comprueban si se produce alguna anomalía en la instalación. Y si estos sistemas fallan, hay otros de mitigación. 

Ahora bien, según Valiente, "esto no es cien por cien eficaz y puede haber fallos de programación". De hecho, según algunos estudios, el 35 por ciento de los errores en la industria química son a causa del software; el 30 por ciento, por fallos humanos; y el 15 por ciento, por el hardware

A continuación, el directivo abordó la situación legal en España que tiene que ver con la seguridad de procesos. Al respecto, el 21 de septiembre de 2015 se publicó el Real Decreto 840/2015 de medidas de control de riesgo de accidentes graves con sustancias peligrosas. Esto tiene que ver con la normativa europea SEVESO III, que obliga a notificar estos incidentes; a pesar de que, a juicio del directivo, "hay empresas que no lo hacen". Y no solo eso. "También tienen que elaborar una política de prevención de accidentes graves y presentar un informe para demostrar que se cumple con el Real Decreto, identificando los fallos que haya podido haber, incluidos los tecnológicos", afirmó. Esto es importante porque, según comentó Valiente, "entre 2010 y 2016 se produjeron 140 accidentes graves en Europa, pero gracias a esta normativa se están reduciendo poco a poco". 

Para finalizar, el directivo expuso un caso de uso ficticio, pero basado en hechos reales, sobre una planta de extracción y tratamiento de petróleo y gas, en el que explicó algunos de los incidentes que se pueden producir si la empresa no asegura adecuadamente las instalaciones.

La Directiva NIS en la industria

Para finalizar la sesión, intervino María Pilar Torres, directora del área de Ciberseguridad de Everis, para hablar de qué forma afecta la aprobación de la Directiva NIS en el ámbito industrial. Comenzó su intervención repasando los hechos más destacados hasta la ratificación de este texto legal, que los Estados miembros tienen la obligación de transponer a sus respectivos ordenamientos jurídicos.

Precisamente, para examinar el proceso, el contenido y las medidas de las transposiciones en los operadores esenciales se ha creado el Grupo de Cooperación. "En febrero de 2018, este equipo tiene que haber desarrollado un grupo de trabajo para establecer las acciones que deben emprenderse para alcanzar los objetivos de la Directiva NIS; y en noviembre de ese mismo año, todos los operadores de servicios esenciales tienen que estar identificados", comentó Torres.

No en vano, el objetivo de la Directiva es establecer medidas de seguridad que garanticen un grado común de seguridad de redes y sistemas de la información en la UE. "De nada sirve que España tenga una buena ley con medidas para proteger sus infraestructuras, si nos conectamos a sistemas de otros países que no tienen unas medidas adecuadas de seguridad", puntualizó esta especialista.

Partiendo de esta base, tanto si se trata de un operador crítico como de un proveedor de servicios digitales, es obligatorio cumplir esta normativa. A partir de ahí, en palabras de Torres, "deberíamos hacer un análisis completo de riesgos en nuestra infraestructura", con el fin de "conocer las vulnerabilidades y amenazas de cada proceso de negocio; así como la dependencia a otras infraestructuras digitales". Y es que, tal y como resumió la directiva, "solo cuando estamos protegidos, podemos colaborar con otros sistemas en estandarización de procedimientos o intercambio de información". 

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual