REDSEGURIDAD 083

Hoja de ruta en la ciberseguridad industrial H istóricamente , las tecnologías de la información han evolucionado de manera independiente a las de la operación. La reducción de costes y la interconexión entre estos dos mun- dos han favorecido su unificación, aunque desgraciadamente los dife- rentes incidentes de ciberseguridad sucedidos son la cara más oscura de esta realidad. Por fortuna, la clara posición de ventaja en términos de ciberseguridad de las tecnologías de la información ha facilitado adop- tar de manera relativamente rápida soluciones, técnicas y procedimien- tos que permiten mejorar la ciber- seguridad de las tecnologías de la operación. No obstante, la disponibilidad exi- gible, la naturaleza de tiempo real en algunos casos y la manera en la que se proporciona el soporte (por ejemplo, accesos remotos, falta de parcheo, etc.) son algunas de las características que hacen necesaria una aproximación específica a la ciberseguridad en el mundo opera- cional. Infraestructuras críticas Las redes industriales han pasado de ser pequeñas islas de dispo- sitivos poco capaces a ser redes interconectadas que incorporan una gran cantidad de dispositivos com- plejos computacionalmente capaces de realizar multitud de tareas. Este hecho se debe a revoluciones como la que experimentan actualmente las empresas industriales que han dota- do a sus fábricas de gran capacidad de cómputo, mejorando la detección de errores y la adquisición de datos con el objetivo de proporcionar así una inteligencia anteriormente inima- ginable al proceso. El problema de incorporar tanta tecnología y dispositivos a la indus- tria es el aumento de la superfi- cie de exposición frente a posibles ciberataques. La fuerte dependencia que tiene la sociedad actual de las tecnologías hace de estas un arma de doble filo. Si bien es cierto que la tecnología trae claras ventajas a los negocios, es importante tener en mente el objetivo con el que se ha desarrollado y las diferentes capaci- dades de las que se ha dotado, así como su importancia relativa en la provisión de ciertos servicios esen- ciales para la sociedad. Las tecnolo- gías se convierten en las verdaderas infraestructuras críticas. Legislación Al referirse a ellas, la Ley 8/2011 de protección de infraestructuras crí- ticas utiliza esta definición: "aque- llas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o des- trucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las ins- tituciones del Estado y de las admi- nistraciones públicas". Sumado a ésta, recientemente ha entrado en vigor la transposi- ción de la Directiva NIS. Entre los aspectos destacados de esta última se encuentra la obligatoriedad para todos los Estados miembros de la Unión Europea de identificar a los operadores de servicios esenciales y velar por que éstos dispongan de medidas de seguridad adecuadas y reporten aquellos incidentes conside- rados como significativos, desarrollar una estrategia nacional de cibersegu- ridad, contar con una red de equipos de respuesta a incidentes (red CSIRT) para coordinarse y ser eficaces a la hora de resolver incidentes de ciberseguridad, elegir un represen- tante a nivel nacional como contacto único encargado de las relaciones con otros estados, etc. Amenazas industriales Las infraestructuras críticas son un blanco apetitoso debido a la rele- vancia que tienen para los países. No hace mucho se filtró información sobre un posible ataque sufrido en Inglaterra entre 2015 y 2016 en el que unos terroristas intentaron modificar los parámetros de una depuradora para envenenar a miles de perso- nas. Sin saber si esta depuradora ha sido clasificada por Inglaterra como infraestructura crítica, nos podemos imaginar la magnitud de la catástrofe en el caso de que los atacantes lograsen ejecutar sus planes. Existen otros ejemplos bastante actuales en los que, por desgracia, se ven involucradas lo que pro- bablemente equivaldrían a infraes- tructuras críticas. Este es el caso 26 red seguridad cuarto trimestre 2018 Aarón Flecha Menéndez Consultant Industrial Control System Cybersecurity Services de S21sec|Nextel opinión pic monográfico