Red Seguridad 094

28 red seguridad tercer trimestre 2021 monográfico servicios esenciales Por su importancia presente y futura, el sector del Agua, un ecosistema indus- trial formado por plantas de produc- ción de agua potable o de tratamiento de aguas residuales –algunas de ellas clasificadas como “operadores de ser- vicios esenciales” a nivel europeo– se ha convertido en un objetivo prioritario para los cibercriminales. Tanto es así que los ciberataques con- tra este sector se han multiplicado en los últimos años. Aunque son cada vez más las organizaciones e instituciones públicas y privadas que deciden mover ficha para garantizar la seguridad digi- tal de sus infraestructuras críticas, da- tos sensibles y entornos operativos, aún queda mucho por hacer. En Europa, al igual que en Estados Unidos, las infraestructuras de agua son gestionadas en su mayoría por pe- queñas organizaciones y generan bajos márgenes. Por ello, la inversión en sis- temas industriales (PLC) o en equipos informáticos no alcanza el mismo nivel que el destinado a otras partidas. Asi- mismo, el hecho de que en este sector convivan empresas privadas con auto- ridades locales dificulta la elaboración de un retrato uniforme, tanto en lo que atañe a la gestión como a la ciberse- guridad. Conocedores de esta situación, los ciberdelincuentes actúan cada vez con mayor precisión, y dado que en este sector un problema de ciberseguridad podría generar un conflicto de seguri- dad física, o incluso plantear un inci- dente de seguridad nacional, puede resultar tentador atacarlo. El suministro de agua potable y el tratamiento de las aguas residuales son actividades críti- cas, al ser necesarias para la supervi- vencia y la salud pública. Un cambio necesario Por ello, la ciberseguridad en el sector del Agua se ha vuelto transcendental. El control en este ámbito es también una muestra de la soberanía de un país, por lo que un ciberataque o una cadena de ataques contra las infraestructuras hídricas de una región (como los dirigi- dos contra los sistemas de agua israe- lís) podrían suponer una herramienta de auténtica desestabilización. No hay que olvidar, además, que los sistemas de suministro y tratamiento de agua se encuentran generalmente conectados a otras redes (en este caso, las infor- máticas), por lo que los límites entre TI ( Information Technology ) y OT ( Ope- ration Technology ) se difuminan y el riesgo cibernético se hace aún mayor. Este fenómeno de convergencia se ilus- tra también con la implementación de Ethernet IP incluso en las fábricas, así como con el desarrollo de soluciones en la nube para la supervisión industrial o el uso de máquinas virtuales. Sin embargo, ofrecer ciberseguridad a las infraestructuras hídricas críticas no es fácil, ya que se trata de un sec- tor muy descentralizado que opera en múltiples emplazamientos para abaste- cer a toda la zona geográfica. Las co- nexiones a Internet y el mantenimiento a distancia plantean, por tanto, impor- tantes problemas relacionados con los métodos de acceso remoto que garan- tizan el correcto funcionamiento de los emplazamientos remotos. También in- crementa los riesgos el uso de equipos de producción obsoletos, que rara vez cuentan con mecanismos de ciberpro- tección integrados; la utilización de una arquitectura de red “plana”, sin parti- ción ni segmentación; o el uso de pro- tocolos no cifrados e inseguros, como Modbus, o de sistemas operativos fuera de línea para monitorizar o programar estaciones. A tenor de esta realidad, no hay duda de que el sector del Agua debería elevar sus niveles de ciberseguridad y organi- zar su ciberresiliencia para poder hacer frente a ataques cada vez más frecuen- tes y peligrosos. La ciberseguridad debe Sector del Agua: ciberseguridad en un entorno con necesidades propias B orja P érez Country Manager de Stormshield Iberia