Por su importancia presente y futura, el sector del Agua, un ecosistema industrial formado por plantas de producción de agua potable o de tratamiento de aguas residuales –algunas de ellas clasificadas como «operadores de servicios esenciales» a nivel europeo– se ha convertido en un objetivo prioritario para los cibercriminales. Tanto es así que los ciberataques contra este sector se han multiplicado en los últimos años. Aunque son cada vez más las organizaciones e instituciones públicas y privadas que deciden mover ficha para garantizar la ciberseguridad de sus infraestructuras críticas, datos sensibles y entornos operativos, aún queda mucho por hacer.
En Europa, al igual que en Estados Unidos, las infraestructuras de agua son gestionadas en su mayoría por pequeñas organizaciones y generan bajos márgenes. Por ello, la inversión en sistemas industriales (PLC) o en equipos informáticos no alcanza el mismo nivel que el destinado a otras partidas. Asimismo, el hecho de que en este sector convivan empresas privadas con autoridades locales dificulta la elaboración de un retrato uniforme, tanto en lo que atañe a la gestión como a la ciberseguridad.
Conocedores de esta situación, los ciberdelincuentes actúan cada vez con mayor precisión, y dado que en este sector un problema de ciberseguridad podría generar un conflicto de seguridad física, o incluso plantear un incidente de seguridad nacional, puede resultar tentador atacarlo. El suministro de agua potable y el tratamiento de las aguas residuales son actividades críticas, al ser necesarias para la supervivencia y la salud pública.
Un cambio necesario
Por ello, la ciberseguridad en el sector del Agua se ha vuelto transcendental. El control en este ámbito es también una muestra de la soberanía de un país, por lo que un ciberataque o una cadena de ataques contra las infraestructuras hídricas de una región (como los dirigidos contra los sistemas de agua israelís) podrían suponer una herramienta de auténtica desestabilización. No hay que olvidar, además, que los sistemas de suministro y tratamiento de agua se encuentran generalmente conectados a otras redes (en este caso, las informáticas), por lo que los límites entre TI (Information Technology) y OT (Operation Technology) se difuminan y el riesgo cibernético se hace aún mayor. Este fenómeno de convergencia se ilustra también con la implementación de Ethernet IP incluso en las fábricas, así como con el desarrollo de soluciones en la nube para la supervisión industrial o el uso de máquinas virtuales.
Sin embargo, ofrecer ciberseguridad a las infraestructuras hídricas críticas no es fácil, ya que se trata de un sector muy descentralizado que opera en múltiples emplazamientos para abastecer a toda la zona geográfica. Las conexiones a Internet y el mantenimiento a distancia plantean, por tanto, importantes problemas relacionados con los métodos de acceso remoto que garantizan el correcto funcionamiento de los emplazamientos remotos. También incrementa los riesgos el uso de equipos de producción obsoletos, que rara vez cuentan con mecanismos de ciberprotección integrados; la utilización de una arquitectura de red “plana”, sin partición ni segmentación; o el uso de protocolos no cifrados e inseguros, como Modbus, o de sistemas operativos fuera de línea para monitorizar o programar estaciones.
El sector del Agua debería elevar su ciberseguridad y organizar su ciberresiliencia frente a ataques cada vez más peligrosos
A tenor de esta realidad, no hay duda de que el sector del Agua debería elevar sus niveles de ciberseguridad y organizar su ciberresiliencia para poder hacer frente a ataques cada vez más frecuentes y peligrosos. La ciberseguridad debe ser una parte integral del mantenimiento del proceso industrial, y aunque esto representa una tarea importante, ya que hay que proteger casi toda la infraestructura actual, hay signos alentadores. En apoyo de este proceso, la tendencia de los próximos años será reforzar el marco normativo de la ciberseguridad, para, entre otras, mejorar la cooperación transfronteriza; y avanzar en la concienciación de los usuarios, pieza clave de cualquier estrategia.
La mejor tecnología
El futuro del sector del Agua estará inevitablemente teñido de ciberamenazas, pero los desarrolladores y los investigadores de ciberseguridad trabajan con ahínco para ofrecer soluciones que, como las de Stormshield, abordan tanto los problemas recurrentes como los emergentes.
De probada eficacia, Stormshield Network Security (SNS) protege las redes a través de la segmentación, lo que evita la propagación de un ciberataque; verifica la legitimidad de los comandos emitidos por los PLC, no solo para proteger de los ataques de intermediario sino también para cotejar la integridad de los datos mediante inspección; y gestiona el acceso remoto, al encargarse del cifrado de los datos mediante la creación de túneles VPN y de la autenticación de los usuarios.
Adicionalmente, y para simplificar la gestión de las múltiples soluciones SNS distribuidas, Stormshield ha desarrollado una plataforma de gestión centralizada denominada Stormshield Management Center (SMC), mientras que con Stormshield Log Supervisor (SLS) ofrece una mejor visibilidad sobre el estado y los registros de log de las redes informáticas.
La protección de los puntos finales, ya sean estaciones de trabajo de ingeniería o de supervisión, es igualmente esencial debido a su papel clave en el manejo de los parámetros del proceso operativo y en la visión en tiempo real del estado de los sistemas. Para salvaguardarlos, Stormshield Endpoint Security (SES) combina un motor de análisis de comportamiento, un motor de control de dispositivos y la facultad de realizar listas blancas de aplicaciones, deshabilitando cualquier software que no sea estrictamente necesario para ofrecer una mejor protección.
De igual modo, y dado que el sector del Agua presenta una serie de limitaciones físicas (como pueden ser una elevada humedad y temperatura…) y operativas para la continuidad de la actividad, esta industria requiere de cortafuegos industriales que, como los SNi40 y SNi20, son idóneos para responder a estas condiciones ambientales, a fin de garantizar la disponibilidad del proceso operativo.
Además de la mejor tecnología, y a fin de contar con una industria mejor protegida en el futuro, los responsables de diseño deben esforzarse por abordar las cuestiones de ciberseguridad desde la primera fase de diseño del sistema, incluso para las OT. Igualmente, y para que los equipos de vigilancia e intervención (CSIRT, SOC, etc.) tengan acceso a las mejores competencias, es importante que los especialistas en automatización se formen en ciberseguridad informática y que los expertos en ciberseguridad se familiaricen con la parte industrial.
