¿Cómo nació el Centro de Ciberseguridad Industrial (CCI)?
El Centro de Ciberseguridad Industrial (CCI) nació hace 10 años, porque estábamos en una consultora que tenía proyectos de automatización industrial y veíamos que la mayor parte de esos proyectos no tenía contemplada la ciberseguridad. Vimos que el impacto podía ser de gravedad para las personas o para la propia instalación industrial o para el medioambiente. A esos proyectos les empezamos a incorporar la ciberseguridad. Vimos que hacía falta darles un empuje a todas esas organizaciones industriales. Vimos que en Holanda había un centro que ayudaba a estas organizaciones, sobre todo en cuanto a la concienciación, a poner en contacto a todos los profesionales que podían estar interesados en resolver este problema y aquellos que empezaban a prestar los servicios. Con lo que había conseguido esta asociación en Holanda y otras en Estados Unidos, intentamos aquí ver las carencias y las necesidades, y crear una asociación que principalmente ayudara en esas líneas. De ahí surgió toda nuestra actividad.
¿Cuáles son sus actividades?
Nuestra actividad intenta concienciar de los riesgos que hay en este entorno, también formar a aquellos profesionales de las organizaciones industriales que están en áreas como la operación o el mantenimiento, y también venimos publicando documentos. Nuestra actividad se resume en networking (las relaciones), en compartir conocimiento a través de los documentos que publicamos y los propios eventos que celebramos, y la Escuela, y en compartir experiencias. Porque, al final, lo que hemos visto tanto en nuestros eventos como en la Escuela es que, para que las organizaciones puedan avanzar, necesitan también conocer cómo se ha llevado a cabo la ciberseguridad en otras organizaciones de su mismo sector. Por eso, en nuestro Congreso, la mayor parte de las ponencias que hay son ponencias basadas en la experiencia. En nuestros cursos y talleres siempre hay un caso de uso, que se aplica a la ciberseguridad.
Otra de las actividades más recientes que tiene el CCI es la aportación al ecosistema de plataformas que les permitan, de una forma sencilla o por lo menos ágil, incorporar la ciberseguridad. Estas plataformas son, por un lado, una que se llama RECIN, que sirve para ayudar a las organizaciones industriales a incorporar la ciberseguridad en los nuevos proyectos, tanto de automatización como de digitalización industrial, basándonos en el estándar que para nosotros es, quizás, con sus luces y sus sombras, el IEC 62443. Después de bastantes años revisando los distintos estándares, tanto el diseño para la gestión del riesgo como otros, hemos visto que es el más adecuado y alineado con las organizaciones industriales. Esta plataforma RECIN está basada en el estándar IEC 62443 33.
Además de tener una plataforma que te ayuda a identificar cuáles son los requisitos de ciberseguridad para tus proyectos, hemos aportado también una plataforma con un catálogo de servicios y soluciones de ciberseguridad, no nuestros, porque CCI no presta servicios ni de consultoría ni de integración, porque no somos el actor para ayudar directamente, sino que somos un catalizador para que tanto las organizaciones que tienen el problema como los proveedores puedan ponerse en contacto y facilitarles la relación. Ese catálogo sirve precisamente para eso. El catálogo tiene un mapeo de los requisitos de ciberseguridad con los servicios y soluciones que cubrirían ese requisito. Facilita bastante la incorporación de la ciberseguridad, localizando qué proveedores te pueden ayudar.
Otra plataforma recientemente creada es la plataforma ESCIM, que está pensada para que las organizaciones se preparen cuando sufren un incidente de ciberseguridad. Permite caracterizar los incidentes de ciberseguridad en un ambiente industrial y permite reflejar las distintas fases de ese incidente y qué amenazas y qué debilidades aprovecharía ese incidente. Eso, al final, permite a la organización simular que le ocurre ese mismo incidente y cómo de preparadas están. Además de caracterizar el incidente en sí, recoge las acciones que debería tener una empresa para reducir la posibilidad de que ese incidente se produzca, acciones tanto a nivel de protección como de contención y respuesta.
La idea es que en estas dos plataformas un usuario pueda compartir un proyecto o un escenario con toda la comunidad. Van a ser plataformas para compartir la experiencia que tienen los miembros de nuestro ecosistema, que han llegado ya a 5.000.
¿Quiénes forman parte de ese ecosistema?
En cuanto a la presencia del CCI, en quién forma parte de nuestro ecosistema, podemos decir que este está formado por organizaciones industriales de sectores sobre todo que tienen infraestructuras críticas como el eléctrico, el del agua, el del transporte, pero también, desde hace ya un par de años, se han sumado organizaciones industriales del sector de la alimentación, el químico, incluso muchas ingenierías que afortunadamente empiezan a ser reclamadas por parte de las organizaciones para que sus proyectos sean seguros.
Nuestra presencia es a nivel internacional. Gran cantidad de nuestros miembros vienen de Latinoamérica con países como Colombia, que es quizás el más maduro en ciberseguridad industrial, Chile, Argentina, Brasil, Ecuador… Más o menos el 20% son miembros de Latinoamérica, aunque desde hace tres años hemos hecho grandes esfuerzos para que el ecosistema CCI crezca en Europa y así tenemos coordinadores en Francia, Reino Unido, Dinamarca, Turquía, Alemania… y hemos realizado ya algún encuentro centrado en el ecosistema europeo. El año que viene vamos a celebrar un encuentro de la voz de la industria en Londres. Estamos empezando a hacer que todo ese conocimiento, esos documentos que hemos publicado, esos talleres, esa formación también puedan aprovecharse en el ámbito europeo. Tenemos ya ciertos cursos y documentos en inglés. Esa es una línea de actuación.
Dentro de ese ecosistema, los expertos son uno de los miembros más relevantes. Tenemos 16 expertos, porque la ciberseguridad industrial es muy amplia, tiene muchas disciplinas y por lo tanto hace falta que se aúne el conocimiento de múltiples expertos, en redes industriales, monitorización, seguridad física… Estos expertos contribuyen con gran parte de su experiencia en la elaboración de documentos y también en los congresos y los eventos que celebramos. En el XIX Congreso Internacional de Experiencias en Ciberseguridad Industrial. Europa, que acabamos de celebrar, han participado expertos y coordinadores, con lo que son los más activos dentro de nuestro ecosistema.
Lógicamente, para sostener toda la actividad que realizamos, en el CCI contamos con el apoyo de múltiples patrocinadores. Tenemos más de 30 patrocinadores del Centro que también participan en las actividades que realizamos, eventos, reuniones de equipos de conocimiento. Estos fabricantes no son solo fabricantes o proveedores de ciberseguridad sino también fabricantes industriales como Siemens, Rockwell, ingenierías como Técnicas Reunidas o TSK, e incluso patrocinadores que son organizaciones industriales como Central Lechera Asturiana. Básicamente ahora mismo estos patrocinadores son una parte importante de la sostenibilidad de nuestro centro, junto con los miembros, porque hay también membresías de pago, junto con los ingresos que tenemos en la Escuela Profesional de Ciberseguridad Industrial.
¿Entonces no es un ecosistema abierto?
Tenemos varios niveles de membresía. Una que llamamos básica, que es gratuita. Con ella se tiene acceso a nuestra plataforma de conocimiento, donde hay bastantes documentos accesibles; también se tiene posibilidad de acceder a los webinars que realizamos prácticamente de forma mensual; también se accede a nuestro boletín; descuentos en la Escuela y en los eventos… Pero lógicamente la membresía de pago, la que llamamos profesional, va a tener acceso a dos documentos de pago y otras ventajas… Y luego están las membresías de empresa, de la que se benefician todos los empleados, con acceso a todos los documentos que son más de 50.
Con toda la experiencia acumulada en 10 años y ese ecosistema tan robusto, ¿cómo calificaría el nivel de ciberseguridad industrial en España? ¿Cuáles son las carencias? ¿Cuáles son sus recomendaciones?
Venimos realizando, desde el comienzo de la existencia del CCI, varias encuestas y publicaciones de estudio del estado de la ciberseguridad industrial en España. Básicamente hemos visto que todas aquellas organizaciones que tienen infraestructuras críticas han elevado mucho en estos años el nivel de madurez. Lo han elevado, sobre todo, en capacidad de protección. Han incorporado bastantes medidas de protección, pero donde quizás estas empresas más maduras, que llevan más tiempo abordando la ciberseguridad, tienen más carencias es en la gestión de incidentes, es decir, estar preparados para, cuando sufran un incidente, puedan dar una respuesta rápida. Ahí es donde en un estudio que hemos realizado el año pasado sobre cómo están coordinando los incidentes se ve que hay todavía mucho margen de mejora, incluso en las organizaciones más maduras.
Aparte de las que tienen infraestructuras críticas como puede ser el sector eléctrico, oil & gas, agua, transporte, que, por necesidad de cumplir las normativas y leyes, como la Ley para la Protección de las Infraestructuras Críticas o la misma directiva europea NIS, tienen que abordar sí o sí la ciberseguridad, las que no están tan obligadas, por ejemplo, el sector químico, alimentación, fabricación, ahí va por barrios… Muchas veces, empresas que no han sufrido un incidente de alto impacto que les haya afectado gravemente siguen un poco todavía con medidas muy básicas de seguridad; lógicamente tienen antivirus, pero tienen todavía las redes planas o no han segmentado; no han hecho muchas cosas porque no les ha ocurrido todavía algo lo suficientemente grave como para darse cuenta de que puede afectar a su negocio de forma muy importante, económicamente o incluso con algo que preocupa mucho en el ámbito industrial, que son los accidentes industriales. Hoy en día un ataque podría intencionada o no intencionadamente provocar un accidente grave en una instalación industrial. Todavía queda mucho margen para mejorar las capacidades de ciberseguridad de las organizaciones industriales y están más avanzadas que sí han tenido un accidente grave. Cada vez vemos más del sector de alimentación, porque hay algunas cadenas de alimentación en España que trabajan con fábricas a las que empiezan a exigirles en sus auditorías que cumplan no solo determinados aspectos de calidad sino también de ciberseguridad.
En este sentido, ¿cuáles son los ataques o los incidentes más habituales en las industrias españolas?
Los datos de fabricantes de ciberseguridad que tienen sondas y que analizan los incidentes apuntan a que los principales son los ataques de ransomware. Aproximadamente, el 65% de todos los ataques de ransomware afecta al entorno industrial por la sencilla razón de que los atacantes se han dado cuenta de que cifrar la información supone grandes pérdidas para una organización industrial y les resulta más fácil que paguen. Y desgraciadamente en el entorno industrial, como las medidas de seguridad no son las adecuadas, sobre todo en el ámbito de las operaciones de información, les está costando relativamente poco poder llevar a cabo esos ataques de ransomware. Ese es el aspecto más destacado y el más preocupante.
¿Están preparadas nuestras infraestructuras críticas para esos ataques y para la actividad cada vez más agresiva desde el exterior?
Nadie puede decir que están preparadas las infraestructuras de nuestro país ni de ninguno, porque al final, por un lado, esas infraestructuras no son estáticas, sino que dependen de tecnologías cambiantes. La tecnología, cada vez más, no es un desarrollo único, sino que depende de software de terceros. Todo el software tiene vulnerabilidades. Cada vez se publican más vulnerabilidades que son utilizadas por los atacantes. Estos entornos son muy difíciles de parchear. Las infraestructuras no están seguras porque tienen software. Lo que sí que veo es cada vez más organizaciones están más preparadas, tanto a nivel de protección como de gestión de respuesta ante posibles incidentes. Se ha elevado el nivel de ciberseguridad, pero lógicamente quedan muchas cosas por mejorar y aunque se mejore, siempre existe el riesgo de que cada vez se usa más el software y hay cada vez más conexión con tecnologías de información, lo cual abre el nivel de exposición…
¿En dónde se puede mejorar para conseguir que la industria, y especialmente las infraestructuras críticas, sea más segura?
Usando las palabras de nuestro coordinador en Estados Unidos, él viene a decir que al final tenemos en el mercado cientos sino miles de tecnologías de protección y que de ellas hay que utilizar algunas, mejorando su uso, pero sobre todo lo que hay que mejorar es en la concienciación de las personas, en que las personas que operan y mantienen estas infraestructuras críticas, esos sistemas de operación industrial tengan mucho más conocimiento de ciberseguridad y sepan hacer un mejor uso de la tecnología. El esfuerzo para mejorar la ciberseguridad del mañana debería centrarse en las personas.
¿Hay carencias en el marco normativo que regula la ciberseguridad?
Sí. En la digitalización industrial, en la industria 4.0 hay una falta de normativa porque todavía no está completamente definida. Esa digitalización está abriendo más puertas por integración; la cadena de suministros también incorpora nuevos proveedores que también tienen que gestionar cierta información y también son un punto de riesgo. Sí, falta normativa. Pero también está cambiando mucho la tecnología y ese es el motivo.
¿Cuáles son las relaciones con las instituciones oficiales como el Instituto Nacional de Ciberseguridad (INCIBE)?
En muchas de las actividades que realizamos participan tanto INCIBE como el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). Con el Centro Criptológico Nacional Computer Emergency Response Team (CCN–CERT) tenemos muy buena relación; de hecho, van a celebrar a finales de noviembre y principios de diciembre sus jornadas STIC (Sistemas y Tecnologías de Información y Comunicación) y nos han pedido que seamos nosotros los que organicemos el módulo de seguridad industrial, ya lo hicimos hace tres años. Nosotros somos una organización de colaborar y de intentar ayudar, y en esa línea la relación con las instituciones es buena. No es diaria, porque tenemos la capacidad que tenemos.
¿Hay suficiente personal cualificado en ciberseguridad en España?
La respuesta es que no. Hacemos intentos porque la nueva cantera de profesionales, estudiantes de Grado universitario o de Formación Profesional, dirijan su carrera hacia la ciberseguridad, que es un lugar donde no les va a faltar el trabajo y donde se paga muy bien, pero aún así no es fácil que la vean como algo atractivo. Tenemos que intentar hacerlo más atractivo de lo que es. Faltan muchos profesionales. De hecho, un problema gravísimo que se ha producido a raíz de la pandemia es que, como muchas de las actividades que realiza un profesional de ciberseguridad se pueden hacer remotamente, las grandes multinacionales han visto que hay talento en España y están fichando a profesionales españoles por unas cantidades que una organización o un proveedor español no puede asumir. El mercado de la ciberseguridad, en cuanto a costes, se está incrementando muchísimo y eso al final también es un problema, ya no solo la falta de profesionales sino también de su encarecimiento.
¿Por qué no es lo suficientemente atractivo para los jóvenes el mundo de la ciberseguridad?
Si supiéramos las razones, podríamos atajarlas. No somos capaces de trasmitir que esta actividad de ciberseguridad tiene un atractivo importante y que se disfruta. Quizás no estamos llegando a los canales de los jóvenes, de los estudiantes. Hace un par de años que estamos en una iniciativa que se llama Programa Academia, donde intentamos tener mentores dentro de las universidades y crear un ecosistema de estudiantes interesados por la ciberseguridad, a quienes facilitamos documentación de nuestras plataformas, pero los resultados no son muy buenos.
¿Con qué universidades trabajan?
Españolas y latinoamericanas principalmente. En Valencia, Madrid… donde nuestros coordinadores participan en másteres y grados universitarios. La relación con las universidades es bastante buena.
