La industria 4.0, o la inminente 5.0 (ver crónica industry TALKS), minimiza los tiempos de los procesos productivos aplicando tecnologías disruptivas con el objetivo de ganar competitividad. La implementación del ‘Internet de las Cosas’ (IoT, por sus siglas en inglés) implica la conectividad entre las máquinas que intercambian información; la aplicación del Big Data, exige analizar y extraer información de valor de los datos obtenidos a tiempo real; los gemelos digitales y la realidad aumentada incrementan los niveles de eficiencia permitiendo pruebas en entornos virtuales y también genera datos críticos.
El dato hay que protegerlo. Cristian Cadenas, técnico de Ciberseguridad en Sistemas de Control Industrial de INCIBE (Instituto Nacional de Ciberseguridad), explica a industry TALKS que, si bien es cierto que la transformación hacia las ‘Smart Factories’ implica numerosos beneficios, “también conlleva una serie de importantes retos de ciberseguridad a los que hacer frente”. Uno de los principales desafíos a los que se enfrentan las empresas industriales, defiende Cadenas, “es incorporar la ciberseguridad en todo el proceso, o lo que es lo mismo, implantar soluciones y tecnologías que permitan garantizar la seguridad y protección de los datos”.
La complejidad, según la experta en ciberseguridad, reside en que hace años los dispositivos industriales se diseñaban sin priorizar la ciberseguridad de los mismos, “dado que no contaban con conectividad remota o no se exponían a Internet. Esto ha cambiado radicalmente, ya que ahora todo tiende a estar conectado entre sí y a contar con la funcionalidad necesaria para poder gestionarlo remotamente”. Por todo ello, “se debe contar con mecanismos que permitan evaluar periódicamente las medidas se seguridad implementadas para actualizarlas a las nuevas amenazas de ciberseguridad que surgen constantemente”.
Programa CVE
Existen programas específicos para las empresas industriales de concienciación y asesoramiento tanto a nivel nacional como internacional, así como empresas que ofrecen servicios de asesoría ad hoc. El INCIBE recuerda que una de las principales iniciativas internacionales, denominada ‘Programa CVE’, tiene como objetivo asignar códigos únicos (conocidos como CVE) a nuevas vulnerabilidades o Zero Days, los cuales son asignados por entidades autorizadas para ello conocidas como CNA. Estos CNA son a su vez coordinadas por entidades conocidas como CNA Root.
“INCIBE forma parte del programa desde 2020, convirtiéndonos en verano de 2021 en el primer y único CNA Root a nivel europeo, lo que nos habilita a ayudar a empresas que así lo deseen a adherirse al programa formando su propio CNA, bajo la coordinación de INCIBE, explica Cristian Cadenas. “El hecho de contar con un CNA propio permite a las empresas industriales demostrar un alto nivel de madurez en la gestión de vulnerabilidades, así como contar con el control total sobre la asignación de CVE que afecten a sus productos”, añade.
A nivel mundial, existen 209 CNA, entre los cuales se encuentran las más grandes empresas del sector. A nivel nacional, INCIBE coordina los CNA de Alias Robotics (empresa de ciberseguridad especializada en robótica), Ártica PFMS (fabricante de software de monitorización de infraestructuras TI) y ZGR (compañía tecnológica dentro del sector de la electrónica de potencia), además de numerosas empresas en proceso de adhesión.
Por su parte, Javier Ceballos, doctor ingeniero industrial y vocal de la Comisión Industria 4.0 del COIIM (Colegio Oficial Ingenieros Industriales de Madrid), alerta de la gravedad del asunto: “El uso masivo de políticas de revelación completa de amenazas cibernéticas, provocó la aparición masiva de exploits que vienen a ser fragmentos de software que aprovechan una vulnerabilidad en un sistema de información para conseguir un funcionamiento no deseado del mismo. Esta situación se agrava, si se une la tardanza de algunos proveedores de software en liberar los parches y llega a formar una ‘poción mágica maligna’ si añadimos malas prácticas de los responsables de seguridad, retrasando el antídoto y provocando casos históricamente de proporciones epidémicas y pérdidas multimillonarias”.
Por todo ello, “los códigos gestionados desde las antenas CNA se gestionan bajo el estándar (CVE Numbering Authorities), como sistema de control internacional de vulnerabilidades que van apareciendo en distintos sistemas. En el caso del INCIBE, se combina la coordinación de vulnerabilidades para los sistemas de control industrial, tecnologías de la información e IoT”, apunta Ceballos, “la identificación mediante códigos permite, bajo CVE, un tratamiento adecuado de la vulnerabilidad y el momento adecuado de la aplicación del parche diseñado o de la revelación total o parcial de la vulnerabilidad”.
¿A quién acudir?
En relación a la existencia de empresas especializadas en ciberseguridad para empresas industriales, “a nivel nacional, la madurez de las soluciones ha ido aumentando progresivamente. Si bien es cierto que existen numerosas herramientas que pueden adaptarse a cualquier tipo de empresa, ya que la casuística especial de los procesos que se llevan a cabo en las empresas industriales ha llevado a las mismas a ofrecer soluciones mucho más personalizadas”, comenta Cadena.
Asimismo, “como consecuencia del aumento, en los últimos años, de campañas de distribución de malware o ciberincidentes orientados a dispositivos de control industrial, a las empresas no les basta con utilizar soluciones de seguridad genéricas, sino que también deben aplicar medidas, herramientas y técnicas orientadas a este tipo de dispositivos y entornos”.
Por su parte, Javier Ceballos reconoce que “es cierto que hay menos especialistas en OT (control industrial y operaciones) que en comunicaciones IT (red corporativa y aplicaciones interempresas)” y que dentro de las “tecnologías de operación y control, se mezclan muchas señales diferentes que interactúan con sensores cada vez más sofisticados conviviendo con PLCs y autómatas tradicionales, tales como NFC, RFID, BLUETOOTH, ZIGBEE, pero todas ellas están estandarizadas bajo protocolos de comunicación de buses industriales o de protocolos de comunicación IIoT (Industrial Internet of Things).
Ceballos indica que “las recomendaciones para una seguridad efectiva que pueda prevenir malware en nuestra red OT, siguen siendo las habituales bien implantadas y gestionadas: controlar la comunicación entre las redes IT/OT, segmentar redes IT/OT, actualizar protecciones de dispositivos portables, actualizar sistemas operativos de terminales SCADAs y PLCs , disponer en su caso de sistemas de alerta temprana IDS / SIEM, como principales aunque hay siempre que analizar cada sistema y necesidad corporativa”.
¿Cuánto invertir?
Los expertos indican que no hay una cantidad o porcentaje de inversión que pueda considerarse apropiado o sirva de guía para las empresas industriales en materia ciberseguridad. Por ejemplo, “puede darse el caso incluso de que la decisión adecuada sea invertir en otro punto ajeno al propio proceso como en “Segmentación de red IT/OT” o en la integración de un firewall de última generación”, indica el vocal del COIIM Javier Ceballos.
Con todo, “el porcentaje de la inversión aconsejable tiene que ver con el grado de criticidad de los activos de la organización a proteger y el nivel deseado de resiliencia ante un ataque (interno o externo)”, aclara Ceballos. Hay que tener muy en cuenta que “estamos ante un ámbito de gestión de riesgos que no se puede gestionar solo con inversiones de procesos, sino integrando documentos a medida dentro de una ‘política de seguridad’, asegurando un ‘estructura de seguridad de la información’ , una ‘gestión de activos inventariados’ y una ‘gestión de incidentes de seguridad’, entre estos últimos eventos, incidentes y vulnerabilidades orientadas tanto a minimizar el riesgo de un incidente, como a asegurar minimizar el daño una vez haya sucedido un incidente, e incluso a mantener una resiliencia de recuperación frente a un ataque que haya logrado su objetivo total o parcialmente.
Por ello, “a respuesta correcta por lo tanto es que siempre debe haber un presupuesto destinado a tal fin de ciberseguridad que deberá ser aplicado en el punto de mayor eficiencia, sin existir límites mínimos o máximos recomendables en general”, argumenta el citado experto.
¿Dónde informarse?
Existen varios programas que se repiten anualmente tanto a nivel nacional como regional orientados tanto al diagnóstico de vulnerabilidades y mejora de sistemas como a la implantación e medidas de bastionado a distintos niveles. Uno de ellos es el programa ACTIVA 4.0 del Ministerio de Industria:
https://www.industriaconectada40.gob.es/programas-apoyo/Paginas/ACTIVA-Ciberseguridad.aspx
Las charlas de sensibilización en esta materia se imparten por toda España principalmente desde Colegios Profesionales o bien desde las cámaras de comercio financiado por RED.ES, siendo conocido como iniciativa ACELERA-PYME:
https://www.acelerapyme.gob.es/
Asimismo, el siguiente programa con servicios gratuitos para la pyme de sensibilización, diagnóstico y mejora de su ciberresiliencia y ciberseguridad, así como de la formación in situ de sus profesionales será el programa KIT DIGITAL de muy próxima convocatoria pública para pymes.
