El uso de las nuevas tecnologías en las pymes industriales, tanto en los sistemas de control y gestión y en su proceso productivo como si deciden abordar de forma integral una transformación digital, debe ir acompañado con establecer la máxima prioridad para la ciberseguridad. Los ciberataques en los sistemas industriales pueden producir víctimas, reducir la producción, y afectar a la innovación y a las finanzas de la empresa.

Los procesos industriales de hoy exigen una alta conectividad entre sus componentes sin renunciar a los requerimientos básicos de continuidad de negocio y alta disponibilidad. Por ello, es necesario crear nuevos procesos de fabricación inteligentes capaces de una mayor adaptabilidad a las necesidades y a los procesos de producción, así como a una asignación más eficaz de los recursos.

La alta conectividad que requiere la Industria 4.0 ha provocado que se introduzcan sistemas más abiertos y de propósito más general, como los que se utilizan en las TIC desde hace años. Hoy en día es habitual ver en sistemas de control industrial que la conectividad esté asentada sobre TCP/IP y Ethernet o el uso de sistemas inalámbricos estandarizados. Todos estos protocolos han sido ampliamente desarrollados y analizados, y ofrecen el nivel de madurez y fiabilidad que la nueva Industria 4.0 requiere.

En este contexto, la relevancia de las TIC en la industria se hace aún mayor. Los nuevos procesos sólo pueden materializarse aprovechando las oportunidades que brindan las nuevas tecnologías. Se introducen las arquitecturas en la nube (se acuña el término “the fog” para sustituir a “the cloud”), la computación ubicua, el Big Data y la virtualización; tecnologías con poca implantación dentro de la industria.

Para este año 2017, las empresas tienen previsto continuar sus inversiones en diferentes áreas, según aparece en el informe realizado por la prestigiosa firma de consultoría PwC: “The Global State of Information Security Survey 2017”, el cual refleja que, de 2012 a 2016, el presupuesto medio que las empresas dedican a ciberseguridad en el mundo casi se ha duplicado, pasando de 2,8 a 5,1 millones de dólares.

Las redes verticales permiten dar una respuesta rápida a los cambios dinámicos ocurridos en la demanda y/o stock o en los fallos que puedan ocurrir. Fijan su énfasis en la eficiencia de los recursos, centrándose en la eficiencia de los materiales, la energía y los recursos humanos.

Las operaciones tradicionales y su soporte en tecnologías de la información comienzan a traspasar los límites entre el mundo real y el mundo virtual, en lo que se conoce como los nuevos sistemas de producción ciber-físicos (CPSS – Cyber Physical Production Systems).

Mayor conectividad, más facilidades… y mayor riesgo

Las informaciones publicadas en los últimos años sobre ataques a sistemas industriales revelan una situación creciente con más ataques dirigidos a los sistemas de control tal y como demuestra Symantec a través de sus informes Internet Security Threat Report, con un apartado dedicado en exclusiva a la ciberseguridad industrial.

En el año 2012, McAfee afirmaba que los “atacantes suelen elegir sistemas que pueden ser fácilmente comprometidos y los SCI han demostrado ser un entorno rico en posibles vulnerabilidades” a través de sus informes de Threats Predictions, que siguen recogiendo amenazas para la industria en sucesivos informes anuales.

La hiperconectividad que permiten las tecnologías inalámbricas y móviles, el uso de la nube y los cambios que se prevén en la logística y en la fabricación hacen que el recinto cerrado que solía ser la fábrica o taller se convierta en un verdadero coladero por el que puede perderse información sensible (patentes, recetas,…) y que puede servir de entrada a saboteadores, ladrones, extorsionadores y otros delincuentes digitales.

En cualquier caso cualquier incidente de ciberseguridad causa graves daños económicos y de reputación.

Cada vez es más frecuente que los procesos de fabricación automatizados incorporen sistemas integrados de gestión con máquinas conectadas en red e, incluso, conectadas con sistemas corporativos y sistemas remotos para permitir la gestión desde que se tramita el pedido hasta que se expide el producto al cliente. Sin embargo estos sistemas pueden ser detectados y accedidos por ciberdelincuentes si no se toman medidas a veces tan básicas como cambiar las contraseñas por defecto e implementar protocolos más cifrados.

Es recomendable incorporar un modelo de defensa en profundidad y abordar  la ciberseguridad desde el comienzo cuando se plantea adoptar cualquier cambio tecnológico, aunque sólo se trate de incorporar una wifi, dotar a los empleados de tablets o permitir un acceso remoto. Estas son algunas medidas básicas que considerar:

  • Hacer un inventario de los sistemas y un análisis de riesgos para establecer un Plan de seguridad.
  • Bloquear el perímetro, limitando con firewalls todas las zonas que no deban tener conexión con el exterior.
  • Actualizar todos los sistemas, incluidos los de seguridad como firewall, IPS, antimalware, etc.
  • Reforzar los controles de acceso local y remoto.
  • Monitorizar y registrar los incidentes.
  • Gestionar la configuración de los sistemas y mantener backups actualizados.
  • Llevar a cabo auditorías rutinarias.
  • Estar preparado, con un buen plan de contingencia para el caso peor.
  • Preparar al personal para reconocer las amenazas y riesgos de las tecnologías que se vayan adoptando.

Retos la ciberseguridad industrial.

Las necesidades existentes en el área de ciberseguridad industrial son suficientemente complejas como para requerir de soluciones que estén a la altura de las circunstancias. Si todos somos conscientes de los impactos generados en entornos corporativos normales por amenazas como el phising o ransomware, ¿qué consecuencias podríamos esperar en contextos críticos de sectores como el energético, hídrico o nuclear? Una vez hecho esta pequeña reflexión hay que empezar a proponer soluciones para gestionar los riesgos existentes en ciberseguridad industrial.

Por un lado está la necesaria segmentación y fortificación de las redes, estableciendo distintas capas de protección y contando con robustos mecanismos de identificación y control de accesos. Además la securización de estos entornos industriales, debe contar con un enfoque de ciberseguridad por diseño, teniendo en cuenta todas las posibles amenazas que puedan materializarse desde la propia concepción de las arquitecturas, sistemas y servicios. Además, estos requisitos deben trasladarse de igual modo a los fabricantes de dispositivos y sistemas, siendo responsabilidad de toda la cadena de suministro trasladar la debida seguridad.

También es importante que las propuestas de ciberseguridad industrial cuenten con las debidas políticas y procedimientos, donde se normalice todo lo relativo al uso, adquisición y manejo de estos sistemas y servicios. Este punto va muy enlazado al hecho de crear una cultura corporativa de ciberseguridad industrial, no siendo un proyecto meramente técnico que tendría los días contados, sino una apuesta institucional por la excelencia.

Asimismo, es importante que en los entornos industriales exista la necesaria formación y concienciación para construir una ciberseguridad industrial real y efectiva. Todos los trabajadores, incluyendo los mandos directivos, deben conocer qué hacer en cada circunstancia. Así como saber de antemano qué usos de la tecnología y sistemas, así como comportamientos, están explícitamente prohibidos.

Todo esto podría resultar anecdótico si no se contase con las debidas métricas e indicadores, que trasladen cómo de bien o de mal se están haciendo las cosas. Es decir, necesitamos contar con cuadros de mando que indiquen la madurez alcanzada de los planteamientos de ciberseguridad industrial.  Además, no debe dejarse a un lado la seguridad física de las infraestructuras y plantas industriales, donde se deben atender cuestiones como el acceso a las instalaciones o las medidas antiicendios.

Igual de interesante es controlar cómo se efectúan los accesos a los sistemas SCADA, ya que nuestros proyectos de ciberseguridad industrial pueden venirse abajo si no se han securizado y gestionado oportunamente entornos cloud, móvil y web desde los que se pueda acceder a las infraestructuras industriales.

En ese mismo sentido, es fundamental analizar cómo se gestiona la interconexión entre las redes de control y los entornos de tecnologías de la información, intentando evitar que el contexto industrial se vea afectado por las amenazas y riesgos que diariamente atacan los sistemas corporativos.

Por tanto, para implantar una adecuada ciberseguridad industrial no sólo se debe contar con tecnologías de seguridad, sino que las mismas deben estar engarzadas dentro de un sistema de gestión que cuida especialmente el factor humano. Ese planteamiento debe atender a un ciclo de vida de ciberseguridad, donde todas las piezas del puzzle, incluidos los proveedores, estén integrados. De este modo se podrá evaluar el nivel de riesgo existente y las metas a alcanzar, haciendo revisiones periódicas para ello. Y por último, teniendo en cuenta las normativas que se deben atender para ser y parecer ciberseguros.

Para poder hacer un correcto mantenimiento y prevención de ataques en el ámbito digital es necesario contar con conocimientos técnicos y estratégicos especializados.