Tabla de contenido0
La ciberseguridad es un ámbito en constante evolución en el que nos encontramos con ataques cada vez más sofisticados. No hay día en el que no haya una noticia relacionada con la ciberseguridad, ya sea un robo de datos en LinkedIn, un problema de ciberseguridad en un famoso antivirus, o una central energética que ha interrumpido el suministro por un ataque cibernético.
Los ciberriesgos no deben dejar indiferente a ninguna empresa con independencia del sector al que pertenezca o a su tamaño. Garantizar la ciberseguridad y la continuidad de negocio debe ser el objetivo.
Nuestra sociedad depende altamente de soluciones TI en sus diferentes modalidades. No tenemos más que pensar en nuestra vida diaria; en ese móvil desde el que ya hacemos todo, en esa pulsera que controla nuestro nivel de actividad, en nuestro coche lleno de electrónica, en los contadores inteligentes instalados en nuestras casas, la Smart TV o los servicios electrónicos que nos ofrecen desde las administraciones o los bancos. También los sistemas de distribución de agua, gas, electricidad, y telecomunicaciones son controladas por Sistemas de Control Industrial, así como la fabricación de muchos productos. El software, embebido o no, está por todas partes, y esta es una tendencia imparable si pensamos en la Industria 4.0 o en la Internet de las Cosas.
Estas tecnologías están tan inmersas en nuestra vida que no llegamos a ser conscientes de lo dependientes que son nuestras empresas, nuestra sociedad y nosotros mismos. Es relevante por lo tanto, que trabajen de una forma segura. Por un lado, proporcionándonos los servicios y funciones para los que han sido diseñados (safety). Por otro, que garanticen la privacidad de sus usuarios, y que funcionen de forma resiliente ante posibles ciberataques.
La seguridad de los Sistemas TI en las empresas normalmente es gestionada por los departamentos de Sistemas TI o Informática de la empresa. Además de estos sistemas nos encontramos con los Sistemas OT (operación) que son los que gestionan y controlan la maquinaria que está en planta, o las redes de distribución. Hablamos de PLCs, Sistemas de Control Distribuidos, controladores de máquina-herramienta, SCADA, y similares.
Tradicionalmente el mundo IT y OT han coexistido de forma separada. Los sistemas OT operaban en redes dedicadas, y el equipamiento utilizaba protocolos propietarios en gran medida, por lo que la ciberseguridad no suponía un problema. Sin embargo, ahora estos sistemas están cada vez más conectados a través de Internet tanto internamente como externamente. Los sistemas de control industrial que fueron creados con el foco en la disponibilidad y la seguridad de las personas, ahora también deben ser ciberseguros. No debemos olvidar que un ataque puede provocar interrupciones de servicio y/o paradas de producción entre otros, con un impacto tanto económico como social. Presentan una serie de características que deben tenerse en cuenta para garantizar su ciberseguridad:
- Los sistemas automatizados suelen tener menos potencia computacional que los tradicionales y suelen necesitar necesitan ejecuciones en tiempo real, lo que complica la aplicación de algoritmos de cifrado complejos.
- Los sistemas operativos utilizados en sistemas de automatización no suelen ofrecer ofrecen servicios de autenticación, control de acceso o protección de archivos.
- Los sistemas de automatización tienen tiempos de vida muy largos y los requisitos de seguridad cuando fueron creados no son los mismos que ahora. Además conviven con sistemas diferentes con la consiguiente heterogeneidad para garantizar su ciberseguridad.
- El mantenimiento lo realizan empresas externas que requieren la instalación de sus propios sistemas de comunicaciones para el mantenimiento remoto, con lo que la vulnerabilidad del sistema puede aumentar.
Ciberseguridad en la industria
En el caso de los sistemas industriales en funcionamiento, lo primero que conviene hacer es averiguar el riesgo de ciberseguridad al que está expuesto. En este caso la utilización de una metodología de gestión de riesgos de ciberseguridad junto con la realización de un análisis de “hacking ético” pueden ayudar a identificar esas potenciales vulnerabilidades del sistema en funcionamiento y poder tomar las medidas correctoras apropiadas para tratar de minimizar los riesgos.
Por ejemplo, en el ámbito industrial infecciones como Stuxnet o Flame han entrado a las empresas a través de USBs. En este caso la introducción de elementos de refuerzo de las políticas de seguridad, tipo WhiteZone fuera de malware y restringir el acceso sólo a software seguro dentro de la zona de operación industrial son importantes.
Lo ideal es que los aspectos de seguridad, privacidad y confianza se tengan en cuenta desde el mismo momento en el que se está diseñando un sistema y sus procesos en lo que se conoce como “Safety, Security & Trust by Design”. Estas actividades deben ir desde la Ingeniería de Sistemas seguros hasta la certificación de que los sistemas desarrollados y sus procesos cumplen con las propiedades de seguridad, privacidad y confianza planificadas.
Dado que las propiedades de seguridad y privacidad dependen del contexto del sistema y del dominio de aplicación es fundamental entender esos requisitos y definirlos de tal forma que sean trazables a través de todas las fases del ciclo de vida de desarrollo del sistema, y teniendo en cuenta el contexto de ejecución en el que se instalará y ejecutará. No debe olvidarse la definición de arquitecturas seguras, y durante la fase de programación utilizar técnicas de programación seguras correspondientes al lenguaje concreto que se esté utilizando.
Finalmente no debemos olvidar que aunque la seguridad 100% no existe siempre podemos tomar medidas para intentar que la seguridad sea la máxima posible y tratar de minimizar el potencial impacto de un ciberataque en nuestras empresas.
Garantizar la ciberseguridad y la continuidad de negocio debe ser el objetivo.
