La importancia de la ciberseguridad industrial

Conferencia Anual ISA: Ciberseguridad, la respuesta ante una amenaza global

Paul Gruhn, presidente de ISA Internacional, durante su conferencia sobre el accidente de Bhopal.//
FOTO: Sam Wordley.
Casi 35 años después del accidente en la planta plaguicidas de Union Carbide en Bhopal (India), el
presidente de ISA Internacional, Paul Gruhn se preguntó cuál será “el siguiente”. Lo hizo
durante la Conferencia Anual de la sección española de ISA, Sociedad Española de
Automatización, celebrada a inicios de este mes en Madrid.
Gruhn describió cómo se fueron “normalizando” las desviaciones que poco a poco iban
aconteciendo en la factoría. Además, una cadena de errores facilitó el desastre: La improvisación, la
utilización de materiales que no se debían utilizar, como el caso de una bomba de sello cerámico en
lugar de un sello metálico, además de que los trabajadores no llevaban protección respiratoria, y
eran constantes los desacuerdos entre los mandos superiores y los operadores.
Una vez se desencadenó la tragedia, el responsable de la planta negó que se tratara de su planta: “El
gas no puede venir de nuestra planta. Nuestra tecnología no ha funcionado mal”, recordó Gruhn. La
ponencia del presidente de ISA Internacional terminó con una recomendación: “Cuando afrontes
un problema, busca maneras de eliminarlo, no de controlarlo”.
Inteligencia de seguridad, por Manuel Carpio (Inerco)
A continuación la jornada se dividió en dos itinerarios. En el primero tomó la palabra Manuel
Carpio, consultor senior de Ciberseguridad en Inerco, con la ponencia “Inteligencia de
seguridad. Caso práctico en instalaciones complejas”.
Para Carpio el problema actual de las infraestructuras críticas es la “amenaza híbrida” que muchas
veces se combina con ataques cibernéticos. "Hoy en día todo el mundo ataca a todo el mundo",
destacó. La globalización también llega a las amenazas a las que se enfrentan las compañías.
Este experto en seguridad explicó cómo “cualquiera puede crear un aparato para capturar el wifi y
meterse en nuestros sistemas del centro control industrial, está todo en internet”. Y contra esta
“amenaza híbrida”, ¿de qué disponen las compañías? “Sistemas de control de industrial que no
están preparados para la amenaza, sino para controlar, supervisar las herramientas, pero no para
defenderse las actuales amenazas”.
Con la experiencia de haber sido durante casi quince años director de Seguridad de la Información y
Prevención del Fraude de Telefónica, Carpio desgranó varios de los casos vividos en primera
persona para acabar concluyendo que “la inteligencia en seguridad es la piedra angular de
seguridad en la Industria 4.0”.
También subrayó como la fragmentación de las seguridades “es una obsolescencia organizativa que
inhibe la eficacia contra nuevas amenazas” y destacó el valor de los departamentos de seguridad
“como recursos integrado al servicio del negocio”.
Alerting, por José Antonio Aguado (Void Sistemas)
A continuación, José Antonio Aguado, director de desarrollo de negocio de Void Sistemas,
partió del accidente nuclear de Fukushima para señalar: "Aunque hayamos analizando muchas de
las variables que pueden ocurrir, nunca pondremos controlarlas todas. La claves es comunicar".
En su ponencia, "Alerting, tecnología necesaria para situaciones de crisis.
Estrategias y herramientas para mejorar las capacidades de respuesta ante una crisis", Aguado
explicó que la industria precisa tener tecnología y herramientas fiables para estar preparada frente a
eventos como la evacuación de las instalaciones, accidentes, escapes o fugas con riesgo al entorno,
realización de simulacros de emergencia, detención en las operaciones, una catástrofe natural,...
"Las técnicas de Alerting permiten enviar información en estas situaciones de crisis y coordinar los
equipos necesarios para mitigar el riesgo. No podemos evitar las crisis, pero sí podemos estar mejor
preparados para afrontarlas", subrayó.
Una de las claves que apuntó Aguado fue cómo manejar riesgos, amenazas y emergencia. Para ellos
expuso cinco acciones: “Activar, alertar, medir, analizar y mejorar". De esta manera explicó que
debe activarse cualquier alerta configurada en el sistema por los operadores o automáticamente;
emitir mensajes de alerta multicanal a los diferentes grupos de destinatarios; monitorizar las alertas
controlando el estado de la emisión/respuesta de los usuarios; analizar con informes de control y
resultado de las incidencias gestionadas; y finalmente, mejorar la gestión de contactos, canales y
planes, con la realización de entrenamientos y simulacros.
Ciberseguridad en sistemas críticos, por Eduardo di Monte (Oylo)
En el segundo itinerario la primera ponencia estuvo a cargo de Eduardo di Monte, CEO de Oylo
Trust Engineering, que expuso casos de éxito sobre "Ciberseguridad aplicada a sistemas críticos".
Di Monte aseguró que uno de los principales problemas que presentan las compañías a nivel de
seguridad en la red, "es la falta de visibilidad en el mundo industrial sobre ciberseguridad. La forma
de aplicar la ciberseguridad en el mundo IT es diferente de la del mundo OT”.
"En el mundo OT las amenazas de la ciberseguridad son relativamente nuevas, esto le pasaba al
mundo IT hace 15 años", recordó. Además expuso cómo la implantación del 5G va a abrir grandes
oportunidades, pero también amenazas en el campo de la ciberseguridad. Y ahondó en la relación
directa entre diseño y seguridad: "Hay muchos fallos de diseño que afectan a la ciberseguridad".
Di Monte explicó que es necesaria una resiliencia activa, "disminuir tiempos de detección de
amenazas, mejorar la respuesta ante incidentes y finalmente retardar el ataque". En cuanto a
implementación de sensores de ciberseguridad, “re requiere un inventario en tiempo real para hacer
una gestión de vulnerabilidades, y también es fundamental una segmentación eficiente de redes. El
concepto de ciberinteligencia se aplica en la ciberseguridad industrial de forma creciente", apuntó.
Durante su ponencia pudimos ver un ejemplo de red no segmentada, además de comprobar las
diferentes amenazas y estrategias de seguridad, en las que enfatizó sobre la segmentación de redes,
como una oportunidad para la ciberseguridad. También mostró ejemplos de ataques que pasan del
mundo IT a OT, como amenazas de ciberseguridad que empiezan atacando a sistemas IT e intentan
pasar a OT (SCADAs, por ejemplo). "El primer paso es dar visibilidad a los sistemas OT de la
planta, a continuación monitorear en tiempo real más amenazas, y finalmente dar respuesta
efectiva a cualquier ciberataque", señaló.
Fortificación global, por Carlos Marín (Schneider Electric)
“La ciberseguridad debe ser entendida como un plan de mitigación que va a mejorar la
productividad de la empresa. Cada hora que para en la planta son costes que impactan en la cuenta
de resultados de la empresa”, así comenzó Carlos Marín, Senior Solution Architect de Schneider
Electric su conferencia “Fortificación global de negocios industriales”.
“El paradigma de la digitalización que necesita nuestro negocio representa una amenaza a nivel de
ciberseguridad”, subrayó para a continuación hablar sobre IT vs OT en términos de seguridad.
Marín describió la importancia de la norma IEC62443, que indica cómo segmentar las redes, cómo
se comportaran los datos y la información en planta. En ella se establecen varios niveles de
seguridad que toda planta debe adoptar: Nivel 1 controladores: Equipos diseñados con
ciberseguridad nativa, se basa en la robustez en dispositivos; Nivel 2: Inspección del tráfico en
profundidad: Protección perimetral; Nivel 3 y 4: Enlace con entorno empresarial: Separación de
redes de control y corporativa.
Marín también habló de la importancia del factor humano dentro de la ciberseguridad, “el punto
más débil”, como describió, y aseguró que la formación evita “consecuencias mayores”.
“Todos los fabricantes tenemos vulnerabilidades y ciberamenazas, la diferencia es cómo
reaccionan los sistemas ante los ataques. Cada euro invertido en ciberseguridad es un euro
invertido en nuestro proceso”, finalizó.
Entrega de premios
José Ignacio Armesto Quiroga recibió el Premio Anual ISA a Profesionales, mientras que el
galardón al Patrocinador de Honor fue para la compañía Álava Ingenieros. Después de la
entrega de premios se destacó el Programa Mentoring, que se realizado este año por primera vez.
Desde la ISA destacaron que los resultados han sido muy positivos. Sólo se subrayó un aspecto
'negativo', la duración del mismo, por eso sus organizadores avanzaron que la próxima edición será
más larga.
El objetivo de este programa es asignar a cada estudiante un mentor profesional, en esta primera
edición han sido un total de once, para ayudarle a dar el santo entre la universidad y al vida laboral.
Iago Vaamonde, estudiante de Ingeniería Química de la Universidad de Santiago de Compostela
explicó su experiencia. También lo hizo su mentor, Francisco Díaz-Andreu, delegado ISA y
director del Máster de Instrumentación y Control ISA-Repsol.
La sección española de la ISA también anunció la inclusión de una nueva categoría para el próximo
año, la de Premio Colaborador Especial de ISA.
Mesa-coloquio sobre ciberseguridad
Una mesa-coloquio sobre la importancia de la seguridad cerró el evento. En ella Carlos Asún, jefe
de Seguridad de la Información en Initec, explicó que las piezas que forman la ciberseguridad
son muchas y muy complejas: “Ante esto toda la empresa ha de estar unida, hay mucho por hacer,
se trata de una carrera de fondo, no de un sprint. La ciberseguridad ha de estar integrada desde la
alta dirección, hasta los niveles más bajos de la compañía. La concienciación, la formación, la
capacitación y el entrenamiento en ciberseguridad son esenciales”.
Por su parte, Carlos Marín hizo hincapié en la prevención: “He visto plantas de producción
paradas por culpa de intrusiones de seguridad. Hay que eliminar la probabilidad que se pueda dar un
problema de ciberseguridad en nuestra planta. En el plan de seguridad ha de estar integrada la
ciberseguridad”.
David Marco, director de Ciberseguridad Industrial en Accenture, abordó la parte legislativa,
recordando que próximamente se va a aprobar un Real Decreto de transposición de la normativa
Europea en ciberseguridad, “esta normativa de seguridad va a fijar los estándares de ciberseguridad
de deberán seguir las compañías, y prevé sanciones”. También destacó que el cambio de la IP v.4 a
la IP v.6 “implica que todo el mundo va a ver a todo el mundo y todo va a ser más automatizable.
Hay que incluir a todos los equipos de ciberseguridad ya en la fase de diseño”.
Finalmente, Manuel Carpio ejemplificó lo sencillo que es tener una puerta abierta a los atacantes:
“Una gran petrolera de nuestro país ha reconocido que un 80% de sus ataques han venido a través
del USB, una buena medida de ciberseguridad sería securizar los puertos USB”