Cuando las ciberamenazas cuestan más que dinero

Pese a no ser considerado uno de los sectores críticos “puros” en lo que a ciberseguridad se refiere, la industria alimentaria tiene mucho en juego en relación a la protección de sus procesos. Desde el Centro de Ciberseguridad Industrial detallan hasta qué punto el sector pone en riesgo su competitividad en caso de no protegerse ante las amenazas. Y lo que es peor: la seguridad de sus consumidores.

Durante el encuentro “La voz de la Industria”, jornada diseñada por el Centro de Ciberseguridad Industrial para la difusión de las iniciativas en el campo de la protección digital, José Valiente, director del organismo, relató el caso ficticio de una fábrica del sector de la alimentación en la que un ataque cibernético obliga a la planta a parar sus líneas de producción durante más de un día con graves perjuicios para el negocio. Un caso imaginario, pero que ha sido construido a partir de experiencias reales de empresas del sector.

Las características imaginarias de la fábrica del CCI responden a las características de la mayor parte de las firmas españolas de esta industria. Se trata de una fábrica de galletas rellenas de mazapán con planta en Toledo y con oficinas en Madrid. Produce 20 millones de cajas de galletas a 10 euros la caja, lo que en un año normal representa 200 millones de euros de ingreso. Comercializa a nivel local un 22% de su producción, y exporta el resto al continente europeo, Latinoamérica y Asia. Cuenta con 132 empleados, 88 personas de ellas en la planta. En su organigrama ha contemplado un director de Tecnología e Innovación

En lo que respecta a su arquitectura de operaciones, su sistema tiene alrededor de 820 señales automatizadas. Utiliza controladores Siemens para fabricación y empaquetado, Schneider Eletric para la gestión de la eficiencia energética y Rockwell Automation para garantizar la seguridad de los procesos y la trazabilidad. Todo se vigila desde una sala de control.

En oficinas opera el sistema MES y un sistema ERP, que es el corazón logístico de la compañía, ya que desde allí se ordenan todas las comandas de producción. A nivel de arquitectura de redes, cuenta con un entorno de alta disponibilidad que conecta la planta con las oficinas, e incluso da la posibilidad de conectarse al sistema en remoto a proveedores acreditados. “Una propuesta de entorno de producción más que habitual en las plantas alimentarias hoy en día”.

En dos meses la firma sufre 25 de casos de intoxicación en Rusia imputados a tres lotes de producto. Las consecuencias: retirada de las cajas de los tres lotes, retirada del producto del canal de distribución, notificación del incidente a la sanidad rusa y española y, además, la paralización de la distribución para la inspección de la empresa con la pérdida reputacional y un coste económico de más de 70 mil euros. Tras ese incidente, la planta sufre un fallo durante 12 horas de las cámaras frigoríficas, y a continuación, un fallo intermitente en control de temperatura del horno. En conjunto estos incidentes significan pérdidas económicas de más de 210 millones de euros. Por si fuera poco, la planta esta sometida a cortes intermitentes de la luz con el consiguiente coste de parada y puesta en marcha que ello puedo significar.

Ante tal panorama de incidentes, la dirección general se plantea hacer un peritaje al respecto y recopila información para poder aportar al proveedor que ha contratado a tal efecto. Sin embargo, tiene dudas en relación a qué tipo de información entregar. ¿Quién lo ha hecho?, ¿qué ha pasado?, ¿dónde ha ocurrido?, ¿por qué ha sucedido? son algunas de las preguntas que se plantea resolver.

Lo primero: ¿Quién? Los sospechosos: la competencia, un empleado descontento, un proveedor descontento, o bien un error humano o un fallo tecnológico... Un abanico amplio pero claramente identificable.

Tras esta primera pista, el siguiente paso es evaluar cuáles han sido los posibles sistemas objetivos del ataque dirigido. Identificados, se evalúan las debilidades de esos dispositivos: vulnerabilidades conocidas, yendo en primer lugar a la información que proporciona el mismo fabricante del dispositivo y los canales a través de los cuales se puede llegar a los sistemas objetivo del ataque.

En el proceso, se descubre un mail dirigido al director de compras con una IP rusa. Siguiendo esa pista, se registra tráfico sospechoso en el log desde estación a una IP rusa y, además, se detectan intentos de acceso del usuario (el director de Compras) a ámbitos del ERP a los cuales no tiene autorización.

Más allá de aislar la zona atacada, la empresa se embarca en un proceso de detectar cuáles son sus vulnerabilidades reales, las que se suman a las amenazas existentes. A la luz de este ejemplo, José Valiente comentó la necesidad de analizar el riesgo real y gestionarlo, no solucionar el problema puntual y olvidarse: “Estoy convencido de que más del 90% de las organizaciones industriales no realizan este trabajo”. Entonces, ¿qué se puede hacer para resistir a los incidentes de alto impacto? Hay recomendaciones claras, según el CCI. La primera de ellas, empoderar a los responsables de impulsar conocimientos, recursos apoyo y gestión.

Según datos de RISI, el Repository of Industrial Security Incidents, en un 60% de los casos de ataques digitales se produjo un parón de 4 horas, en un 22% menos de un día y en un 18% más de 24 horas. Y todo ello sin tener en cuenta, además, el potencial perjuicio que se ha podido provocar a la población.