Suscríbete
Suscríbete
Una visión de ISA

Un estándar para una industria segura

Apertura
ISA lideró el desarrollo de la primera norma para la protección cibersegura de los entornos industriales (ISA99), después reconvertida en el estándar de facto para la industria ISA/IEC62443. FOTO: 123rf
|

La industria necesita de la ciberseguridad para asegurar integridad, disponibilidad y confidencialidad. La dificultad especial del entorno industrial estriba en la confluencia y necesidad de aplicar principios de seguridad orientados a la protección de los entornos operacionales (OT) como instrumentos inteligentes, PLC's, DCS, SCADA's, HMI's,… con aquellos principios orientados a la protección de las redes y los datos de negocio (IT). Cinco miembros de la International Society of Automation (ISA) responden a varias cuestiones planteadas con el objetivo de dar más luz a un aspecto que cada vez está más en el foco de todo y de todos.


La International Society of Automation (ISA) lideró el desarrollo de la primera norma para la protección cibersegura de los entornos industriales (ISA99), después reconvertida en el estándar de facto para la industria ISA/IEC62443. El estándar es ya de aplicación en los mayores usuarios industriales del mundo, añadiendo la capa de seguridad necesaria para la protección de las grandes infraestructuras energéticas, para el transporte o manufactureras. “Como parte de las actividades de ISA en España, tengo el placer y el orgullo de haber aceptado la formación y el liderazgo de este grupo de trabajo para la ciberseguridad formado por más de 20 profesionales, representantes de primerísimas compañías, bien con necesidades de protección de sus infraestructuras, bien proveedores de tecnología o servicios para conseguir la protección deseada”, destaca David Marco Freire, OT Cybersecurity Lead en Accenture y responsable del grupo Ciberseguridad Industrial ISA; “nuestro objetivo primero es servir de vínculo y dar voz a todas aquellas novedades de producto, desarrollos normativos internacionales y políticas con referencias a la ciberseguridad. Resumiendo y al hilo del fin primero de ISA, servir a la difusión del conocimiento para la mejora de la sociedad digital y la economía en España. A&I nos invita a responder este interesante cuestionario. Cinco de nuestros miembros más relevantes responden. Esperando que sea del interés de todos, conecta con nosotros, conecta con ISA”.


PREGUNTAS


  1. ¿Por qué se habla de la ciberseguridad industrial como una forma separada, diferente o específica de la ciberseguridad habitual en sistemas IT?
  2. ¿Cuáles son los riesgos derivados de una inadecuada protección de los sistemas de control industrial?
  3. ¿Son ya los ciberataques riesgos evaluables en los análisis de riesgos y operabilidad (HAZOP) destinados a la identificación de peligros para los procesos industriales?
  4. Como grupo de trabajo integrado en la reconocida International Society of Automation (ISA), ¿cuál es el grado de utilización en España del estándar ISA99 refundido posteriormente en el famoso ISA/IEC-62443?
  5. ¿Cuáles son los objetivos principales de este grupo de trabajo?


Esther ADIF

Esther Mateo Rodríguez, DG Seguridad, Procesos y Sistemas Corporativos en ADIF


1. Porque los entornos industriales nacieron aislados y han continuado así durante años pero, debido a las redes de control de procesos, los sistemas de supervisión y adquisición de datos, los entornos industriales se han ido integrando cada vez más con tecnologías web, Ethernet y TCP/IP. Además, los entornos industriales son muy heterogéneos, por lo que ha resultado complejo desarrollar un marco normativo que ordene cómo deben diseñarse, desarrollarse, implantarse, controlarse, etc. los dispositivos de una instalaciones industriales. El asilamiento inicial, la heterogeneidad de equipos y la falta de un marco normativo estable ha llevado a no tener una conciencia clara del riesgo en este ámbito y a considerar que las vulnerabilidades y las consecuencias eran menores que los conocidos sistemas IT. Aspectos esenciales como arquitecturas de red seguras, productos y soluciones seguros desde su diseño deben convivir con otros que no y a los que están conectados.


2. Los mismos que los de los sistemas IT:


  • Pérdida de disponibilidad de los equipos que permitan que los procesos autorizados no tenga acceso a los datos necesarios.
  • Pérdida o alteración de la integridad de los datos que maneja el activo o los procesos industriales.
  • Pérdida de la confidencialidad de la información.
  • Pérdida de la autenticidad de los datos.
  • Pérdida de la trazabilidad de los datos.


Esto podría conllevar la alteración de los activos, sistemas o procesos industriales y la pérdida de control sobre los mismos.


3. Sí, se ha avanzado mucho. Esta técnica inductiva que se basa en la identificación de riesgos basada en la premisa de que los accidentes se producen como consecuencia de una desviación de las variables de los procesos con respecto a los parámetros normales de operación. Uno de los aspectos esenciales en la gestión de riesgos es tener una metodología de identificación de peligros y de posterior tratamiento para preparar a la organización en todo el proceso hasta la recuperación de la operación.


4. Cada vez mayor, porque cada vez se es más consciente de lo esencial que es y porque el ámbito de aplicación cubre múltiples sectores industriales. Siendo importantes todos los aspectos que describe el conjunto de documentos que componen la norma, destaco como una aportación esencial dos de ellos:


  • Que proporciona criterios para la adquisición e implantación de sistemas de automatización y control.
  • Que ayuda a identificar y abordar vulnerabilidades.


5. Dar a conocer, profundizar y debatir las aplicaciones, debilidades y singularidades de la norma para tener un entendimiento común del cambiante contexto general y del de la ciberseguridad industrial en particularidad, por la evolución vertiginosa de productos y soluciones que deben convivir con otros que se diseñaron ajenos a esta realidad de la seguridad.


AGUSTIN VALENCIA

Agustín Valencia, OT Security Business Development Manager Iberia en Fortinet


1. Desde hace un tiempo se viene hablando de la convergencia de las redes OT e IT, lo que deja en evidencia que hasta ahora se trataba de dos entornos totalmente diferentes y sin conexión alguna. La razón no es otra que la prioridad para la que se implementaba cada red. En el caso de las redes para la industria o servicios críticos se buscaba ante todo la disponibilidad, mientras que en las redes TI prima la confidencialidad y la integridad del dato. Partiendo de esta premisa, la ciberseguridad aplicada a cada entorno era distinta, ya que las redes industriales al no estar conectadas a Internet, no podían ser alcanzadas por los ciberataques que circulaban por las redes IT. No es que su aislamiento implicara que eran seguros al 100%, aunque sí que los hacía más difíciles de atacar.


Con la incorporación en los entornos industriales de las aplicaciones de TI, que analizan y gestionan entornos industriales en tiempo real y los dispositivos inteligentes conectados a internet, ese aislamiento se ha roto, produciéndose la convergencia entre ambos mundos. Esta nueva situación expone a las redes industriales a las mismas amenazas de ciberseguridad a las que se han enfrentado las TI durante décadas, lo que obliga al sector a rediseñar su estrategia de seguridad.


Aun así, las operativas, capacidades y herramientas de los equipos de IT y OT suelen diferir, especialmente en entornos críticos, por lo que se hace necesario seguir avanzando en esa convergencia en busca de sinergias cada vez más reales.


2. Los riesgos son numerosos y de gran impacto, ya que estamos hablando de servicios que afectan a los procesos, las personas y el medio ambiente. Todos recordamos el incidente producido en el gasoducto estadounidense Colonial Pipeline, atacado por un ransomware y cuyas consecuencias fueron palpables: dejó desabastecida a toda la costa Este del país. Y en nuestra memoria está el apagón causado por el malware BlackEnergy en la red eléctrica de Ucrania y de su réplica al año siguiente buscando efectos destructivos.


De acuerdo con los últimos datos de nuestro estudio sobre ‘El estado de la tecnología operativa y la ciberseguridad’, el 90% de las empresas de servicios críticos experimentó un ciberataque en el último año y el 58% afirmó haber sufrido un ataque de phishing. Estos datos evidencian del peligro que acecha a los sistemas de control industrial y la necesidad de desplegar estrategias basadas en una plataforma de seguridad completa, integrada y automatizada que permita avanzar con confianza hacia una infraestructura convergente, manteniendo al mismo tiempo operaciones seguras y continuas.


3. Las metodologías tradicionales de Análisis de Riesgo de Procesos (PHA) han tenido históricamente distintas aproximaciones (HAZOP, FMEA, FTA). Unas partían de analizar el impacto de los fallos y otras de las consecuencias de los mismos, bien afectando a la operación, en el caso más extremo, evaluando las consecuencias de potenciales accidentes. Todas ellas partían de sucesos iniciadores que desencadenaban otros posteriores. La ciberseguridad ha introducido nuevas variables para el análisis, porque el factor iniciador puede activarse varias veces (por ejemplo, estar latente, pivotar por varios sistemas y actuar en distintos momentos). Es más, como se ha visto con el ransomware, se ha recuperado un sistema pero había todavía equipos infectados sin detectar, pudiendo volver a ocurrir. Esto añade complejidad al análisis y está derivando en hablar específicamente de Cyber PHA o de ‘Consequence-driven Cyber-informed Engineering’ (CCE) como alternativas para un enfoque adecuado y priorizando riesgos y sus consecuencias.


4. ISA/IEC-62443 es un estándar que está ya bastante maduro y que aporta gran cantidad de soluciones específicas para los entornos industriales. Además, el grupo de trabajo internacional ISA99 sigue a pleno funcionamiento intentando cubrir la frenética evolución tecnológica sin perder la consistencia con todo lo ya elaborado. La adopción en España ha sido lenta pero no quizás más que en otros países, al final depende de la madurez de las empresas, del apetito al riesgo, de su grado de digitalización y de la madurez de las soluciones que los fabricantes ofrecen. La potencia de ISA es que es independiente e internacional, trabajando con todos los posibles usuarios de la norma, desde fabricantes e integradores a clientes finales.


5. Como ya se ha dicho, este grupo de trabajo intenta dar respuesta a las necesidades de todos los sectores con soluciones que sean válidas independientemente del sector o del fabricante. Esto trae consigo otras ventajas como mejorar la comunicación entre fabricantes, integradores y clientes. Es importante decir que se trata de una asociación sin ánimo de lucro y, además, muchos de los miembros participan de manera gratuita y voluntaria buscando el objetivo de un bien mayor para todo el conjunto de la industria.


Francisco ramirez

Francisco Ramírez González, Ciberseguridad Industrial Naturgy


1. Históricamente, las tecnologías del mundo OT han sido de nicho y con un ciclo de amortización mucho más elevado que las IT, aunque la tendencia actual es la de convergencia tecnológica hacia tecnologías IT. Lo relevante, más allá de la tecnología concreta, es el modo de abordar los riesgos. En los entornos industriales la prioridad es primero la disponibilidad, después la integridad y finalmente la confidencialidad de la información y procesos, justo al contrario que en los entornos IT.


2. Los riesgos son directamente proporcionales a los impactos que pueden producirse y los impactos de procesos industriales son muy importantes. Una inadecuada protección de los sistemas industriales puede implicar no solo riesgos financieros y reputacionales a las empresas, pueden implicar riesgos medioambientales e, incluso, de salud y de seguridad física de las personas. 


3. La evaluación es complicada debido a que no nos podemos basar en series históricas para modelar los riesgos y además los riesgos mutan tremendamente rápidos. A pesar de eso, sí, es posible estimar los riesgos, generando modelos que nos ayuden a evaluarlos, haciendo aproximaciones mediante un análisis de las partes que lo componen (Amenazas, Vulnerabilidades e Impactos), primero a alto nivel y luego aplicando análisis más detallados en las diferentes partes que lo compongan. Es básico generar un ciclo continuo de revisión y adaptación a los riesgos, ya que especialmente las amenazas y vulnerabilidades están en constante evolución. 


4. El ISA/IEC-62443 es el estándar de referencia para la ciberseguridad industrial. En España, como en el resto del mundo, la ciberseguridad industrial va un paso por detrás de la ciberseguridad IT, pero cuando las empresas abordan cubrir esta deficiencia, es el estándar que de forma natural se plantea. Realmente lo importante es que cada vez más empresas abordan la ciberseguridad industrial porque han interiorizado la necesidad y han dejado atrás mitos (yo no soy objetivo, los ciberdelincuentes no entienden mis sistemas, no estoy conectado a internet…). Si se apoyan en el ISA/IEC-62443, estándar NIST o recomendaciones gubernamentales han dado ya un paso correcto.


5. Poner nuestro granito de arena para que los entornos industriales sean cada vez más ciberseguros, ayudando a divulgar el ISA/IEC-62443 como estándar de referencia. Igualmente va a servir para tener un lugar donde reflexionar sobre temas de actualidad,  como es el papel de la nube, el grado de implantación de las certificaciones de productos y servicios y  reconocer procesos y tecnologías de seguridad que ayuden a cumplir los requisitos del estándar. 


Mario castro

Mario Castro Fernández, Jefe del Departamento de Telecomunicaciones de Red Eléctrica de España


1. Principalmente, porque lo que se maximiza en la ciberseguridad industrial es la disponibilidad e integridad en detrimento de la confidencialidad. Las redes industriales suelen ser redes privadas poco expuestas al exterior con protocolos industriales y algunos propietarios. Son redes  que tienen como retos principales mantener esa disponibilidad bajo cualquier circunstancia para no parar la producción. Esto implica que la gestión de vulnerabilidades y bastionado de equipos no sea tan rápida como en el mundo IT con protocolos mucho más estandarizados, sumado a que los periodos de amortización de los equipos suele ser más alto, provoca que existan dispositivos ‘legacy’ que no se pueden proteger con medidas ‘estándar IT’ y haya que ser imaginativo en las soluciones a aplicar.

Estamos viendo cómo proveedores habituales adaptan sus productos estándar IT al mundo OT, pero la clave del éxito de esa adaptación está en entender la necesidad real del sector industrial al que va dirigido ese producto por lo indicado anteriormente, aunque cada vez más vemos que los proveedores están creando soluciones adaptados al mundo industrial y sus peculiaridades.


2. Los riesgos más evidentes son la parada de producción de la empresa con impacto directo en los trabajadores y en los beneficios de la empresa. Pero existen otros riesgos menos evidentes que podrían impactar en toda la población si la empresa presta algún servicio público como, por ejemplo, un sistema de tratamiento de aguas mal calibrado impactaría en la salud de la población, o a la afección a un sistema de transportes o a su señalización pondría en riesgo la vida de personas y provocaría que un elevado porcentaje de la población se viera afectada en su día a día. Además de los riesgos tangibles, están aquellos más difíciles de cuantificar: un ataque cibernético con éxito en una empresa daña seriamente su imagen y reputación, transmitiendo desconfianza  a sus clientes.


3.En empresas con un alto nivel de madurez en la gestión de riesgos, este análisis se lleva realizando hace años, pero todavía existe camino por recorrer en nuestro entramado empresarial que está compuesto principalmente por Pymes en los que este análisis aún no se realiza.


David muniz

David Muñiz Villace, CISO de Talgo


1. La ciberseguridad de sistemas IT e industriales comparten muchos aspectos de estrategia y sinergia que permiten aprovechar experiencias y líneas de mejora, pero su diferenciación reside en cómo se pondera los criterios de disponibilidad y la implicación de los impactos operativos de las organizaciones, frente a criterios de confidencialidad más propios del ámbito IT.


2. Dependiendo del tipo de incidente, podemos estar hablando de riesgos centrados en la  parada directa de los procesos operativos de fabricación, producción o servicios en una organización, por derivada un ciberataque también afecta a la cadena de suministro de un tercero, o incluso, preparar efectos futuros sobre productos o servicios finales que son entregados al mercado.


3. Depende mucho del nivel de madurez del sector y tamaño de la organización. Las organizaciones de gran volumen y/o reguladas por legislación específica pueden permitirse disponer de personal especializado en ciberseguridad que inyecta la visión de los riesgos ciber, considerando los riesgos relacionados con ciberataques dentro de sus valoraciones, tanto de operativa industrial como su influencia en la seguridad de las personas. Aún queda camino de cultura por recorrer para llegar a todos los sectores y tamaños de organización, con independencia de su tamaño y capacidad.


4. El uso del estándar está siendo empleando en muchos sectores industriales, en algunos casos como punto de partida hacia la ciberseguridad industrial, y en otros ya supone un punto de referencia y control. Poco a poco está calando en el ámbito industrial de ciberseguridad, llegando incluso a ser empleado como punto de partida y referencia para estándares específicos en algunos sectores.


5. Favorecer la adopción y expansión de buenas prácticas en el ámbito de ciberseguridad industrial, principalmente aportando conocimiento y experiencia desde diferentes sectores que comparten el objetivo común de la protección y resiliciencia en la industria, pero desde diferentes visiones y estrategias.


Damid marco

David Marco Freire, OT Cybersecurity Lead en Accenture y responsable del grupo Ciberseguridad Industrial ISA.


Accenture España, ADIF, Cepsa, Cosentino, Fortinet, GEA Group, Gombarri, Iberdrola, Iturcemi Ingeniería, Microsoft, Naturgy, ProcessSkills, Red Eléctrica, Siemens, Talgo, Tetra Park y Trend Micro 





Este artículo aparece publicado en el nº 531 de Automática e Instrumentación

págs. 52 a 56.

Comentarios

Portada editorial
Portada editorial
Editorial

Artículo editorial del número 554 de Automática e Instrumentación

OMRON and Factbird Solution Partner
OMRON and Factbird Solution Partner
Omron

Las soluciones inteligentes proporcionan a los fabricantes información procesable en tiempo real 

La industria de la alimentación y bebidas apuesta por la IA y la robótica para optimizar la producción y garantizar la seguridad alimentaria
La industria de la alimentación y bebidas apuesta por la IA y la robótica para optimizar la producción y garantizar la seguridad alimentaria
Advanced Factories

Directivos de Frit Ravich, Damm, GB Foods y Bon Àrea presentarán en el Industry 4.0 Congress sus estrategias de transformación digital 

Hannover
Hannover
Hannover Messe

Noruega es el Partner Country de la nueva edición del certamen alemán

Eurecat
Eurecat
Eurecat

Está orientada, entre otros, al desarrollo de proyectos colaborativos

ASAMBLEA AFM 193
ASAMBLEA AFM 193
AFM Cluster

Uno de los principales factores que limitan el crecimiento de las empresas es la dificultad de atraer talento al sector

Revista Automática e Instrumentación
NÚMERO 554 // marzo 2024

Empresas destacadas

REVISTA