Ciberseguridad, una prioridad para todos

Bajo el título ‘Ciberseguridad Industrial: Aseguramiento ciber de la seguridad de la información en nuevos campos de batalla’, Automática e Instrumentación, en colaboración con ISA Sección Española, organizó el pasado 19 de abril una Mesa Redonda en el marco de Advanced Factories. La charla, moderada por Juan Manuel Ferrer Miralles, Industry Technology Specialist en Telefónica Tech IOT | Big Data y Miembro de la comisión ejecutiva de ISA Sección Española, despertó mucho interés, un interés que se traduce en que la concienciación sobre la importancia de la ciberseguridad, y la seguridad en general, que todos los participantes pidieron, comienza a ser cada vez mayor.

El pasado 19 de abril, en el marco de Advanced Factories, Automática e Instrumentación, en colaboración con ISA Sección Española, organizó la Mesa Redonda titulada ‘Ciberseguridad Industrial: Aseguramiento ciber de la seguridad de la información en nuevos campos de batalla’. Un encuentro que tuvo un gran éxito de convocatoria y que estuvo moderado por Juan Manuel Ferrer Miralles, Industry Technology Specialist en Telefónica Tech IOT | Big Data y Miembro de la comisión ejecutiva de ISA Sección Española. Estuvo acompañado por Francisco José Alférez Canales, EMEA Engineering Performance Global Expert en Tetra Pak y presidente de ISA Sección Española; David Marco Freire, Iberia Resources and Industry X Security Lead Accenture; y Josep Corrales Ollé, responsable de Soporte de Electrónica, Comunicaciones y Automatización en Weidmüller.

El encargado de iniciar la charla fue el propio moderador, quien explicó que “la sociedad del futuro, y ya del presente, libra una enorme guerra que va más allá de bombas, atentados o secuestros de personas. El desarrollo de una economía apoyada brutalmente sobre activos, cuyo respaldo fundamental se encuentra en computadoras muy distribuidas y enlazadas por internet, convierten a este ecosistema en un verdadero campo de batalla”. “Desde mi experiencia, y desde el tiempo que llevo dedicándome a la ciberseguridad, yo creo que existe la guerra ‘física’, que es la que se está librando en territorio ucraniano, y la ‘ciberguerra’”, apuntó David Marco desde Accenture, “en este sentido, si nos quedamos sólo en el ámbito de la industria, nos quedamos en un ámbito muy opaco, por lo que tenemos que ir un poco más allá. Al final, hay que pensar respecto a la ciberseguridad que cada vez todo está más conectado y que cada vez avanza de una forma más rápida”. En su opinión, “tenemos que abrir los ojos y cambiar la visión que se nos da desde el ámbito industrial de que estamos protegidos ante todo”. Esa visión hay que cambiarla y ser conscientes de que cada vez estamos más expuestos hacia fuera. “Yo creo que la parte de concienciación y formación es importantísima porque, cuando se quiere hacer daño a una industria o a una empresa desde el punto de vista de la seguridad, cada vez es más fácil”, concluyó tajante. Una opinión muy parecida aportó Alférez Canales desde Tetra Pak: “Yo añadiría que la lista de sectores críticos susceptibles de ser atacados va a ir en aumento, además no somos conscientes de ello. Por eso, es muy importante el tema que se ha señalado, el de la concienciación, la capacitación y de la formación”. 

Por último, el representante de Weidmüller, Josep Corrales, quiso poner el foco, a nivel de usuario, en que tenemos que ser conscientes de que recibimos envíos masivos de emails de SMS… con lo que somos una puerta abierta a esa entrada de ataques. “Por eso, yo también insisto en la concienciación”, puntualizó y añadió: “Es muy importante que, a la hora de tener el control a nivel de usuario, incluso a nivel de técnicos que están en las instalaciones en la parte de IT, también deben tener esas configuraciones y actualizaciones de la gestión de los equipos. Pero no sólo en el ámbito industrial, la sociedad en general debe estar concienciada”. 

Confluencia IT/OT

La deseada, pero temible, confluencia entre el mundo IT y el mundo OT expone a los activos industriales y no industriales a ciberataques que ponen en peligro instalaciones, medio ambiente y hasta al propio ser humano. En este sentido, Ferrer lanzó las siguientes cuestiones a los tres expertos: ¿En qué consiste esta confluencia? ¿Qué se debe considerar al respecto? El primer encargado en responder a estos interrogantes fue Josep Corrales: “Tenemos que considerar que cada vez más lo que son los componentes o los equipos industriales tienen una salida o una digitalización de los datos que están en campo y se llevan hacia la digitalización, el Big Data… Esto involucra también a la parte de IT porque ese software que está latente, aunque tiene que estar actualizado, no dejamos de tener una puerta, que es internet, por eso, esos equipos deben ser gestionados. La parte de IT tiene que ser consciente de que también es un punto de entrada. Dentro de la parte de OT, son buenos recursos para evitar los ataques las configuraciones encriptadas o certificadas, en conjunto con la parte IT. Reducen mucho el tipo de estos ataques”.

Respecto a los estándars, David Marco explicó que La norma IEC62443/ISA99 lo que busca es securizar la red, las comunicaciones: “En el fondo, lo que busca es que la seguridad desde un principio esté contemplada en cada cosa que hacemos; yo creo que eso es lo más importante. Cuando hablamos de la parte industrial, aplicar sistemas de ciberseguridad en una planta, que es un proceso continuo, es muy complicado. O paras la planta o no puedes aplicar medidas de ciberseguridad. Lo mismo ocurre en un hospital, donde se trabaja 24 horas al día. Cuando quieres hacer una segmentación de una parte, no puedes hacerlo a no ser que cortes las comunicaciones de una parte, por lo que es muy importante ver cuándo se aplican. En este sentido, es muy importante la norma y ha ayudado a muchos sectores industriales a aplicar ciberseguridad. Yo soy un fiel defensor de que, cuando se hace algo nuevo, la ciberseguridad esté ahí. “Como ha señalado David, la norma IEC62443/ISA99, que nosotros hemos adoptado como estándar de facto para todas nuestras instalaciones, está muy enfocada al ámbito industrial, tiende a tener lazos con la parte IT, porque al final lo importante es tener en cuenta que la integración OT/IT es un tema súper necesario. Incluso las empresas como tal, los fabricantes de software y hadware están yendo de la parte OT a la IT y viceversa. Se trata de un tema de entendimiento, de hecho, muchos de los requerimientos que vienen de la parte OT sirven para la de IT. Siempre hay que coger lo mejor de cada uno para poder hacer cada vez más unos sistemas más robustos”, añadió en la misma línea Alférez Canales. 

Retos ante la nueva economía

Otro de los aspectos que fueron analizados en esta mesa de debate fue el de la nueva economía donde la moneda física apenas existe. Una economía que, según el moderador “se encuentra permanentemente bombardeada por delincuentes internacionales altamente perseguidos, pero fuertemente parapetados y respaldados”. A este respecto, también se pronunció el representante de Tetra Pak, quien aseguró que el uso del dinero físico, sobre todo después de la pandemia, ha disminuido y han aumentado el número de transacciones económicas a través del teléfono móvil, tarjetas bancarias… “Realmente, cuando hablamos del sector financiero, esto no le ‘pilla’ como algo nuevo. De hecho, podemos decir que el sector bancario está altamente digitalizado y es bastante maduro en ese sentido porque siempre ha estado muy expuesto a ciberataques”, aseguró Alférez, quien también atisba un cambio: “Ahora, quizás, vemos un cambio porque, como he dicho antes, el dinero físico tiende a desaparecer a la par que aparecen otros métodos de pago como, vamos a decir, las monedas digitales”. El expertó explicó que las criptomonedas fueron las primeras que tenían como característica principal, a parte de que estaban basadas en el blockchain, que no tenían un organismo en el que basarse como en el caso de las monedas. Y, por no tener esas garantía, tenían una alta volatilidad. En ese sentido, están apareciendo monedas virtuales avaladas por bancos centrales. Esto evita la tendencia de ser utilizadas para transacciones delictivas. “Aún así, los ciberataques en este sentido van a seguir aumentando, desgraciadamente, exactamente igual que en el ámbito industrial. Sobre todo, es un tema de legislación que actualmente se está trabajando, pero aún existen vacíos en ese sentido”. En cuanto a los organismos que participan y apoyan desde el Gobierno de España, “podemos decir con orgullo que tenemos una serie de organizaciones trabajando, y que son punteras en el tema de ciberseguridad. Destacaría el Centro Nacional de Criptografía, un centro que pertenece al CNI, muy enfocado a analizar las amenazas; y con el tema de las criptomonedas, a evitar el mal uso de esas tecnologías. Por otra parte, tenemos el INCIBE, que pertenece al Ministerio de Economía. Por último, mencionar que existe una Agenda Digital, compuesta de 10 ejes, cuatro de los cuales versan específicamente sobre el tema de ciberseguridad. En definitiva, hay mucho en el papel y mucho que hacer para seguir avanzando porque yo creo que no somos conscientes de lo que se nos viene encima”.

“El blockchain ha traído cosas buenas y cosas malas”, afirmó, por su parte, David Marco, “yo soy de los que piensan que la tecnología está para usarla, lo que hay que saber es cómo usarla. Todo lo que viene de la parte de blockchain es muy bueno y creo que tiene mucha aplicabilidad dentro de la industria. Pero lo que está claro es que esto ha venido para quedarse y no sabemos dónde acabará. Igual que ahora existen las criptomonedas dentro de un año han podido sacar otra cosa distinta. El avance tecnológico está siendo tan grande, que el avance está siendo incluso más rápido que nosotros, nos cuesta mucho a veces asimilar las cosas”. Por último, el representante de Weidmüller quiso opinar, no como experto, sino con una opinión personal: “Yo creo que es un sector muy oscuro y habrá que buscar transparencia y también aprovechar el blockchain, que ha venido para quedarse”.

CONCLUSIONES

1. Cuando hablamos de ciberseguridad, es sólo una parte del eslabón de la SEGURIDAD en mayúsculas: seguridad de equipos, seguridad funcional… Aún queda un camino por hacer y todos debemos invertir tiempo en la ciberseguridad como parte de esa seguridad.
2. Tenemos que empezar a concienciarnos en el ámbito de la ciberseguridad. Igual que cerramos el coche cuando nos vamos, hay que bloquear el ordenador cuando nos marchamos. La seguridad empieza por nosotros mismos.
3. No vale de nada tener equipos si éstos no están configurados; si en la parte OT tengo un equipo certificado con la norma ISA99/IEC62443, tiene que haber un técnico detrás que esté supervisando esos filtros, actualizaciones… esos puntos de gestión críticos para evitar los ataques.

----

Este artículo aparece publicado en el nº 546 de Automática e Instrumentación págs. 24 a26.