Los sistemas industriales pueden sufrir consecuencias comunes independientemente de cuál sea la naturaleza del negocio o de los procesos realizados. Un funcionamiento incorrecto o fallo de seguridad de los sistemas industriales podría poner en peligro la viabilidad del negocio, afectar a la calidad del producto o servicio final, la seguridad de las personas, impactar negativamente sobre el medio ambiente y sobre la capacidad de que la instalación industrial logre sus objetivos; por tanto, garantizar la salud de los sistemas de operación industrial siempre ha sido una de las labores principales de los gestores y operadores de las instalaciones industriales.
Sin embargo, el mantenimiento de los sistemas de control tradicionalmente se ha limitado a la prevención de averías, a evitar los errores de operación y a garantizar la seguridad física tanto de los equipos como de sus operarios, del mismo modo que ha ocurrido en el mundo TIC con la interconexión de los sistemas a Internet. Hoy en día, no se puede seguir conservando esta limitación en el mantenimiento de los sistemas y debe ampliarse para contemplar factores de ciberseguridad que hasta ahora no eran tenidos en cuenta. El mundo de los sistemas de control ya no está basado en sistemas y protocolos limitados al mundo industrial, cada día se basa más en estándares abiertos y tecnologías de uso común en los ámbitos de las Tecnologías de la Información. Esto ha permitido abaratar costes, desarrollar nuevas funcionalidades y lograr una mayor eficiencia; sin embargo, también ha hecho aflorar amenazas que hasta ahora no eran relevantes.
Las nuevas instalaciones deberán tener en cuenta aspectos de ciberseguridad que hasta ahora no eran importantes
En este escenario, las nuevas instalaciones deberán tener en cuenta aspectos de ciberseguridad que hasta ahora no eran importantes, y las instalaciones actuales deberán adaptarse para combatir unas amenazas para las que no están diseñadas. Gran parte de los problemas de seguridad en las redes industriales están causados por la interconexión de estas con redes corporativas de propósito general. Las redes corporativas se caracterizan por la heterogeneidad de los dispositivos conectados a ellas, y, si bien, dichos dispositivos suelen incluir medidas de seguridad que los protegen de posibles ataques (principalmente debidos a malware), esos mismos ataques pueden llegar a ser letales para los dispositivos conectados a las redes industriales.
Operación industrial cada vez más digital
Otro problema importante está causado por una incorrecta gestión de los accesos locales a los dispositivos que permiten la realización de operaciones potencialmente peligrosas para las que no hay medidas de control adecuadas. La consideración habitual de que no existe comunicación o interconexión entre las redes corporativas y las redes industriales (el mito del ‘air gap’) se ha demostrado que es incorrecta. La interconexión existe, pero puede no ser obvia o en otros casos se crea temporalmente una conexión que no está documentada ni procedimentada, por ejemplo, acceso remoto o local desde un ordenador portátil o conexión de un dispositivo de almacenamiento (discos externos, memorias flash). Estamos en un cambio de época, donde la operación industrial es cada vez más digital, y los procesos productivos dependen mucho más de la integración de los sistemas de operación y los sistemas de información, donde la presencia del software es cada vez mayor. El automóvil es el reflejo de una planta
industrial, dispone de instrumentación, sistemas de control y cuadro de supervisión. ¿Qué ha cambiado en el automóvil actual, al que podemos ya denominar smart car? Aumento de sensores, aumento de sistemas de control y, sobre todo, aumento del software que orquesta todo, más de cien millones de líneas de código tiene un vehículo actual. Este ingente volumen de software que desarrollan multitud de terceros supone la existencia de cientos de vulnerabilidades, este es el escenario actual y futuro de las plantas industriales.
El escenario es complejo, ya que existen diferentes actores con distintos problemas y objetivos que deberán, en muchos casos, llegar a acuerdos, colaborar y compartir información para lograr la mejora de la ciberseguridad en todos los ámbitos que es requerida. Los principales actores pueden agruparse como se describe a continuación:
Usuarios finales: Propietarios y operadores de las instalaciones industriales. Su objetivo principal es producir de forma más eficaz, eficiente y segura, para lo cual es necesario mantener las instalaciones en perfecto estado de funcionamiento, por ello son los principales interesados en garantizar su ciberseguridad y deberán exigir a sus proveedores diseños, dispositivos y montajes que tengan en cuenta aspectos de ciberseguridad.
Administración: La Administración Pública juega un papel importante en cuanto a que son los responsables del desarrollo de leyes y normativas que afectan de forma directa a las operaciones de las instalaciones industriales y de controlar que se cumpla con los requerimientos y regulaciones. Para que las normativas sean eficaces deberán tener en cuenta las necesidades reales de la industria, y para ello es fundamental que exista una comunicación fluida entre la Administración Pública y el sector privado. Asimismo, las Fuerzas y Cuerpos de Seguridad del Estado, mediante sus departamentos de delitos telemáticos, deberán tener dentro de su ratio de acción las amenazas y vulnerabilidades de los entornos industriales y ser conscientes del riesgo que el aprovechamiento de estas de manera indebida puede presentar para la sociedad.
Proveedores: Consultoras, ingenierías, integradores de sistemas, operadores de comunicación, laboratorios independientes, procesos, redes y seguridad deberán adaptar sus servicios actuales para lograr cubrir las necesidades que plantean los propietarios de las instalaciones industriales.
Instituciones académicas: Las universidades y los centros tecnológicos juegan un papel clave en la formación inicial y continuada, investigación, evolución y desarrollo de nuevas técnicas y metodologías aplicables a los entornos de ciberseguridad Industrial.
Fabricantes: Los fabricantes de equipamiento tendrán un papel fundamental, ya que de ellos dependerá la existencia de dispositivos capaces de proporcionar las funcionalidades de ciberseguridad requeridas, para lo cual es crítica la concienciación sobre los diversos actores de la necesidad de tecnología de ciberseguridad. Dentro de los fabricantes se pueden diferenciar tres tipos principales (industriales, seguridad TIC y seguridad industrial).
Con el fin de abarcar todos los puntos de vista de una asignatura tan compleja como es la ciberseguridad industrial, será necesario fomentar el trabajo en común de los distintos implicados (propietarios de las infraestructuras, fabricantes de equipamiento tanto industrial y de TIC como de ciberseguridad, consultores, ingenierías, integradores, etc.) con el fin de incorporar requisitos y características de ciberseguridad a sus soluciones. Para ello, deben establecerse espacios de colaboración que permitan la participación de todos los implicados con el fin de alcanzar soluciones para la implantación de medidas de ciberseguridad que sean satisfactorias para todas las partes y analizar la causa raíz de los incidentes para la puesta en común de lecciones aprendidas, siempre dentro de un marco de confianza y confidencialidad adecuado. Establecer este marco es el principal objetivo del Centro de Ciberseguridad Industrial.