Así
empieza el monologo final del replicante de la película “Blade Runner” que creo
que define claramente el escenario de la mayoría de las industrias. Entre
diagnósticos de seguridad, conversaciones y reuniones con empresas, me he dado
cuenta de que el nivel de protección de las plantas industriales no es la
imagen idílica que tiene la gente en mente.
Da
igual el sector industrial en el que pienses, el escenario siempre se repite.
Sistemas mal configurados, contraseñas inseguras o complejas escritas en un post-it,
antivirus inexistentes o que no se actualizan desde hace años, sistemas
operativos obsoletos, poder leer el periódico conectándote a Internet desde
cualquier estación de operación de una planta, ordenadores infectados desde
hace AÑOS (y todavía sin detectar), wifis industriales sin contraseña o
directamente inseguras, pendrives USB infectados, redes industriales auxiliares
que dan accesos a sitios insospechados... La lista es interminable (y
aterradora).
La
Ciberseguridad, en general, intenta proteger la información y los sistemas
informáticos de ataques externos o internos. Pero cuando hablamos de
ciberseguridad industrial, lo que protegemos son los sistemas de control
industrial (en adelante, SCI) y la información del proceso que gobiernan.
Los
SCI son un conjunto de dispositivos que regulan un proceso industrial con el
fin de reducir las probabilidades de fallos, automatizar el proceso productivo
y mejorar el rendimiento de la instalación.
Hace
años, los SCI estaban aislados de las redes corporativas, pero con el paso de
los años, en la mayoría de las compañías, se han ido conectando a las redes
corporativas, debido a que las necesidades del negocio les han “obligado” a
obtener datos vivos del proceso productivo para mejorar su eficacia productiva
(cuanto producto fabricamos, cuanta energía gastamos, pedidos del cliente que
pasan directamente a la línea de producción sin intervención humana, …).
Esta
conexión implica que cualquier incidente en la red corporativa, puede llegar
a la planta productiva.
Por
poner un ejemplo sencillo, una persona de la empresa recibe un correo con un
virus y lo abre. Este puede llegar a propagarse hasta las líneas de producción,
y en mejor de los casos, solo parar la producción.
Llegados
a este punto y habiéndonos concienciado de la necesidad de haber tenido en
cuenta la ciberseguridad en los SCI, y si esto no ha sido así o hemos aplicado
alguna “solución mágica” y autónoma, la experiencia nos ha enseñado que al
menos deberemos tener las siguientes variables en cuenta:
>El
sentido común. No valen soluciones mágicas ni automáticas (por el momento) y
antes de aplicar cualquier solución, es necesario conocer que es lo que
queremos proteger y cómo se comunican los diferentes elementos que conforman la
red SCI tanto interna como externamente (sistemas IT, Internet, Cloud, …).
Esto,
requiere un diagnóstico en condiciones, ya que en la mayoría de las ocasiones
hay bastante cambio de lo que tenemos en los mapas de red y lo que nos
encontramos en la realidad.
>Concienciación
de todas las personas implicadas (empezando por lo básico y finalmente haciendo
foco en lo concreto de este tipo de sistemas).
>Tener
un plan o una guía que nos marque el camino de baldosas amarillas que nos
llevará a la ciudad esmeralda de la ciberseguridad industrial (siguiendo con
las referencias cinematográficas).
Este
plan o guía dependiendo de cuáles son las necesidades del sector en el que nos
encontramos, podrá ser más o menos estricto, pero casi siempre llevará a tener
en cuenta los siguientes puntos:
1º.
Analizar cuáles son los riesgos de la instalación y de sus activos.
2º.
Aplicar medidas que ayuden a minimizar o eliminar las amenazas a los SCI.
Entre
ellas destacamos:
Aplicar
una buena separación de equipos tanto dentro de las redes SCI como con sus
comunicaciones con IT y terceros. Esto se puede realizar mediante el uso de
firewalls que entiendan los protocolos de comunicaciones que son utilizados en este
tipo de redes.
Vigilar
de forma correcta y segura los accesos a estos sistemas desde redes externas o
de terceros (los mantenimientos remotos son un claro ejemplo).
Implantar
medidas de seguridad adicionales (Antivirus, parcheo, Backups, gestión de
identidades y permisos, detección de anomalías, …) y tratar de monitorizar y combinar
toda esta información de forma centralizada y gestionada por expertos en
ciberseguridad industrial.
La
ciberseguridad siempre ha sido necesaria pero no se ha invertido lo suficiente
y con conocimiento de causa.
Y que una
cosa quede clara: el único sistema completamente seguro es aquel que está
apagado, encerrado en un bloque de cemento y sellado en una habitación rodeada
de alambradas y guardias armados. Como este tipo de escenario no es real, no
podemos garantizar que las medidas implantadas nos ofrezcan un 100% de
seguridad, pero no por ello debemos dejarlo al azar. (porque ya sabemos que a mí
nunca me pasan estas cosas)
Artículo de opinión publicado en el especial de Industria Química de Diari de Tarragona el 31/1/2019https://www.diaridetarragona.com/seccion/quimica/
No hay comentarios:
Publicar un comentario