jueves, 31 de enero de 2019

«Yo he visto cosas que vosotros no creeríais…»


 
Así empieza el monologo final del replicante de la película “Blade Runner” que creo que define claramente el escenario de la mayoría de las industrias. Entre diagnósticos de seguridad, conversaciones y reuniones con empresas, me he dado cuenta de que el nivel de protección de las plantas industriales no es la imagen idílica que tiene la gente en mente.
Da igual el sector industrial en el que pienses, el escenario siempre se repite. Sistemas mal configurados, contraseñas inseguras o complejas escritas en un post-it, antivirus inexistentes o que no se actualizan desde hace años, sistemas operativos obsoletos, poder leer el periódico conectándote a Internet desde cualquier estación de operación de una planta, ordenadores infectados desde hace AÑOS (y todavía sin detectar), wifis industriales sin contraseña o directamente inseguras, pendrives USB infectados, redes industriales auxiliares que dan accesos a sitios insospechados... La lista es interminable (y aterradora).
La Ciberseguridad, en general, intenta proteger la información y los sistemas informáticos de ataques externos o internos. Pero cuando hablamos de ciberseguridad industrial, lo que protegemos son los sistemas de control industrial (en adelante, SCI) y la información del proceso que gobiernan.
Los SCI son un conjunto de dispositivos que regulan un proceso industrial con el fin de reducir las probabilidades de fallos, automatizar el proceso productivo y mejorar el rendimiento de la instalación.
Hace años, los SCI estaban aislados de las redes corporativas, pero con el paso de los años, en la mayoría de las compañías, se han ido conectando a las redes corporativas, debido a que las necesidades del negocio les han “obligado” a obtener datos vivos del proceso productivo para mejorar su eficacia productiva (cuanto producto fabricamos, cuanta energía gastamos, pedidos del cliente que pasan directamente a la línea de producción sin intervención humana, …).
Esta conexión implica que cualquier incidente en la red corporativa, puede llegar a la planta productiva.
Por poner un ejemplo sencillo, una persona de la empresa recibe un correo con un virus y lo abre. Este puede llegar a propagarse hasta las líneas de producción, y en mejor de los casos, solo parar la producción.
Llegados a este punto y habiéndonos concienciado de la necesidad de haber tenido en cuenta la ciberseguridad en los SCI, y si esto no ha sido así o hemos aplicado alguna “solución mágica” y autónoma, la experiencia nos ha enseñado que al menos deberemos tener las siguientes variables en cuenta:
>El sentido común. No valen soluciones mágicas ni automáticas (por el momento) y antes de aplicar cualquier solución, es necesario conocer que es lo que queremos proteger y cómo se comunican los diferentes elementos que conforman la red SCI tanto interna como externamente (sistemas IT, Internet, Cloud, …).
Esto, requiere un diagnóstico en condiciones, ya que en la mayoría de las ocasiones hay bastante cambio de lo que tenemos en los mapas de red y lo que nos encontramos en la realidad.
>Concienciación de todas las personas implicadas (empezando por lo básico y finalmente haciendo foco en lo concreto de este tipo de sistemas).
>Tener un plan o una guía que nos marque el camino de baldosas amarillas que nos llevará a la ciudad esmeralda de la ciberseguridad industrial (siguiendo con las referencias cinematográficas).
Este plan o guía dependiendo de cuáles son las necesidades del sector en el que nos encontramos, podrá ser más o menos estricto, pero casi siempre llevará a tener en cuenta los siguientes puntos:
1º. Analizar cuáles son los riesgos de la instalación y de sus activos.
2º. Aplicar medidas que ayuden a minimizar o eliminar las amenazas a los SCI.
Entre ellas destacamos:
Aplicar una buena separación de equipos tanto dentro de las redes SCI como con sus comunicaciones con IT y terceros. Esto se puede realizar mediante el uso de firewalls que entiendan los protocolos de comunicaciones que son utilizados en este tipo de redes.
Vigilar de forma correcta y segura los accesos a estos sistemas desde redes externas o de terceros (los mantenimientos remotos son un claro ejemplo).
Implantar medidas de seguridad adicionales (Antivirus, parcheo, Backups, gestión de identidades y permisos, detección de anomalías, …) y tratar de monitorizar y combinar toda esta información de forma centralizada y gestionada por expertos en ciberseguridad industrial.
La ciberseguridad siempre ha sido necesaria pero no se ha invertido lo suficiente y con conocimiento de causa.
Y que una cosa quede clara: el único sistema completamente seguro es aquel que está apagado, encerrado en un bloque de cemento y sellado en una habitación rodeada de alambradas y guardias armados. Como este tipo de escenario no es real, no podemos garantizar que las medidas implantadas nos ofrezcan un 100% de seguridad, pero no por ello debemos dejarlo al azar. (porque ya sabemos que a mí nunca me pasan estas cosas)
  Artículo de opinión publicado en el especial de Industria Química de Diari de Tarragona el 31/1/2019
https://www.diaridetarragona.com/seccion/quimica/


No hay comentarios:

Publicar un comentario