Ciberseguridad en entornos industriales: la asignatura pendiente

Ciberseguridad en entornos industriales: la asignatura pendiente

Si consideramos las noticias de los incidentes de seguridad que se han publicado durante los últimos meses (los que se han hecho públicos, pero cuántos más habrán ocurrido sin que hayan trascendido), no parece que la ciberseguridad en los entornos OT se esté considerando con la relevancia que merece por parte de la alta dirección de las empresas. Por hacer una analogía, que seguro todo el mundo entiende, nos encontramos en el estado en el que nos encontrábamos hace 10 años con la ciberseguridad en los entornos IT. Es decir, en plena fase de evangelización, concienciación y, en muchos casos, de justificación de la necesidad de acometer acciones inmediatas.

Lo cierto es que existen una serie de factores diferenciales en esa analogía temporal que hacen que la necesidad sea mucho mayor en la actualidad:

  • Los malos son mucho más malos. El romanticismo del hacker, y del mero hecho de conseguir el compromiso de un sistema, ha dejado paso a una actividad delictiva convertida en un negocio muy lucrativo, en el que no hay escrúpulos sobre las consecuencias que pueda desencadenar un ataque.
  • Los malos cuentan con muchos más medios y recursos para hacer el mal. Lógico. El “negocio” va viento en popa. La extorsión es muy efectiva cuando no tienes copias de seguridad de las que recuperar una información cifrada y está en juego la propia pervivencia de tu negocio por unos cuantos miles (o decenas de miles) de euros.
  • A los malos se lo ponemos muy fácil. No es solo que no hayamos securizado nuestras plantas, sino que además nos hemos sumado al carro de la industria 4.0, interconectando de forma masiva los procesos industriales a Internet y, además, hemos abierto las puertas de par en par a accesos remotos de terceros.
  • Las empresas prefieren ser reactivas y no preventivas. Y es increíble la cantidad de empresas que, habiendo sufrido un ciberataque importante, siguen desechando la puesta en marcha de medidas de seguridad por su ¿elevado? Coste. Curioso, cuando muchas de ellas no son capaces siquiera de cuantificar las pérdidas que ocasionaría una indisponibilidad en el tiempo de sus sistemas de información o, lo que en ocasiones puede ser peor, de sus sistemas de control industrial.

Nos seguimos encontrando con los mismos retos y, en el mejor de los casos, preocupaciones:

  • Difícilmente vamos a poder proteger nuestros entornos OT si ni tan siquiera sabemos qué se encuentra conectado a ellos. Las arquitecturas de redes puramente industriales “ocultas” tras equipos con sistemas operativos de propósito general, en máquinas construidas, instaladas y mantenidas por terceros, tampoco ayuda mucho.
  • ¿Medidas de seguridad en instalaciones industriales de hace 10 años? Considerando que cuando nuestro departamento de producción realiza hoy la contratación de una nueva línea de producción no se preocupa por la ciberseguridad ¿qué te hace pensar que hace 10 años si lo hacía? Además ¿tenemos claro de quién es la responsabilidad de la ciberseguridad?
  • Podemos estar de acuerdo en que, ante una parada no programada de nuestra línea de producción, hay que facilitar al máximo las actividades destinadas a la recuperación del funcionamiento de la misma (las cuales van a llevar a cabo de forma remota los ingenieros de la empresa alemana que nos da el soporte) … Pero, ¿de verdad es necesario que utilicen su propio acceso remoto (incluyendo su propia conectividad vía 4G) sin nuestra gestión, supervisión y control?
  • Es cierto que, por fortuna, el panorama está cambiando poco a poco, y los mensajes “evangelizadores“ que trasladamos de forma insistente a las empresas empiezan a dar sus frutos (y, no vamos a engañarnos, los incidentes que trascienden a la luz pública, y sobre todo si son cercanos o del mismo sector, también ayudan a “visualizar” la amenaza).

Desde el área de Ciberseguridad Industrial de Secure&IT hemos hecho, durante los últimos meses, proyectos muy interesantes. En este sentido, ayudamos a nuestros clientes a despejar dos preguntas clave:

  • ¿Me ayudas a determinar cuál es mi nivel de riesgo en mi entorno OT?
  • ¿Podemos definir un plan de proyectos de ciberseguridad OT encaminado a mantener el riesgo del punto anterior en un orden aceptable para la empresa?

Y ahora lanzamos nosotros una pregunta: ¿Tu empresa es proactiva o reactiva?

Hugo Llanos

Director del área Ciberseguridad Industrial de Secure&IT

 

0/5 (0 Reviews)
Facebooktwitterpinterestlinkedinby feather