Existen múltiples motivaciones por las que cualquiera se puede convertir en una ciberamenaza: ciberdelincuencia, ciberterrorismo, ciberespionaje o ciberguerra. En los últimos meses, se ha constatado un aumento muy importante en el número de ataques, con un cambio sustancial en los objetivos: crecen especialmente en aquellos dirigidos a infraestructuras industriales. En particular, y con especial virulencia, han afectado a sectores como energía, agua, acero, petróleo y automóvil.

El impacto de un ataque exitoso a una infraestructura industrial puede afectar a la disponibilidad o mal funcionamiento de los procesos industriales. Puede ocasionar tiempos de inactividad no planificados que, en función de su duración y procesos afectados, pondrían en serio peligro la propia continuidad del negocio.

Francisco Valencia, director general de Secure&IT destaca que los factores que generan la mayoría de problemas en seguridad, tanto de la información como de los sistemas industriales son, fundamentalmente tres: la falta de valoración de activos, la falta de comunicación entre los departamentos y la escasa formación y concienciación de los usuarios. Además, apunta: “El ransomware en industria se ha multiplicado por 10 en un año y las consecuencias para las compañías pueden ser catastróficas”.

Las cifras hablan por sí solas. El coste medio de un ciberataque son 2 millones de euros. Si hablamos de entornos industriales, esta cifra se eleva hasta los 10. La interoperabilidad entre IT y OT, la explosión de dispositivos asociados a la industria 4.0, o la carencia de aplicación de criterios de seguridad durante su despliegue, provoca la existencia de fallas de ciberseguridad que pueden ser aprovechadas por los   ciberdelincuentes.

Las previsiones no apuntan a una mejora de este escenario, y muestran una línea que sigue la misma tendencia actual: tres de cada cuatro empresas sufrirán un ataque que afectará a su entorno productivo industrial. A esto se suma que casi un tercio de las organizaciones industriales ya han experimentado al menos un incidente de seguridad en el último año, y que además la mitad de ellas no cuentan con un plan de respuesta ante incidentes en el entorno OT.

Los retos en los entornos industriales son complejos, y eso multiplica las razones por las que es necesario impulsar la ciberseguridad en OT. En primer lugar, porque generalmente no se dispone de un conocimiento exhaustivo de los elementos conectados a las redes de planta, así que difícilmente vamos a ser capaces de proteger algo de lo que se desconoce su existencia.

Además, muchas de las instalaciones industriales no se han actualizado desde su puesta en producción (considerando que en esos tiempos la ciberseguridad no era, habitualmente, un requisito en el diseño).

Otro de los aspectos más relevantes es que en la industria no hay posibilidad de parada o las ventanas de intervención son muy reducidas (se prioriza la disponibilidad y continuidad de la producción). Otro factor de riesgo muy relevante son los accesos remotos (soporte y teleasistencia) y las intervenciones llevadas a cabo in situ por terceros, en las que, normalmente, hay poco control y rigor desde la perspectiva de ciberseguridad. “Nos encontramos en un escenario de aumento de las ciberamenazas; un entorno con arquitecturas de red heredadas; desconocimiento “de lo que hay”; una seguridad OT gestionada desde IT; carencia de conocimientos para la protección de ICS y, en muchos casos, escasez de medios y recursos. Por tanto, el elevado nivel de riesgo es un factor determinante en OT”, nos comenta Hugo Llanos, director del área de Ciberseguridad Industrial de Secure&IT.

A estas dificultades hay que añadir que el panorama normativo en ciberseguridad industrial es complejo e, incluso, ambiguo. Nos encontramos ante diferentes estándares, normas sectoriales, requisitos específicos de los clientes, etc. Por este motivo, como explica Hugo Llanos, “en Secure&IT nos planteamos la necesidad de definir un conjunto de controles de ciberseguridad que permita a la industria gestionar de forma adecuada la ciberseguridad de sus procesos industriales, que se ajusten a un nivel de seguridad adecuado. Aquí surge la norma SEC-ICSF:2021”.

SEC-ICSF:2021 proporciona un marco normativo de ciberseguridad industrial ideado desde el pragmatismo. Está orientada a todo tipo de empresas de cualquier sector industrial, y permite alcanzar un nivel de riesgo adecuado con un número de controles reducido. Asimismo, y gracias al acuerdo de Secure&IT con la empresa certificadora Oca Global, es posible obtener una certificación que reconozca el esfuerzo realizado en materia de ciberseguridad industrial.

by