La Voz de la Industria The Voice of the Industry

Encuentro de La Voz de la Industria Gallega. Celebrado el 24 de septiembre en formato virtual

24/09/2020

CCI ha celebrado en formato virtual un encuentro dirigido a la industria gallega, presentando el estudio sobre el estado de la ciberseguridad en la industria de Galicia, publicado recientemente.

 

Este encuentro ha permitido compartir experiencias y lecciones aprendidas de distintos sectores de la industria en Galicia por parte de expertos y responsables de ciberseguridad de organizaciones industriales.

Durante el encuentro, representantes de la Xunta de Galicia ha presentado las iniciativas que se están desarrollando sobre ciberseguridad, con especial atención a los aspectos relacionados con la ciberseguridad en la industria de la región.

A continuación compartimos los resúmenes de las ponencias de toda la jornada:

Estudio de estado de ciberseguridad industrial en Galicia

Belén PérezCoordinadora del CCI en la región, presentó los resultados del ‘Estudio del Estado de la Ciberseguridad Industrial en Galicia’ en el que participaron un total de 27 organizaciones de 10 sectores representados; participando organizaciones con presencia nacional e internacional y con mayor
representación de empresas (en este orden) de tecnologías de la información, ingenierías, la fabricación y alimentación.

Los primeros resultados muestran que más del 70% de las organizaciones identifican la responsabilidad sobre la ciberseguridad en el área de TI (Tecnologías de la Información) corporativa. La mayoría de las organizaciones han realizado alguna evaluación del riesgo -organizativa, técnica o normativa- mientras un preocupante 30% sigue realizando su actividad sin haber realizado alguna evaluación; por lo que están totalmente expuestas a incidentes físicos derivados de los riesgos de ciberseguridad. Todo ello, pese a que un 92% de los encuestados reconoce que mantienen conexión remota con el exterior.

El principal motivo que origina en la región la incorporación de ciberseguridad en las organizaciones industriales es debido a un proceso de mejora continua, siendo en la mayoría de los casos el área de TI quien toma las decisiones de adquisición de servicios y soluciones de ciberseguridad; lo cual queda de manifiesto en los resultados de las encuestas respecto a las medidas de ciberseguridad más implantadas, siendo, por ejemplo, el uso de firewall convencionales una de las medidas predominantes.

Por otro lado, y gracias a que el CCI ha venido realizando este mismo estudio en otras regiones, Belén Pérez pudo comparar la situación de Galicia con otras comunidades españolas en algunos aspectos: Galicia muestra una menor preocupación y sensibilización con los riesgos derivados de la Ciberseguridad por parte de los responsables de Negocio, al menos respecto a Castilla y León, Cataluña y País Vasco – estudios más recientes-, e igualmente muestra una intencionalidad mayor en la inversión en esta materia

respecto a Cataluña y Castilla y León, aunque no frente a País Vasco (quienes alcanzan un 85% frente al 77% de Galicia).

Para finalizar, Belén compartió una serie de conclusiones y reflexiones del estudio, entre las que cabe destacar: la falta de capacitación, de requisitos de ciberseguridad en nuevos proyectos y la problemática de actuar solo de forma reactiva.

Iniciativas de ciberseguridad en la industria gallega

Gustavo Herva, jefe del Departamento de Seguridad y Calidad en la Xunta de Galicia comenzó su exposición hablando sobre el marco estratégico, nodo gallego de ciberseguridad y el importante papel que tiene la Administración pública en base a la promoción de la ciberseguridad industrial en Galicia, siguiendo las directrices de la Unión Europea desde 2013 en materia de ciberseguridad.

Gustavo destacó la importancia de la ciberseguridad en Europa para poder así estar preparados y ser competitivos contra otros estados como puedan ser EEEUU, Israel o China. Se marcó también como objetivo que La Unión Europea debería ser líder en ciberseguridad para el 2025.

En el 2018 el parlamento y el consejo europeo presenta una propuesta para establecer una serie de estructuras y redes de ciberseguridad destacando 3 puntos:

• Creación de Centro Europeo de competencia Industrial, Tecnológico e Investigación de Ciberseguridad, siendo el encargado de repartir los fondos destinados a Ciberseguridad en el periodo 2021 − 2027.
• Red de Centros Nacionales de Coordinación.
• Comunidades de Competencia en Ciberseguridad (Ámbito civil y militar)

Se ha de mencionar que todo ello lleva un proceso lento de debate interno en la UE, y aún se trabaja por llevar a cabo esta estructura.

Desde Galicia se apoyan en la Estrategia Nacional de Ciberseguridad aprobada en abril 2019 como hoja de ruta y la ciberseguridad se convierte en una tecnología clave en la Estrategia Digital de Galicia para 2030.

Actualmente cuentan con el CSIRT.Gal como equipo de respuesta a incidentes de seguridad de la información en la región. (https://amtega.xunta.gal/es/csirt)

Gustavo Herva también mostró ejemplos del papel de INCIBE y CCN, con iniciativas y apoyo institucional y a la importancia de las encuestas realizadas también por parte del CCI para tener una foto más amplia de la situación de ciberseguridad industrial en Galicia.

Abordando la ciberseguridad en el Ciclo de Vida de un proyecto de Digitalización Industrial

José Valiente inicio su presentación mostrando el documento sobre ciberseguridad en el ciclo de vida de un proyecto de digitalización industrial que esta en proceso de desarrollo y que será publicado antes de final de año.

Anteriormente en 2018 se publicó el documento Ciberseguridad en el Ciclo de Vida de un proyecto de automatización industrial y ahora se trabaja en el documento sobre ciberseguridad en la digitalización de esta.

José Valiente, mediante dos ejemplos de proyectos de automatización industrial, explica las diferencias entre ambos documentos y la justificación de éste nuevo.

En el documento tiene un apartado que hablará del contexto industrial, transformación digital, Industria 4.0 y marcos de referencia. Por otro lado, podrán encontrar Las diferentes tecnologías, los diferentes actores de la industria, cumplimiento y normativas y las diferentes fases del ciclo de vida (Planificación y diseño, aprovisionamiento, ejecución, operación y mantenimiento)

Valiente, mostró la nueva plataforma RECIN con un ejemplo práctico, que permite modela proyectos de automatización y digitalización industrial proporcionando recomendaciones de requisitos de ciberseguridad de un catalogo asequible que contempla el estándar IEC62443 para cada componente o grupo de componentes llamados zonas y conductos. Las zonas tendrán componente de sistemas y los conductos, componentes de comunicación para comunicar las zonas.

Su ponencia concluyó presentando un caso de uso de una planta hidroeléctrica y definiendo su arquitectura de zonas y conductos sobre los que estableció los requisitos de ciberseguridad.

Como cubrir los requisitos de seguridad de IEC62443 4-2

Ramón Quirós, presentó el concepto de mGuard Secure Cloud, servicio seguro para conexiones remotas y la seguridad de la tecnología PLCnext de Phoenix Contact, mostrando la flexibilidad del hardware programable en diferentes tipos de lenguaje de programación, la conexión del dispositivo a diferentes plataformas para su manejo y no limitando su uso a una única plataforma como pueda ser la propia de Phoenix Contact.

El propio PLC puede conectarse a la nube Proficloud, o puede ser cliente de otras nubes conocidas en el mercado como AWS, Google Cloud, Azure, Alibaba Cloud. Destacó el sistema operativo Linux del que dispone el PLC, permitiendo el manejo de código de software libre, con todas las flexibilidades que esto implica.

También destacó que todos los equipos que fabrica Phoenix Contact, disponen de sistema maestro Profinet o también comunicación Modbus TCP entre otras expansiones disponibles, ofreciendo una gran flexibilidad y siempre siguiendo la norma IEC 62443 que rigen los sistemas de control industrial y mundialmente aceptada de requerimientos tecnológicos en materia de ciberseguridad. Quirós explicó las características de ciberseguridad de PLCnext 2020.0 LTS, esto es, la arquitectura de seguridad, componentes del sistema operativo, el diseño del hardware con almacenamiento seguro, soporte del servidor entre otros.

Caracterización de incidentes de ciberseguridad de alto impacto en un entorno industrial

José Valiente, director del Centro de Ciberseguridad Industrial destacó que el 33% de los incidentes son intencionados y de todo ello el 34% son ocasionados por malware y un 25% por ataques dirigidos como se muestra en la siguiente gráfica.
En su exposición indicó también que los sistemas afectados por estos incidentes son principalmente los sistemas SCADA y las infraestructuras de comunicaciones.
En cuanto a los futuros incidentes se espera que sobre todo tengan su origen en el compromiso de los dispositos IoT usados cada vez más en el ámbito industrial.
También mostró los resultados del informe sobre las vulnerabilidades en los sistemas de control de la última década en el que Siemens, GE y Schneider Electric son los fabricantes que más vulnerabilidades publicadas tienen.
Finalizó su exposición mostrando algunas medidas para reducir el riesgo frente a las vulnerabilidades en ICS y mostrando la plataforma ESCIM que ayudará a conocer incidentes de ciberseguridad de alto impacto.

Demostración práctica de ciberseguridad en entornos OT

Pedro García-Villacañas, Head of presales de Iberia Kaspersky, realizó una demostración práctica de ciberseguridad en entornos OT, a través de una demo de su solución KIDS, tomando como ejemplo una refinería de combustible pesado. La solución de Kaspersky actuó sobre el nivel 1 y el 2 de la pirámide de automatización de Purdue sobre la instalación.

Pedro recomendó comenzar con acciones de visibilidad sobre la infraestructura: una valoración del riesgo, complementada de forma constante con un inventario de activos, y otra información relevante como las comunicaciones, protocolos, etc. Para ello es imprescindible contar con herramientas que monitoricen e informen en tiempo real del estado de la infraestructura. De esta manera, no solo tendrán la información actualizada, sino que dispondrán de un histórico de situación que permitirá comparar la configuración de la infraestructura en distintos momentos, y valorar la confiabilidad de las operaciones que hayan sido modificadas.

Pedro explicó las distintas etapas típicas de un ataque (basado en el estándar MITRE ATT&CK), comentando en qué puntos del proceso una solución como la de Kaspersky debe informar para permitir actuar frente al incidente; mostrando, en el propio interfaz de KIDS for Network, la información más relevante que precisan los equipos y profesionales de respuesta a incidentes.

Durante su exposición Pedro mostró distintas simulaciones de ataques y como KICS for Networks alerta y permite su contención. El ponente compartió como el task work muestra, de forma muy visual, algunos de los posibles estados de la infraestructura. La pantalla ofrecía información crítica -evitando ruido que pueda confundir al operador- información que había sido obtenida siempre de forma pasiva y no interfiriendo con los procesos productivos de la organización.

Para finalizar, expuso la amplia posibilidad de integraciones de la solución, así como las certificaciones del producto; y disposición de cumplimiento con normativa de ámbito industrial para los usuarios del producto.

IoT security, Innovación y convergencia IT/OT/IoT

Pablo Ibánez de Palo Alto Networks expuso la última solución de ciberseguridad, recién lanzada y enfocada a entornos IoT y OT para ayudar al desarrollo de los proyectos de una forma más sencilla.

A continuación compartió un informe realizado por la unidad de inteligencia de Palo Alto Networks, Unit 42, sobre las amenazas y riesgos descubiertos entorno al IoT.

Concretamente resaltó el porqué las soluciones actuales fallan, la falta de visibilidad, la falta de oferta en prevención y enforcement y las dificultades a la hora de implementar la tecnología, ya que requiere cambios en la arquitectura, integraciones y acciones manuales recurrentes además de los riesgos existentes en la convergencia IT/OT/IoT (Accesos a las redes OT desde colaboradores remotos, falta de sistemas de autenticación desde la red IT, falta de traza y visibilidad del tráfico que se mueve hacia/desde las redes OT/IoT, desconocimiento del inventario de dispositivos, falta de parcheado de dispositivos, falta de segmentación en las redes)

Pablo apuntó que la nueva suscripción de Palo Alto Networks puede ayudar a cubrir estas carencias y permite la securización OT/IoT mediante su NGFW. También mostró un tour por la interfaz del IoT security conectado en la red OT destacando alguna de las funcionalidades que se pueden encontrar, visibilidad de los dispositivos entre otras muchas.

Ibañez finalizó con una demo del firewall para la identificación de políticas en base al dispositivo tipo, característica que ha sido recientemente implantada en este tipo de dispositivos.

Entrevista a responsables de ciberseguridad OT gallegos

En base a su experiencia, ¿Cuáles considera que son medidas de ciberseguridad imprescindibles en la integración IT y OT?

David González − Comenzó con un análisis de la industria y los riesgos del proyecto para mostrar cómo estamos y la situación en la que nos encontramos.

En el caso de ser un proyecto nuevo, esto es, comenzar desde 0, integrar la seguridad desde el diseño es imprescindible.

La segmentación también es clave entre el área IT y OT y el bastionado de todos los sistemas (bloqueo de puertos…) y asegurar la disponibilidad de todos los sistemas es también deseable.

Antonio Fernandes − Coincidió con David al señalar que es fundamental, bajo su experiencia y la de otros profesionales, realizar una segmentación de la red IT y la red OT, y dentro de la fábrica separar la tipología del trabajo, siguiendo el modelo PURDUE. Tener en cuenta los equipos legacy, aquellos que no siempre se pueden parchear por su antigüedad y recomendable utilizar servicios como virtual paching.

¿Qué capacidades de ciberseguridad deberían tener los diferentes actores de la cadena de suministro en un proyecto de digitalización industrial?

David González − Indicó que es imprescindible que los usuarios tengan algunos conocimientos o formación mínima de seguridad o los técnicos en el caso de tratarse de una gran empresa, deberían no sólo preocuparse por la disponibilidad del propio equipo, sino también, tener en mente más formación en materia de ciberseguridad.

La propia empresa debería tener una política de adquisiciones donde se les exigiera a los proveedores determinados requisitos y a su vez, llevar a cabo un análisis de riesgos de los propios proveedores.

David, remarcó una cierta concienciación en estos aspectos y aunque hay mucho camino por recorrer, ya existe una gran preocupación por la ciberseguridad en el ámbito industrial.

Antonio Fernandes − Señala que la ciberseguridad es parte de la cadena de suministro. Para ello debe existir concienciación, invertir en ciberseguridad, tener personal capacitado, formado y especializado en ciberseguridad.

¿Cuáles son los ciberincidentes que más le preocupan en un entorno de digitalización industrial?

David González − Destacó que en la parte OT, los incidentes que más preocupan son aquellos que afecten a la disponibilidad de los sistemas, pero también aquellos «no ruidosos» que pueden alterar la propia producción ligeramente.

Antonio Fernandes − Apunto como preocupante la parada de producción en los entornos OT. Al final, es el «core» del negocio y se debe estar preparado para una rápida respuesta, ser ciberresilientes es primordial hoy en día y contar con backups, entre otras medidas, es importante.

El espionaje industrial es algo que también preocupa y ralentiza el progreso de la industria 4.0 además de la inquietud que genera la alteración de la propia producción en fábrica.

Agenda Schedule

  • 9:00 am
    Bienvenida y Presentación del encuentro
  • 9:05 am
    Presentación del estudio de Ciberseguridad en la Industria Gallega. CCI
  • 9:25 am
    Iniciativas para impulsar la ciberseguridad en las empresas Gallegas. Xunta de Galicia
  • 9:50 am
    Ciberseguridad en el Ciclo de Vida de un proyecto de digitalización industrial. CCI
  • 10:20 am
    Como cubrir los requisitos de seguridad de IEC62443 4-2. Phoenix Contact
  • 10:50 am
    Caracterización de incidentes de ciberseguridad de alto impacto en un entorno industrial. CCI
  • 11:00 am
    Demostración práctica de ciberseguridad en entornos OT. Kaspersky
  • 11:30 am
    IoT security, Innovación y convergencia IT/OT/IoT. Palo Alto Networks
  • 12:00 am
    Panel de Debate: Experiencias abordando la ciberseguridad en proyectos de digitalización industrial
  • 12:20 am
    Clausura del encuentro