CCI ha celebrado en formato virtual un encuentro dirigido a la industria de Castilla y León, presentando por primera vez los resultados preliminares del estudio sobre el estado de la ciberseguridad en la industria de Castilla y León.
Este encuentro ha permitido compartir experiencias y lecciones aprendidas de distintos sectores de la industria en Castilla y León por parte de responsables de ciberseguridad de organizaciones industriales.
A continuación compartimos los resúmenes de las ponencias de toda la jornada:
Resultados preliminares del estudio de ciberseguridad industrial en Castilla y León
José Antonio Cascallana, Coordinador del CCI en la región, presentó los resultados preliminares del ‘Estudio del Estado de la Ciberseguridad Industrial en Castilla y León‘, en el que, por el momento, han participado un total de 44 organizaciones de 14 sectores representados; participando organizaciones con presencia tanto nacional como internacional y con mayor representación de la fabricación, alimentación y las tecnologías de la información.
Los primeros resultados muestran que más del 75% de las organizaciones identifican la responsabilidad sobre la ciberseguridad en el área de TI (Tecnologías de la Información) Corporativa. La mayoría de las organizaciones han realizado alguna evaluación del riesgo -organizativa, técnica o normativa- mientras un preocupante 14% sigue realizando su actividad sin haber realizado alguna evaluación; por lo que están totalmente expuestos a incidentes físicos derivados de los riesgos ciber. Todo ello, pese a que un 88% de las infraestructuras industriales encuestadas reconocen mantener conexión remota con el exterior.
El principal motivo que origina en la región la incorporación de ciberseguridad en las organizaciones industriales es debido a un proceso de mejora continua, siendo en el 80% de los casos el área de TI quien toma las decisiones de adquisición de servicios y soluciones de ciberseguridad.
Por otro lado, y gracias a que el CCI ha venido realizando este mismo estudio en otras regiones, José Antonio pudo comparar la situación de Castilla y León con otras comunidades españolas en algunos aspectos: CyL muestra una mayor preocupación y sensibilización con los riesgos derivados de la Ciberseguridad por parte de los responsables de Negocio, al menos respecto a Galicia, Cataluña y País Vasco -estudios más recientes-, e igualmente muestra una intencionalidad mayor en la inversión en esta materia.
De esta manera y para finalizar, las cifras exponen que un 73% de las empresas analizadas confirman que incrementarán su presupuesto en ciberseguridad industrial, siendo el rango temporal de estas acciones principalmente los 6 meses o el año, para la puesta en marcha de estas actividades.
Cascallana finalizó su exposición con 3 conclusiones claras de los primeros resultados hasta la fecha sobre el estudio:
1. Los proyectos nuevos carecen de requisitos de ciberseguridad adecuados
2. Existe una fuerte dependencia de TI en materia de ciberseguridad
3. La falta de capacitación en ciberseguridad en la organización
—
Iniciativas de ciberseguridad en la industria de Castilla y León
Montserrat Fernández Martínez, Responsable de proyectos de innovación del Dpto. Innovación y Emprendimiento en Junta de Castilla y León.
Entre las muchas iniciativas que se están llevando a cabo, destacamos las de los programas de sensibilización y atracción del talento. Se realizan los ciber desayunos ya que siguen el modelo europeo y tiene una respuesta muy positiva. Esto da oportunidad a aquellos
profesionales preocupados por la ciberseguridad de compartir experiencias.
También se están llevando a cabo campañas de sensibilización, evaluación de madurez digital y visión para la transformación digital. Existe una lanzadera financiera de un 5% en ayudas de I+D+i.
—
Demostración práctica de ciberseguridad en entornos OT
Pedro García-Villacañas, Head of presales de Iberia Kaspersky, realizó una demostración práctica de ciberseguridad en entornos OT, a través de una demo de KIDS, tomando como ejemplo una refinería de combustible pesado. La solución de Kaspersky actuó sobre el nivel 1 y el 2 de la pirámide de automatización de Purdue sobre la instalación.
Pedro recomendó comenzar con acciones de visibilidad sobre la infraestructura: una valoración del riesgo, complementada de forma constante con un inventario de activos, y otra información relevante como las comunicaciones, protocolos, etc. Para ello es imprescindible contar con herramientas que monitoricen e informen en tiempo real del estado de la infraestructura. De esta manera, no solo tendrán la información actualizada, sino que dispondrán de un histórico de situación que permitirá comparar la configuración de la infraestructura en distintos momentos, y valorar la confiabilidad de las operaciones que hayan sido modificadas.
Pedro explicó las distintas etapas típicas de un ataque (basado en el estándar MITRE ATT&CK), comentando en qué puntos del proceso una solución como la de Kaspersky debe informar para permitir actuar contra el incidente; mostrando, en el propio interfaz de KIDS for Network, la información más relevante que precisan los equipos y profesionales de respuesta a incidentes. Durante su exposición Pedro mostró distintas simulaciones de ataques y como KICS for Networks alerta y permite su contención.
El presentador compartió como el task work muestra, de forma muy visual, algunos de los posibles estados de la infraestructura. La pantalla ofrecía información crítica -evitando ruido que pueda confundir al operador- información que había sido obtenida siempre de forma pasiva y no interfiriendo con los procesos productivos de la organización.
Para finalizar, expuso la amplia posibilidad de integraciones de la solución, así como las certificaciones del producto; y disposición de cumplimiento con normativa de ámbito industrial para los usuarios del producto.
—
Estrategias de Ciberseguridad para confrontar amenazas globales en la red OT
Francisco Bonilla, System Engineer de Fortinet, comenzó poniendo en contexto los principales riesgos a los que nos estamos enfrentando no sólo en el mundo OT sino también en la convergencia con el mundo IT. Señaló la importancia de dotar de los medios a nivel formativo, tecnológico etc en las organizaciones.
A nivel de seguridad, la principal prioridad en el mundo industrial es la de las personas, también indicó que a nivel tecnico la prioridad es la disponibilidad.
Señaló que es necesario tener una visibilidad transversal, visibilidad de los activos, detección y respuesta a incidentes, pero con control e inteligencia procesable.
Existen varias estrategias a nivel de riesgo, pero indicó que en todo momento se reuquiere que seamos capaces de valorar el activo y la contramedida a aplicar y esto a su debe convertir en un proceso. En ningun momento la seguridad tiene que ser contemplada como un proyecto ad-hoc sino como un proceso sostenible a lo largo del tiempo, sobre todo en el ámbito industrial.
Por otro lado señaló que la identificación de activos permitira hacer una valoración y priorizar las estrategias de seguridad de esos activos y mecanismos de prevención que harán que seamos proactivos en todos los procesos industriales. Por ello, esta razón desde Fortinet se ha tomado como referencia la norma IEC 62443 y otras que están proliferando como su estrategia a nivel de seguridad industrial.
Francisco también destacó la importancia de identificar las posibles vulnerabilidades que podamos encontrar en la planta y así poder establecer un mapa de contramedidas que permita ver su grado de correción a lo largo del tiempo, como así es posible con algunas de las herramientas que proporcionan.
Como punto final, Bonilla destacó que la seguridad y la estrategia de ciberseguridad debe basarse en las personas, los procesos y la tecnología.
—
Panel: Ciberseguridad en los proyectos de digitalización Industrial
El panel cuya temática central era analizar la situación de la Ciberseguridad en los proyectos de digitalización Industrial, a través de la visión de algunos de los centros tecnológicos y clusters de la región, contó con la participación de Enrique Redondo, Responsable de Ciberseguridad Industrial INCIBE (Instituto Nacional de Ciberseguridad), Ana Nuñez, Directora de FACyL (Cluster de Automoción de Castilla y León) y Tomás Castro, Presidente de la AEI de Ciberseguridad (Agrupación Empresarial Innovadora en Ciberseguridad y Tecnologías Avanzadas).
Los panelistas respondieron a cuestiones como en qué fase o contexto están las empresas de Castilla y León incorporando ciberseguridad en sus procesos industriales; siendo las respuestas comunes los distintos ritmos que se aprecian en los distintos sectores, o por tamaño de organización, aunque también apuntaron las mejores cifras que se están registrando actualmente -por parte de INCIBE-; Ana apuntó a
un proyecto que les ha permitido ver una ‘fotografía’ reciente a este respecto, y que confirma la tendencia de que las grandes organizaciones tienen muy interiorizada la necesidad, mientras que a medida que su tamaño disminuye, también aminora de forma notable su concienciación en ciberseguridad. Así mismo Tomás destacó las dificultades de las micropymes, y la falta de cultura y formación en este ámbito como factores que acrecientan estas circunstancias.
Posteriormente los panelistas expusieron su experiencia respecto a la incorporación de ciberseguridad en la cadena de suministro. INCIBE indicó distintas iniciativas -tanto a nivel nacional como internacional- que promueven la madurez en este sentido con casos de uso específicos y experiencias al respecto en algunos sectores. Desde FACyL apuntaron a que las soluciones llave en mano sí tienen en cuanta estos requerimientos; y los servicios generales (en grandes empresas) también los contemplan. Tomás expuso que respecto a los servicios de cloud computing hay aún que trabajar para concienciar a los usuarios, y que estos sean más exigentes respecto a la ciberseguridad.
Para finalizar, cada panelista respondió a ciertas preguntas dirigidas y más especificas de su ámbito de actuación destacando: Tomas de la AEI Ciberseguridad ‘la demanda de ciberseguridad aún está despegando y respecto a las PYMES queda mucho trabajo por hacer’; Ana de FACyL: ‘Las grandes empresas prefieren que la ciberseguridad sea cubierta con recursos internos (debido a la fuerte integración de la misma en sus procesos internos), mientras que las PYMES requieren asesoramiento externo al no poder abarcar este ámbito con su personal propio’; Enrique de INCIBE: ‘Desde mi organización se han gestionado más de 107.000 incidentes el año pasado, destacando malware, fraude y sistemas vulnerables. La exposición incontrolada de los sistemas es sin duda el mayor gap actualmente, y en Castilla y Leon destacan en este sentido (y en este orden) Valladolid, León, Burgos y Salamanca, como las provincias con mayor nivel de exposición de sus activos (industriales); probablemente en muchos de ellos con protocolos no seguros.
—
Presentación de como abordar la ciberseguridad en el Ciclo de Vida de un proyecto de Digitalización Industrial
José Valiente inicio su presentación mostrando el documento sobre ciberseguridad en el ciclo de vida de un proyecto de digitalización industrial que esta en proceso de desarrollo y que será publicado antes de final de año.
Anteriormente en 2018 se publicó el documento Ciberseguridad en el Ciclo de Vida de un proyecto de automatización industrial y ahora se trabaja en el documento sobre ciberseguridad en la digitalización de esta.
José Valiente, mediante dos ejemplos de proyectos de automatización industrial, explica las diferencias entre ambos documentos y la justificación de éste nuevo.
En el documento tiene un apartado que hablará del contexto industrial, transformación digital, Industria 4.0 y marcos de referencia. Por otro lado, podrán encontrar Las diferentes tecnologías, los diferentes actores de la industria, cumplimiento y normativas y las diferentes fases del ciclo de vida (Planificación y diseño, aprovisionamiento, ejecución, operación y mantenimiento)
Valiente, mostró la nueva plataforma RECIN con un ejemplo práctico, que permite modela proyectos de automatización y digitalización industrial proporcionando recomendaciones de requisitos de ciberseguridad de un catalogo asequible que contempla el estándar IEC62443 para cada componente o grupo de componentes llamados zonas y conductos. Las zonas tendrán componente de sistemas y los conductos, componentes de comunicación para comunicar las zonas.
Su ponencia concluyó presentando un caso de uso de una planta hidroeléctrica y definiendo su arquitectura de zonas y conductos sobre los que estableció los requisitos de ciberseguridad.
—
Demostrador de proceso industrial portátil para pruebas de ciberseguridad
Gabriel Álvarez de la unidad de Eleven Paths comenzó destacando la Inauguración de C4IN Cybersecurity Center en León. En el Centro disponen de dos vertientes principales, la de investigación (I+D+i) en materia de ciberseguridad industrial y la parte SOC de operaciones deslocalizada para dotar al centro de mayor robustez. Destaco su ubicación en León, dada la abundancia de industria en la región. Se busca crear una red de partners con los que poder colaborar para impulsar la ciberseguridad industrial en la región y al resto de España.
Por su parte, Álvaro García, Área Manager en CIDAUT, fundación privada sin ánimo de lucro, reconocida como Centro Tecnológico, focalizando sus actividades en los sectores de Transporte y Energía, y trabajando en la digitalización y generación de conocimiento adaptativo con tecnologías en entornos de fabricación industrial (OT), presentó el demostrador de proceso industrial de ciberseguridad. Este demostrador simula un ataque de tipo exploit, mostrando tanto la parte de planta como la sala de control que gestiona el sistema SCADA, tiene como objetivo realizar un análisis avanzado con un entorno real para permitir que la información capturada facilite las defensas. Estas capacidades son ideales para PYMES o empresas de mayor tamaño que se enfrentan a este tipo de problemas.
—
Panel sobre el diseño vs respuesta a incidentes de ciberseguridad industrial
¿Cuáles considera que son medidas de ciberseguridad imprescindibles en el diseño de un proyecto de integración IT y OT?
Juan Manuel – Uno de los puntos importantes en cualquier proyecto de IT – OT es cómo se van a realizar las comunicaciones entre los dos mundos y con el exterior. Es imprescindible tener las comunicaciones controladas, filtradas, aseguradas y segmentadas. Evitar movimientos laterales OT – OT. Otra acción que destacar es la detección de los elementos críticos a proteger y por último la formación y concienciación.
Manuel – En un proyecto de integración IT – OT y partiendo de la existencia de una estrategia IT, permitirá elaborar un guion que regule y compense en todos los ámbitos los pilares básicos que hay declarados en esa estrategia. Manuel destacó que es importante no olvidar la parte de detección, al igual que vemos comportamientos anómalos en el área IT, es necesario ver lo que pasa con las máquinas también. Otro punto importante, es la resiliencia, la capacidad de recuperación sobre todo en la parte OT (Inventarios, backups, configuraciones seguras…) todo ello como pilar de respuesta o de evaluación.
Al final la función que intentamos desempeñar es la de mitigar el mayor porcentaje de riesgo con las inversiones adecuadas.
¿Cuáles son los ciberincidentes que más le preocupan en un entorno OT? ¿Considera más importante protegerse y prevenir los incidentes o prepararse para darles respuesta si se producen?
Manuel – El ciber delito está claro que es un negocio rentable y por ello es una de las mayores amenazas, concretamente el ransomware es el más preocupante hoy en día.
Juan Manuel – La mayor preocupación en el ámbito OT, es que la línea siga produciendo, la disponibilidad de los procesos. Juan Manuel también coincide que la mayor preocupación, actualmente, es el ransomware y que pueda llegar a la línea de producción provocando una parada en producción. Todo ataque externo preocupa, por el desconocimiento que pueda haber sobre el mismo, aunque no es el único, también aquellos que puedan ocurrir a nivel interno como puede ser una mala configuración, un backup corrupto…
¿Qué capacidades de ciberseguridad deberían tener los proveedores de la cadena de suministro en un nuevo proyecto OT? ¿Qué capacidades de ciberseguridad deberían tener los proveedores de mantenimiento OT?
Manuel – Como capacidad básica, aquél que pone en marcha una línea de producción, no solo tiene que estar formado en la tecnología que maneja, sino demostrar también que está acreditado para la utilización de dicha tecnología y tiene conocimiento en protocolos o procedimientos de actuación sobre esos productos. Es deseable que el proveedor posea un sello de calidad, señaló Manuel.
Los proveedores de mantenimiento OT, debe tener una visión proactiva, hay que seguir los procesos, tener una monitorización continua de esos procesos.
Juan Manuel – El lenguaje del proveedor es muy importante, debe conocer ambos campos, IT y OT para poder realizar la integración y que traten la ciberseguridad como un proceso continuo, sobre el que realizar un seguimiento y no como algo puntual.
En el caso de los proveedores de mantenimiento es necesario que sepan administrar la seguridad, que no sea únicamente monitorizar un equipo concreto como puede ser un PLC, sino hay que dar soporte, monitorizarla, gestionarla según las necesidades del momento.