El ecosistema de CCI comparte experiencias en la exitosa Jornada "Seguridad en la Industria 360 grados" celebrada en Barcelona

El ecosistema de CCI comparte experiencias en la exitosa Jornada 29 de marzo 2017

Los fallos en el software industrial provocan más de un tercio de los accidentes en la industria química

Los profesionales de la industria reconocen en la Jornada 360º que están invirtiendo en ciberseguridad

"El 35% de los accidentes en la industria química son por fallos en programas informáticos, el 30% por error humano y el 15% por fallos de hardware", aseguró el director del Centro de Ciberseguridad Industrial (CCI), José Valiente, en la Jornada de Seguridad en la Industria 360º, que han organizado las revistas Seguritecnia, Red Seguridad y Formación de Seguridad Laboral y el CCI y que se ha celebrado en Barcelona los días 29 y 30 de marzo. Uno de los paneles de la jornada se dedicó a la ciberseguridad, lo que demuestra su importancia cada vez mayor en la industria.

"Por fin hay concienciación, hay presupuestos, hay percepción de desprotección frente a los ciberriesgos y una legislación que está empujando", así resumía Javier Zubieta, Business Development Manager for Information Security de GMV, el empuje que está cogiendo la ciberseguridad en la llamada Industria 4.0.

Zubieta realizó una clara exposición de los riesgos que conlleva este acceso de la industria a Internet con ejemplos como la botnet Mirai, que a finales del año pasado usó la fuerza de un millón de cámaras IP para bombardear a un proveedor de servicios, afectando a gigantes como Twitter o Amazon, o la campaña de virus ransomware que afectó recientemente la reputación de una de las principales compañías eléctricas españolas.

"Es necesario elevar el nivel de la ciberseguridad industrial, así como el nivel de protección de la información", aseguró Zubieta, quien recordó que ahora mismo la ciberseguridad industrial adolece de "sistemas antiguos que no trabajan con las últimas versiones, donde el fabricante pesa mucho y el cliente no es autónomo para tomar decisiones".

Ya existe un ransomware para un dispositivo industrial

                  Eduardo di Monte, director de Seguridad y Continuidad de Negocio del Grupo Agbar/Suez, puso más ejemplos: "Ya ha aparecido una ransomware para los dispositivos PLC"(1). Estos dispositivos transforman una señal digital en respuesta física, para accionar una válvula o poner en marcha un motor. "En el mundo tecnológico es fácil solucionar los efectos de un ransomware que secuestra la información cifrando los archivos o configuraciones,  en el entorno IT se formatea el disco y se recuperan las copias de seguridad, pero en el mundo de los sistemas de control no es tan fácil disponer de copias de seguridad de todos los dispositivos", explicó.

José Valiente compartió un ejemplo ficticio, aunque basado en hechos y consecuencias reales. El caso de uso explicado aconteció en una planta de extracción y en una de tratamiento petroquímico (Oil&Gas) de Argentina, cuya construcción costó 2.300 millones de dólares en 2013 y que da trabajo a 420 personas. La planta usaba tecnología HoneyWell y Yokogawa cuando acontecieron los hechos, en noviembre de 2016: dos paradas de emergencia en la torre de destilación fraccionada que obligaron a parar 9 y 12 días respectivamente, más un sobrellenado del tanque del gaseoducto, en diciembre.

En todos los casos los sistemas de seguridad no detectaron ni emitieron ninguna alerta. La empresa pidió ayuda al Centro de Ciberseguridad Industrial, que seleccionó a proveedores del ecosistema para que pudieran realizar un peritaje y diagnóstico, para concluir que la empresa había sido víctima de sabotaje: los "logs" demostraron que se habían modificado ficheros en determinadas consolas de supervisión en meses anteriores e incluso se había modificado un programa del sistema de seguridad. Además, un año antes de que sucedieran los incidentes tres estaciones del proveedor de soporte fueron comprometidas.

La importancia de tener un responsable de ciberseguridad

"Pocas empresas tienen a alguien que analice y gestione estos riesgos", explicó José Valiente, quien recomendó dotarse sin dilación de "un responsable de ciberseguridad que tenga el apoyo de la dirección así como los recursos y conocimiento para gestionar este riesgo", insistió también en la necesidad de "hacer un análisis de riesgos" y de "rodearnos de proveedores que saben", pero sobre todo "prepararnos, tener un plan de pruebas periódicas, un equipo de gestión de incidentes, un plan de concienciación y formación lo más práctico posible, con amenazas y consecuencias del propio entorno".

Eduardo di Monte ahondó en la necesidad de una estrategia de prevención de riesgos basada en "realizar una consultoría de nuestra infraestructura, colocar sondas que nos permitan saber qué está pasando y cuando hay algo anormal implantar el sistema de protección adecuado según los datos recogidos por las sondas".

Di Monte alertó de que "en el mundo industrial no se puede aplicar el mismo modelo que en IT porque la tríada de seguridad, confidencialidad, integridad y disponibilidad tienen un orden de prioridad invertido, siendo la disponibilidad lo más importante". Además, destacó el experto de AGBAR, que el ciclo de vida de los equipos industriales es más larga, hay una gran cantidad y diversidad de fabricantes, protocolos, etc y apenas hay estándares. 

La directiva europea

Por último, María Pilar Torres, directora del área Aeroespacial y Defensa en Everis, habló de la directiva europea NIS, que se aplica a los servicios esenciales y proveedores de servicios digitales. Torres aseguró que en España, al haber ya regulación y legislación sobre ciberseguridad en estos sectores, "será menos impactante que en otros países". Según la directiva, en mayo de 2018 los estados deberán tener establecidas las sanciones y medidas, y en noviembre del mismo año todos los operadores críticos europeos deberán estar identificados.

Torres aportó un sencillo esquema para su aplicación en las empresas que crean que les aplica esta directiva. Primero: "¿Tengo un análisis de riesgos de mi infraestructura, con sus vulnerabilidades y dependencias?". Segundo: "Aplicación de las medidas de seguridad para cumplir la directiva". Y, por último: "Intercambiar información, lecciones aprendidas, participar en ciberejercicios y en grupos de expertos, etc".