Los fallos en el software provocan más de un tercio de los accidentes en la industria química
La falta de planes de ciberseguridad, el desconocimiento de los niveles de seguridad de las instalaciones existentes y la falta de formación, entre los principales motivos que ponen en riesgo a la industria.
La jornada "Seguridad en la Industria 360 grados" impulsada por el Centro de Ciberseguridad Industrial constató que "el 35% de los accidentes en la industria química son por fallos en programas informáticos, el 30% por error humano y el 15% por fallos de hardware”. El encuentro, coorganizado por el CCI con el apoyo de Seguritecnia, Red Seguridad y Formación de Seguridad Laboral, confirmó la tendencia positiva en relación al avance de la adopción de sistemas seguros: “Por fin hay concienciación, hay presupuestos, hay percepción de desprotección frente a los ciberriesgos y una legislación que está empujando", comentó Javier Zubieta, Business Development manager for Information Security de GMV.
El experto recordó que las amenazas están siempre presentes. Solo dos ejemplos: el incidente de la botnet Mirai, que a finales del año pasado usó la fuerza de un millón de cámaras IP para bombardear a un proveedor de servicios, afectando a gigantes como Twitter o Amazon, o la campaña de virus ransomware que afectó recientemente la reputación de una de las principales compañías eléctricas españolas. "Es necesario elevar el nivel de la ciberseguridad industrial, así como el nivel de protección de la información", aseguró Zubieta, quien recordó que ahora mismo la ciberseguridad industrial adolece de "sistemas antiguos que no trabajan con las últimas versiones, donde el fabricante pesa mucho y el cliente no es autónomo para tomar decisiones".
En esa línea, Eduardo di Monte, director de Seguridad y Continuidad de Negocio del Grupo Agbar-Suez, recordó que ya existe ransomware para los dispositivos PLC. “En el mundo tecnológico es fácil solucionar los efectos de un ransomware que secuestra la información cifrando los archivos o configuraciones, en el entorno IT se formatea el disco y se recuperan las copias de seguridad, sin embargo, en el mundo de los sistemas de control no es tan fácil disponer de copias de seguridad de todos los dispositivos", explicó.
Ante este tipo de amenazas reales, el especialista de la empresa de servicios recomendó implementar una estrategia de prevención de riesgos basada en "realizar una consultoría de nuestra infraestructura, colocar sondas que nos permitan saber qué está pasando y, en caso de detectar algo anormal, implantar el sistema de protección adecuado según los datos recogidos por las sondas".
Di Monte alertó de que "en el mundo industrial no se puede aplicar el mismo modelo que en IT porque la tríada de seguridad, confidencialidad, integridad y disponibilidad tienen un orden de prioridad invertido, siendo la disponibilidad lo más relevante". A esta particularidad, se añade que el ciclo de vida de los equipos industriales es más larga, hay una gran cantidad y diversidad de fabricantes, protocolos, etc. y apenas hay estándares.
“Pocas empresas tienen a alguien que analice y gestione estos riesgos", explicó José Valiente, quien recomendó dotarse “sin dilación” de un responsable de ciberseguridad que tenga el apoyo de la dirección así como los recursos y conocimientos para gestionar este riesgo. Junto con ello, es indispensable "hacer un análisis de riesgos, rodearse de proveedores que sepan y tener preparado un plan de pruebas periódicas, un equipo de gestión de incidentes, acciones de concienciación y formación práctica, con amenazas y consecuencias del propio entorno".
La directiva europea
María Pilar Torres, directora del área Aeroespacial y Defensa en Everis, ahondó en la directiva europea NIS, que se aplica a los servicios esenciales y proveedores de servicios digitales. En España, al haber ya regulación y legislación sobre ciberseguridad en estos sectores, "será menos impactante que en otros países". Según la directiva, en mayo de 2018 los Estados deberán tener establecidas las sanciones y medidas, y en noviembre del mismo año todos los operadores críticos europeos deberán estar identificados.
Torres aportó un sencillo esquema para su aplicación en las empresas que crean que les aplica esta directiva. En primer lugar, hace falta preguntarse “¿Tengo un análisis de riesgos de mi infraestructura, con sus vulnerabilidades y dependencias?". A continuación, identificar la aplicación de las medidas de seguridad para cumplir la directiva, y por último, “intercambiar información, lecciones aprendidas, participar en ciberejercicios y en grupos de expertos, etc”.
