El Centro de Ciberseguridad Industrial celebró un evento el pasado 4 de mayo en el que reunió a expertos en ciberseguridad industrial y a clientes del sector. De salida, el principal atractivo era la presentación de su documento “Beneficios de la ciberseguridad para las organizaciones industriales”; que ha sido desarrollado en colaboración con el ITTI (Instituto de Tendencias en Tecnología e Innovación)
La inauguración del evento estuvo a cargo de José Valiente, presidente de CCI; quien presentó algunas novedades como la esperada publicación del documento antes mencionada, y la incorporación de nuevas delegaciones del CCI fuera de España como las de Bélgica y Turquía; así como los encuentros programados para lo que resta del año en distintas localizaciones (Argentina, Chile, Colombia, y Valencia).
Entre las noticias del centro, cabría destacar dos interesantes iniciativas:
A continuación intentaré resumir algunas de las ponencias que se fueron desarrollando a lo largo del día
Puesto que el documento era el protagonista del día, José Valiente inauguró la ronda de intervenciones presentando un resumen ejecutivo del mismo. Pero antes de entrar en detalle, dio las gracias a toda la gente que ha participado en su elaboración, incluyendo a los directivos del ecosistema industrial que han ofrecido sus testimonios; y quiso subrayar que el documento no ha sido escrito con el ánimo de asustar, sino por el contrario de “abrir los ojos”, es decir, de informar y de concienciar. A continuación el director del CCI indicó las principales conclusiones del documento, que resumo a continuación:
Tras la exposición de las principales características del documento, Miguel García-Menéndez de CCI moderó un debate sobre sus contenidos; en el que participaron Ignacio Álvarez de Siemens, Manuel Palao de ITTi, y Antonio Rodríguez de Air Liquide. Los tres expertos, han participado en la elaboración del documento, ya sea como redactores, correctores, o facilitando el acceso el acceso al segmento directivo.
El representante de Siemens explicó cómo abordan la ciberseguridad en sus proyectos. En primer lugar, desde hace unos años en sus eventos intentan concienciar a la alta dirección de sus clientes sobre la necesidad de proteger sus activos industriales. Además, aunque la ciberseguridad no sea un requisito, siempre la añaden como anexo en sus propuestas de proyectos industriales. Ignacio Álvarez afirmaba que “La digitalización sin ciberseguridad no es posible. Hay que tener garantía de que los datos son correctos y no han sido vulnerados”
Antonio Rodríguez comentó que la tarea de introducir la ciberseguridad en la empresa Air Liquide no ha sido fácil. Poco a poco se va creando una cultura en este sentido gracias al análisis de riesgos, y a la introducción de requisitos de ciberseguridad en los proyectos. En esta línea han lanzado un proyecto a nivel europeo para la ejecución de una evaluación de seguridad de las plantas de producción de gas; cuyos resultados servirán como base para la creación políticas y procedimientos de seguridad.
Otro asunto sobre la seguridad informática es el concepto que la organización tiene sobre su propia relevancia como objetivo de un ciberataque. En la mayoría de las ocasiones cuando a alguien se le pregunta si su empresa podría ser candidata a un ataque informático, a menudo consideran esta posibilidad muy lejana. Sin embargo hay que tener en cuenta que la amenaza no sólo procede de fuera, sino también puede llegar desde dentro, tanto de los empleados, como desde una vulnerabilidad de la plataforma tecnológica.
Manuel Palao aportó su punto de vista acerca de un aspecto interesante sobre la ciberseguridad: La responsabilidad. Es cierto que en las empresas que se están iniciando en la cultura de la ciberseguridad, la responsabilidad se diluye. En principio no hay responsables definidos, y puesto que es un asunto desconocido, se suele apuntar a otros departamentos cuando alguien pregunta. Pero como indicaba Manuel, “la responsabilidad de la ciberseguridad es de todos“; es decir, de cada uno de los empleados de la organización. Manuel argumentaba que puesto que la dirección de la empresa es la responsable administrativa y penal, tiene sentido que también lo sea de la ciberseguridad; incluso también debiera asumir la responsabilidad jurídica ayudada por la gran cantidad de evidencias que se pueden recoger de los sistemas de TI actuales.
En este contexto de organizaciones con poca experiencia en ciberseguridad, Manolo Palao también señaló la dificultad de comunicación existente entre la dirección de las compañías y los Directores de Seguridad (CISO). Este tipo de perfiles no suelen hablar el mismo “idioma”; aunque bien es cierto que la adopción de regulaciones hace que se acerquen posturas, y sobre todo dan confianza.
Continuó la jornada con una ponencia de Miguel García-Menéndez en la que hacía una reflexión sobre los diferentes roles del consejo de administración y del director general en lo que se refiere a la ciberseguridad industrial.
Aunque históricamente los asuntos tecnológicos no han estado entre las prioridades de los consejos de administración, esta situación va cambiando poco a poco debido a la elevación de la tecnología al rango de activo clave para la organización; sobre todo ante la tendencia de la transformación digital de la industria, o lo que se conoce con el término de Industria 4.0. En este escenario, el consejo de administración debe fijar el rumbo de dicho proceso de digitalización, y también debe supervisar el rendimiento teniendo en cuenta el riesgo tecnológico; para lo cual debe comprender la ciberseguridad industrial.
Por otro lado, el papel del director general de la organización es el de la definición y ejecución de la estrategia de ciberseguridad; además es el responsable último de cualquier incidente que se produzca. La estrategia de ciberseguridad debe formar parte de la estrategia corporativa ya que el resultado de un incidente puede afectar de manera muy grave a la continuidad del negocio. Al director general, y dado su rol de responsable de ciberseguridad, se le requiere que preste la debida atención a este tema y que actúe con la debida diligencia.
La principal meta de una compañía no debe ser ganar dinero, sino su perdurabilidad en el tiempo. La razón es muy simple: si no hay empresa, no hay dinero. De aquí la importancia de tener en cuenta todos los riesgos, incluido el de ciberseguridad. La buena noticia es que éste no es el peor de los riesgos; sino que el peligro principal es el de no conocerlo y abordarlo. Una gestión de riesgo cibernético adecuada puede servir como freno, en el sentido de que puede ayudar reducir la pérdida potencial de beneficios. Se debe tener en cuenta que un incidente puede hacer bajar la cotización en bolsa de una compañía, e incluso forzar la dimisión del presidente.
La necesidad de gestión del riesgo justifica la existencia del departamento de ciberseguridad diferenciado de los equipos de Tecnologías de Información, y de Tecnologías de Operación; y su cometido debe ser el de vigilar la seguridad de ambas tecnologías.
Oscar Bou Bou, socio de Govertis , presentó su visión de cómo gestionar el riesgo en el entorno industrial con la ayuda de la herramienta SandaS GRC; solución que se comercializa también a través de un acuerdo con Telefónica.
La metodología que propone Govertis es abordar el gobierno de la ciberseguridad industrial con una estrategia global que protega los 4 niveles de operación. El sistema de gestión debe permitir la integración vertical a lo largo de los niveles de operación; y una integración horizontal entre las distintas plantas de fabricación y con la cadena de suministro.
Oscar Bou Bou subrayó la diferencia de necesidades en materia de ciberseguridad de los distintos sectores de la industria; tanto por la propia naturaleza de sus procesos, como por las regulaciones a las que están sujetas. En este sentido hizo hincapié en la criticidad del factor geográfico en las organizaciones de distribución, como son las empresas de canalización energética, las de tratamiento de aguas, y los sistemas logísticos.
SandsaS es una herramienta que facilita la implantación y gestión de un sistema de gestión de la ciberseguridad en el entorno industrial (IACS-SMS); el cual se puede esquematizar en los siguientes pasos:
En definitiva SandaS es una herrmienta que facilita la identificación de los proyectos clave para la ciberseguridad, y su seguimiento en un proceso iterativo de mejora continua. Es una herramienta dirigida principalmente a los perfiles de gestión de la ciberseguridad; pero al mismo tiempo aporta evidencias para el equipo de respuesta a incidentes.
El experto en ciberseguridad Loïc Guezo inició su intervención mostrando algunos ejemplos de amenazas en el sector industrial. Puso de manifiesto la existencia de conexiones inseguras a Internet de una gran cantidad de dispositivos industriales; las cuales pueden encontrarse con el buscador Shodan. Y por otro lado, habló de algunas vulnerabilidades de los robots industriales que podrían llegar a ocasionar fallos en la línea de producción de una fábrica. Según Trend Micro las amenazas más importantes en el entorno IoT son el ransomware, el hacking, y los ataques de denegación de servicio distribuidos.
Trend Micro dispone de una estrategia para abordar los riesgos cibernéticos en general en el Internet of Things; que ha sido definida con el término 3×3, y que se puede resumir de la siguiente forma:
En el caso concreto de la industria inteligente, Trend Micro tiene soluciones para cubrir las tres fases de un plan de seguridad, como son la prevención, la detección y la respuesta.
A nivel de pasarela de red propone la herramienta de Tipping Point para prevención, y Deep Discovery para detección. En los equipos de las redes de control y redes DMZ de entornos críticos Trend Micro plantea la solución Safe Lock con gestión de listas blancas de aplicaciones y control de dispositivos USB; que se complementa con Portable Security para el análisis de malware desde un dispositivo USB. Para entornos no-críticos, donde si se permite conexión a Internet que facilite la actualización de firmas, se recomienda Deep Security como solución antimalware, prevención de intrusiones y cortafuegos. Y por último, para proteger la información que se transporta en los dispositivos USB, se ofrece USB Security.
Enrique Domínguez, director de estrategia de Innotec, hizo una introducción de la compañía, que se ha unido recientemente al ecosistema de CCI. Innotec es una de las primeras compañías españolas que focalizó su negocio en la seguridad informática; por lo que es una referencia en el sector. Fue creada en 2002; y desde hace 6 años es parte de la multinacional Entelgy.
En su turno de palabra, David Marco se encargó de la parte técnica de la presentación. En primer lugar habló del crecimiento exponencial del número de ciberincidentes de los últimos años detectados por el CCN-CERT; y destacó que en el futuro el tipo de incidentes más numeroso se espera que sea el relacionado con la extorsión.
Con objeto de ir introduciéndonos en el concepto de Plan de Respuesta a Incidentes, David Marco apuntó algunas preguntas que los responsables de seguridad se deben hacer; y que resumo a continuación:
Con toda la información obtenida a partir de estas repuestas, Innotec aconseja la creación de un plan de respuesta a incidentes que desarrolle los siguientes aspectos:
La última sesión de la mañana fue un debate moderado por Susana Alonso perteneciente al equipo de dirección de CCI; y en el que participaron Antonio Rodríguez, de Air Liquide; Jesús Mérida, de Técnicas Reunidas; Juan Mataix, de Palo Alto Networks, y Eusebio Nieva, de Check Point.
La idea que se puso sobre la mesa fue la complejidad e incertidumbre de la situación actual que están viviendo las organizaciones con la transformación digital de sus procesos de negocio. En este contexto VUCA (Volatility, Uncertainty, Complexity, Ambiguity), Susana lanzó la siguiente pregunta a la mesa ¿Cuáles son las claves del éxito para realizar la transición de la antigua industria a la nueva industria digitalizada? A la cual, los miembros de la mesa respondieron aportando aspectos tan relevantes como:
La siguiente pregunta fue acerca de las barreras o limitaciones con las que las empresas se tropiezan para afrontar la transformación digital. En esta ocasión los expertos añadieron aspectos interesantes:
En este sentido los expertos recomendaron algunas acciones para facilitar la digitalización, tales como responsabilizar a la dirección del proceso, y desarrollar un plan.
Para concluir el debate los participantes dieron su opinión sobre las prioridades que deben afrontar las organizaciones para reducir los riesgos. Las cuales se pueden resumir en los siguientes puntos:
Esta ponencia comenzó con la intervención Edorta Echave del Grupo CMC, quien expuso de forma clara las amenazas que encuentran habitualmente en sus clientes, y el planteamiento de su organización en los proyectos de ciberseguridad industrial.
En cuanto a las amenazas más comunes que observa en el sector industrial destacó la antigüedad del equipamiento, las escasas medidas de seguridad adoptadas, la ausencia de actualizaciones, y el aumento de la sofisticación de los ataques. Haciendo referencia a los ataques, Edorta Echave comentó la aparición de la primera primera PoC de un Ransomware para PLC que se hizo pública el pasado febrero.
Desde el Grupo CMC plantean los proyectos de ciberseguridad industrial con una metodología bien definida que se basa en los siguientes puntos:
De entre los partners con los que trabaja CMC, se hizo alusión por una parte a Siemens porque incorpora la seguridad integrada en sus PLCs en tres áreas: protección anti-copia del programa, de acceso al controlador, y de manipulación de los datos. Y en segundo lugar a Fortinet como proveedor de la herramienta FortiSiem; la cual facilita la monitorización de la seguridad y de la disponibilidad de los sistemas, así como el descubrimiento de infraestructura y la gestión de cambios de configuración.
Como colofón de la charla, José Luis Laguna, director Técnico de Fortinet hizo una demostración práctica de cómo detectar la presencia de un atacante en la red de control y rechazar sus conexiones.
El escenario del ataque estaba compuesto de un equipo con la distribución de seguridad Moki (Kali adaptado al entorno industrial), con el que el atacante realizaba la ofensiva: un escaneo de información de los sistemas PLC que encontraba en la red. Por otro lado, la parte defensiva estaba compuesta por las soluciones FortiGate y FortiSiem. La primera estaba configurada en modo detección; y durante la demostración descubrió el escaneo del atacante, pasando un evento al FortiSiem, quien fue el encargado de rechazar (bannear) la dirección IP del supuesto cibercriminal.
Un marco muy interesante donde aplicar la ciberseguridad por su relación con la seguridad física y la posibilidad de daños al medio ambiente es precisamente la seguridad de procesos industriales.
Los negocios de petróleo, gas, y nuclear, entre otros, emplean procesos peligrosos o gestionan inventarios de materiales combustibles, explosivos o tóxicos; y por ello están sujetos a una regulación exigente como el Real Decreto 840/2015. Esta norma normaliza las medidas de control de riesgo de accidentes graves en los que intervengan sustancias peligrosas.
En este entorno afectado por numerosos riesgos, se observa que puede estar también presente el riesgo cibernético. En esta línea, José Valiente describió un ejemplo de ataque a una corporación de distribución ficticia de gas y petróleo.
La infraestructura del operador consta de una planta de extracción más una planta de tratamiento del producto. La planta de extracción dispone de sistemas DCS en la automatización de proceso. Además en ambas plantas existen varios sistemas instrumentados de seguridad (SIS); que constituyen uno de los elementos críticos que podrían ser objetivo de un acceso con fines puesto que su función principal es mitigar el riesgo de accidente. En el ejemplo, se podrían vulnerar varios SIS mediante acceso a través de la red. Aunque los SIS estuvieran protegidos mediante segmentación de red, el atacante podría llegar a su objetivo; por lo que se recomienda la adquisición de cortafuegos que regulen la comunicación entre los distintos segmentos de red.
Desde el CCI, José Valiente propone una estrategia de ciberseguridad para este tipo de entornos basada en tres puntos clave:
En el momento de terminar este artículo estamos todavía impresionados por el ciberataque global del 12 de mayo. Es por ello que no me puedo resistir a hacer referencia a él; sobre todo porque es la prueba irrefutable de uno de los mensajes del documento presentado por el CCI. Me refiero a “El mito de la irrelevancia es una falacia”.
Desgraciadamente estamos asistiendo a una campaña cibernética cuyo alcance todavía no se puede evaluar porque desconocemos si todavía está activa, o pudiera tener réplicas; pero que sin lugar a dudas está sirviendo para que cada uno reflexione sobre su nivel de seguridad y su capacidad de respuesta ante una crisis.
En este contexto creo que se hace evidente también el título del evento “Beneficio de la ciberseguridad para las organizaciones industriales”; el cual se debería articular mediante distintos sistemas de gestión de la ciberseguridad como algunos de los que se nombraron a lo largo de la jornada: plan de seguridad, plan de continuidad del negocio, y plan de respuesta a incidentes.
Hasta la próxima !!!
Fuente de las imágenes: CCI, Innotec, Govertis, Grupo CMC