Tras el sobresaliente éxito que tuvo el VII Congreso Internacional de Ciberseguridad Industrial [4.0], realizado en Madrid los días 5 y 6 de Octubre, me gustaría poder apuntar algunas de las principales conclusiones de este encuentro de Resiliencia Industrial.
Más de una veintena de grande expertos en materia de Ciberseguridad y Resiliencia del sector industrial, se han dado cita en Madrid para poner en común la actualidad de la protección de las Infraestructuras Críticas (en adelante IC), así como sus inquietudes y peticiones, en muchos casos compartidas, con el resto de los profesionales.
Regulaciones y normativas
Parece lógico pensar que dada la reciente Directiva (UE) 2016/1148, del parlamento europeo y del consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, del 6 de julio de este año, vaya a mover el sector gubernamental y alinear el comportamiento de los estados miembros entorno al cumplimiento de la misma.
Al mismo tiempo ENISA, en su labora de mejorar la Ciberseguridad sobre los más de 500 Millones de ciudadanos que componen la Unión Europea, ha desarrollado varios estudios y normativas, más de 50 al año, que pretenden cubrir todo el espectro de la Ciberseguridad. Uno de sus últimos estudios publicados, precisamente sobre los SCADA, tienen como objetivo reducir la exposición de estos sistemas a los ataques a los que se ven sometidos. Se calcula que habrá más de 3.000.000.000 de componentes de este tipo en 2020.
Organizaciones como BSI están sacando y aportando también estándares que ayudarán en la protección de los sistemas de las organizaciones.
Una directiva y varias formas de ponerla en marcha
Lo realmente curioso es la forma que tienen los diferentes estados a la hora de entender cómo deben de implantar la normativa. Representantes de Francia, España y Alemania hablaron sobre sus similitudes y diferencias a la hora de implantarla.
Uno de los puntos comunes entre todos los ponentes fue la firme creencia de que la situación de riesgo es una realidad, y la vulnerabilidad de los sistemas es una de las principales preocupaciones de todos los gobiernos. Pensamos que estamos en la Industria 4.0, pero no es cierto, vamos hacia allí, pero todavía queda mucho por andar.
Las necesidades son muchas, tanto de recursos como de personal, y los fondos escasos para tan ingente tarea. Los sectores que abordan son muy parecidos en su globalidad, atendiendo a diferentes nombres, pero representando los mismos sectores.
El grado de involucración y definición de los sectores son parecidos, pero no se han seguido protocolos para tratar las problemáticas de un sector concreto, por parte de Europa. Por ejemplo, Alemania tratará sectores ya tratados en España con anterioridad. Este hecho me plantea algunas dudas, porque si requerimos de una respuesta global, el tratar cada sector de forma conjunta, a nivel europeo, haría menos costoso y más efectivo el estudio, que tratar el mismo sector de forma individual por cada país. No debería de ser muy dispar el cómo se trata el sector del agua en un país que en otro, por poner un ejemplo.
Estructura y Organización de los estados
La situación que cada gobierno de a las agencias para la protección de las infraestructuras, también será clave para la correcta interpretación de las necesidades del sector, así como para una adecuada actuación sobre cada una de las IC.
La forma de actuación estándar suele basarse en:
- La definición de políticas y procedimientos.
- La notificación de los incidentes
- Las auditorías e inspecciones que puedan llegar a realizar
- La toma del control de la IC en caso de necesidad, como es el caso de Francia.
CERTs básicos para el apoyo a las IC
Cada país crea sus propios Computer Emergency Response Team (CETS) para el control y análisis de la información. Y ese suele ser el principal problema de todos ellos, que información tienen que analizar para no morir en análisis y poder tener suficiente información para ayudar a los sectores en su defensa contra los cibercriminales de cualquier signo.
Pero si damos un vistazo a los CERTs existentes, a lo mejor entendemos mejor el problema de la información. Quizás sea necesario hacer un único CERT Europeo que gestione los CERTs de los estados miembros, para que ordenen la información de los diferentes CERTs existentes en cada país, que aglutinan la información de los CERTs que tiene cada organización. Mejor nos tomamos un CERTS para ir pensando cómo solucionar este tema 🙂
Un protocolo que los gobierne a todos
O eso es lo que ocurrirá dentro de unos años, cuando todos los fabricantes, de componentes HW y SW, desarrollen plataformas para el control de los sistemas, se hayan “pegado”, comercialmente hablando, en cuál de sus soluciones haya sido la ganadora y arrastre el mercado.
En cualquier caso, ya sea el fabricante del componente o el de los aplicativos, el verdadero problema será el SW desarrollado. Uno de los verdaderos puntos a tratar será la fortaleza del código generado para evitar las innumerables vulnerabilidades que están hoy en día este tipo de activos.
Integración sí… pero separada
Todo el mundo habla de integrar, de relacionarse, de trabajar de forma conjunta, pero como dice el humorista… Hoy No, ¡Mañana! Esta ha sido mi conclusión después de oír a proveedores de IT y de OT, así como a las empresas, donde el valor fundamental que aporta la seguridad al entorno industrial es la Disponibilidad. Disponibilidad que nadie quiere ver mermada por una inadecuada integración, y dónde si el mayor problema es que no haga un backup de una máquina, cuya configuración no va a cambiar mientras dure el robot que opera… “pues que tampoco es tan importante, se va al robot cuando se quiera actualizar el backup y listo”.
La seguridad en el entorno Industrial se basa en garantizar la disponibilidad
Hasta ahora los mejores controles de seguridad son la separación, y la sensación del sector es que, pese a que empiezan a existir soluciones en este sentido, muchas veces en lo que más se confía es en no confiar mucho en las integraciones.
El problema aparece cuando el mercado, el entorno y la propia necesidad de la empresa nos empuja a conectar el mundo de la IT y el de la OT. Hoy ya es mañana.
La Resiliencia Industrial. Se vende aire
Ya no se compran fotocopiadoras, ni compresores, etc. Ahora se compran fotocopias, aire comprimido, etc. Si cambia el modelo de empresa, deberá de cambiar la industria, o eso parece. Luego el modelo de organización que supere este cambio deberá de estar basado en procesos que permitan a la Organización ser resiliente frente al nuevo modelo. La resiliencia, parece ser la Piedra Rosetta que permita entender el cambio que necesita toda organización para adecuarse a los tiempos que ya han llegado.
El riesgo: mejor evaluarlo que sufrirlo
La valoración del riesgo es uno de los puntos de partida más importantes. La asunción del riesgo dicta el tiempo máximo de parada de la fábrica. Con ese dato se deben de dimensionar todas las herramientas y así saber qué medios hay que poner en la Organización.
Cualquier proyecto de implantación de un plan de seguridad en una Organización, debe de dejar implantado el proceso de seguridad correspondiente. Sin un proceso estable de seguridad, no habrá seguridad.
A veces el hombre más pobre deja a sus hijos la herencia más rica
Esta es la herencia que todos los responsables de seguridad de las empresas actuales, en los últimos 20 años, dejan a los responsables de seguridad, de las mismas empresas actuales, para los próximos 20 años:
No hagas lo mismo que nosotros. 😉
Gran parte de los problemas que está teniendo la OT se centra en que está siguiendo los mismos pasos que siguió la IT en su día, y si haces siempre lo mismo, no esperes resultados diferentes.
Entender el proceso, analizar y saber qué dispositivos tengo y tener un diagrama de qué está conectado con qué, validar los protocolos, conocer la información de qué ocurre en la Organización, disponer de personas que sepan las preguntas oportunas en cada situación para encontrar las respuestas adecuadas, converger y en vez de divergir, poseer unos adecuados indicadores de ciberresiliencia y negocio, etc. Son sólo algunos ejemplos de cómo deberíamos de ser diferentes.
Por favor, dime si te ha gustado este artículo: