Las empresas del sector industrial son de las que más expuestas a los cambios que está produciendo la digitalización. La nube, la automatización, la robotización, Inteligencia Artificial, Internet de las Cosas o Big Data, son algunas de las tecnologías que están aportando su granito de arena a la denominada como Industria 4.0. ¿Pero que sucede con la seguridad? ¿Sobre todo aquella que se refiere a la OT y el IoT?
Para tratar este asunto, Byte TI, junto con Nozomi Networks y Honeywell Connected Enterprise, organizó un webinar que contó con la presencia de Antonio Fernandes, Cibersecurity Manager de FINSA; Agustín Valencia Gil-Ortega, Head of OT Global Cybersecurity en Iberdrola; Víctor Manuel Aguilar, Regional Director, Iberia & Turkey de Nozomi Networks; Cristina Zúñiga Arnaiz, Cyber Security Sales Representative at Honeywell Connected Enterprise; Gabriel Moliné, CISO de Leroy Merlin y Juan Manuel García, CISO de Cerealto Siro.
Antonio Fernandes, Cibersecurity Manager de FINSA, empresa dedicada a la transformación de la madera, aseguró que “hay mucha literatura sobre la seguridad en la parte IT pero la parte OT está más olvidada. La diferencia es que los ciclos en OT son más largos, arrastramos sistemas legacy por diferentes motivos. Una fábrica no para y es en las paradas obligatorias cuando hay que implementar determinadas medidas. Mientras tanto, tenemos que adaptarnos al este enjambre de IOTs que están apareciendo y adaptar procesos, tecnologías y formar a las personas”.
Por su parte, Agustín Valencia Gil-Ortega, Head of OT Global Cybersecurity en Iberdrola, explicó que la suya fue “una de las empresas que empezó a tener una división de OT. Tenemos negocio de generación, de distribución, de comercial, etc. La distribución es todo un ecosistema en el que la criticidad viene determinada por el lugar en el que están las plantas o los elementos necesarios para distribuir la electricidad. Además funcionamos con diferentes plantas, unas en las que hay que estar presente como en una central nuclear y otras que se gestionan en remoto como un parque eólico que está en medio del océano. Nosotros nos obligamos a tener resilencia para poder ser capaces de dejar cosas fuera de servicio y hacer que las medias de seguridad no cambien y las podemos ir mejorando. Además, al operar en diferentes países ni la gente tiene las mismas culturas ni regulaciones”.
En la ciberseguridad industrial hay mucha literatura sobre la seguridad en la parte IT pero la parte OT está más olvidada
Juan Manuel García, CISO de Cerealto Siro, una firma dedicada a la transformación de productos de cereal en alimentos con presencia en cinco países aseguró que su departamento “da soporte desde el área IT y al área de ciberseguridad industrial. Ésta última era una división con una estrategia diferente en el que el mundo OT estaba separado de IT, pero la Industria 4.0 nos obliga a entender a ambos mundos. Esto hizo que el área de ciberseguridad empezara a asumir también su gestión porque ya veíamos los riesgos que sufrimos en IT y que esos riesgos se podían replicar en OT. El paradigma de la máquina industrial aislada se ha perdido. Tenemos que tratar ahora con que esa máquina también puede sufrir ataques y tenemos que asegurar los procesos de esas máquinas. Ya no tiene sentido la separación entre OT e IT”.
Para Gabriel Moliné, CISO de Leroy Merlin, “en el mundo OT estamos sufriendo los mismos problemas que en IT pero con un volumen mayor y una consideración mayor. Hay que ver dónde están los riesgos porque tenemos muchos dispositivos que permiten la industria 4.0, no solo en la base sino en lo que está alrededor y eso incrementa los riesgos. Así que la pregunta está en donde se encuentra el OT y el IT para establecer una estrategia de ciberseguridad”.
La propuesta de Nozomi Networks
Fue Víctor Manuel Aguilar, Regional Director, Iberia & Turkey de Nozomi Networks el que explicó cuál es la propuesta que ofrece su compañía: “Ofrecemos la parte de tecnología para dar información sobre los dispositivos conectados tanto en IT como en OT y dotarles seguridad”. Tal y como explicó, la realidad actual se caracteriza porque “tenemos muchos dispositivos que empiezan a recolectar datos que se emplean para ser más competitivos con lo que la superficie de ataque pasa a ser responsabilidad de los departamentos de seguridad. Además son dispositivos que no están pensados para la seguridad. La forma en la que antiguamente se implementaban los protocolos eran muy abiertos lo que hace que tengan muchos problemas. Así que los retos es que no se sabe lo que hay conectado y tampoco la seguridad de la que constan esos dispositivos. Además se tiende a que el volumen de datos sea cada vez mayor lo que supone un reto para la ciberseguridad”.
Aguilar también explicó que tecnologías como 5G están haciendo que el volumen de datos vaya a crecer. La inversión se tiene que elevar porque hay que evaluar los costes sobre qué supone que tengas que parar una fábrica o un oleoducto para reorientar la estrategia de seguridad frente a sufrir un ataque. Unos ataques que van a ir en aumento, tanto que las aseguradoras empiezan a sacar seguros como ciberataques lo que indica la importancia que está teniendo la ciberseguridad”.
Cristina Zúñiga Arnaiz, Cyber Security Sales Representative at Honeywell Connected Enterprise afirmó que su empresa “lleva trabajando más de 15 años en el mundo de la ciberseguridad aunque en el mundo OT llevamos más de 100 años. El pasado año hicimos una alianza estratégica con Nozomi y una de las cosas que hacemos en el campo de la monitorización continua para afrontar los retos es que hemos construido la forma de solucionar algunos de estos retos. Entre ellos esta la reducción de la exposición de ataques, gestionar los riesgos y reducir la complejidad. El objetivo no es otro que tratar de que nuestras herramientas junto con Nozomi puedan identificar los riesgos que corren estos equipos de OT y que la gestión se haga de la forma más sencilla posible”.
Riesgos
Pero, ¿cuáles son los riesgos que se afrontan? Para Agustín Valencia, “los puntos de partida son diferentes dependiendo de la compañía. Nosotros damos cada vez más IoT incluso a los usuarios y, por ejemplo, lo que estamos viendo es que la forma de agregar todo ello, va con su propia nube. No es lo mismo controlar una puerta que 25. Si además le metemos la parte de IA, que no es algo malo, el problema es que la velocidad de adopción es tan grande que tenemos que aprender a controlarlo. Estamos hablando de riesgos asociados al control del perímetro y que interacción llevan con mi infraestructura y el uso que se le da a los datos externos”.
En lo que se refiere al uso de IA, Antonio Fernandes cree que “ a medida que se introducen más procesos, aumentan los riesgos. Estamos en un momento en el que apostamos por la digitalización y aparecen riesgos, que muchas veces son altos, pero que tienes que convertir en retos porque el negocio lo necesita. Así que tienes que asumirlo. Entre los nuevos riesgos y los nuevos escenarios aparece la manipulación de los datasheets para el análisis posterior. En un escenario futuro podemos ver que puede aparecer una disrupción de ataque además del ransomware”.
Para Gabriel Moliné “es importante que todo el mundo en la compañía asuma que hay riesgos. No nos podemos olvidar que la ciberseguridad es un elemento que alimenta al negocio también. En el departamento de ciberseguridad tenemos que estar convencidos de esto y asumirlo. No tenemos más remedio que abarcar soluciones que sean ágiles y que nos digan si podemos asumir riesgos o no”.
Por su parte, Juan Manuel García cree que “al introducir nuevos elementos se generan nuevos riesgos en lo que supone nuevas conectividades hacia un mundo inseguro como es Internet. Además aparecen nuevos procesos de equipos industriales que tienen que trabajar conjuntamente con elementos antiguos. Y es cierto que dependemos de negocio. El IT es un habilitador del negocio. Así que manejar los retos se ha de hacer de forma coordinada. Una de las cosas que aportan valor es que el equipo de OT tenga más fácil llamar a IT y que le diga como montar las conectividades de un determinado equipo, en vez de hacerlo él mismo asumiendo más riesgos. Si trabajamos de forma conjunta minimizamos los riesgos.
El problema de la madurez es otro de los factores que inciden en la ciberseguridad del mundo industrial. Para Víctor Manuel Aguilar, “este nivel no es muy grande todavía así que las industrias empiezan a dar pasos poco a poco y ven qué funciona. Desafortunadamente hay otras empresas para las que el problema es que no tienen recursos de personal, tiempo o dinero para llevar a cabo el proyecto y entonces deciden asumir el riesgo y posponerlo a cuando puedan. Tenemos que ser capaces de que los directivos vean los riesgos de tener una máquina o un elemento antiguo. Por otro lado, hay empresas que tienen una posición de ciberseguridad madura y ya tienen integradas diferentes soluciones. Algunas incluso son capaces de emplear más datos de la propia herramienta, porque la herramienta de Nozomi aporta muchos datos y les permite alimentar los algoritmos de IA, aunque es cierto, que estas empresas son las menos”
Finalmente, Cristina Zúñiga afirmó que las empresas “han de tener un programa de ciberseguridad focalizado. Que se sepa qué se quiere hacer y qué se quiere proteger. No se puede invertir dinero en TIC si no sabes cuáles son los procesos o las personas que trabajan en una planta. Esto no es como poner un firewall. Hay que crear un perfil de ciberseguridad para identificar los riesgos y determinar qué protección se quiere alcanzar. Una vez que se ha identificado esto hay que planificar la ruta de los pasos que hay que ir dando poco a poco”.
