«Vamos a hacer visible lo invisible y asumir que vamos a ser atacados…» . Esta frase expresada por el experto Ayman Al-Issa en su ponencia podría resumir lo que han sido estos días de trabajo en el marco del Tercer Congreso de Ciberseguridad Industrial; durante una semana representantes del ecosistema han trabajado intensamente, han reflexionado, intercambiado opiniones, y presentado novedades y primicias sobre este tema del máximo interés, no solo para los especialistas reunidos, si no para la sociedad en general.
Reunir en un solo Congreso información táctica internacional aplicable en el día a día, recomendaciones estratégicas que faciliten los planes a medio y largo plazo y atisbar algunas de las soluciones que están llegando a este mercado solo es posible con un ecosistema comprometido como el que se ha reunido estos días.
Quizá lo que mejor puede resumir lo que se ha hablado es una frase comentada «Make the Invisible, Visible», ya que la conclusión (y es muy difícil organizar un evento que se pueda cerrar con una conclusión) es que es necesaria la concienciación, la colaboración y la inclusión de la Ciberseguridad Industrial como un tema a tener en cuenta en los planes estratégicos de las organizaciones, así como empezar a hablar de seguridad integral, capaz de abarcar la seguridad de IT, la seguridad operacional o de OT y la física.
Por primera vez se constata (y contrasta con los expertos internacionales) una realidad: los problemas habituales de TI respecto a Seguridad como pueden ser la confidencialidad y la disponibilidad, se tornan a garantizar la disponibilidad y mejor aún, la seguridad e integridad del proceso industrial, ya que si es peligroso que los sistemas industriales no estén disponibles, mucho más lo es el que sin saberlo, puedan alterarse parámetros importantísimos como la temperatura, la entrada o salida de un determinado componente o los mecanismos de protección física de los operarios. Se da además la circunstancia de que entornos que en teoría están altamente automatizados y donde la intervención humana es mínima, basta un pequeño dispositivo para infectar toda la red como reveló el hacker internacional más conocido de sistemas SCADA, el Sr. Joel Langill.
Toda organización e individuo es susceptible de ser atacado tal como nos hizo ver Richard Steinnon en su ponencia «¿Qué no eres un objetivo? ¡Déjame Demostrarte que te equivocas!». Este mismo mensaje fue enfatizado y profundizado en las ponencias sucesivas de los expertos internacionales, tales como Chris Blask, Presidente de ICS-ISAC, quien hizo una llamada a la concienciación y colaboración en esta tarea como elemento esencial de la protección y la seguridad, del propio Joel Langill, quien nos hizo ver a los asistentes que para hacer frente a la cantidad de información con la que nos enfrentamos y los distintos tipos de incidentes es imprescindible añadir métodos innovadores que nos ayuden a entender el funcionamiento de los posibles ataques y por lo tanto prevenirlos.
Paulo R. Orozco, profesional de seguridad en Sistemas de Control en Ecopetrol ha presentado la evolución desde 2007 del plan de acción para proteger los sistemas industriales de Ecopetrol. Presento como factores clave la defensa en profundidad, donde la primera capa es IT, por ello desde OT se debe trabajar en colaboración con IT. Otros dos factores clave son el mínimo privilegio y el entrenamiento.
Por su parte Patrick Miller, presidente emérito de Energysec, a partir de dos sencillas premisas : los sistemas industriales no necesitan sofisticados métodos para ser atacados y los atacantes van por delante de nosotros, concienció a la audiencia, una vez más, de la importancia del factor humano en la prevención, ya que la mejor herramienta es una buena concienciación y actuación correcta cuando se da la circunstancia.
Una vez que se concienció a los asistentes sobre los riesgos del mundo de Ciberseguridad Industrial, que se presentaron algunas de las iniciativas que existen para hacer frente a estos ataques, y que se valoró la situación de la industria respecto a este tema, los proveedores participantes presentaron sus soluciones y planteamientos, todos ellos altamente innovadores.
Marc Blackmer, Director de Soluciones Industriales de CISCO, y promotor de la Seguridad en el nuevo campo del Internet de las Cosas hizo ver la dramática situación respecto a la necesidad de profesionales en este campo, ya que según los últimos estudios hacen falta alrededor de 1 millón de trabajadores en distintas áreas. Para poderse proteger es imprescindible colaborar.
David Prieto y Francisco Oteiza presentaron la solución específica que Telefónica ha desarrollado para el entorno industrial. Bajo el proyecto SINFONIER y la aplicación concreta de BAND se ofrece a las organizaciones cliente un servidor Web capaz de intercambiar información en tiempo real, recogiendo los protocolos actualmente existentes en este campo como MODBUS con la posibilidad de añadir nuevos protocolos a medida que aparezcan.
Evgeny Goncharov, Responsable de Soluciones de Seguridad ICS en Kaspersky Lab, comentó como la principal diferencia en este campo es conocer la naturaleza de lo que se quiere proteger, alertando incluso de las dificultades de sacrificar funcionalidades importantes en beneficio de la seguridad.
Ahora bien, ¿Cómo trabajamos juntos en la organización el área de TI, el área de operaciones, RRHH, el área financiera, la Alta Dirección, y todos los demás elementos de la organización si cada uno hablamos un idioma distinto? Claudio Caracciolo, coordinador del ecosistema del CCI en Argentina hizo una divertida presentación, en la que a partir de una colección de cuentos argentinos («La Carrera Interminable») en la que el lector elige el final, nos hizo ver a los asistentes que para colaborar es imprescindible entender las motivaciones del otro. Dada una determinada circunstancia todos estamos dispuestos a colaborar frente a una tarea y misión concretas.
Un tema tan candente e importante para el desarrollo de la sociedad como la Seguridad Industrial no puede estar completo sin la percepción de las Administraciones Públicas, que en el caso español incluye la Unión Europea, representada en su agencia ENISA, INTECO y el Centro Nacional de Protección de Infraestructuras Críticas.
La preocupación de ENISA es contar con profesionales suficientemente preparados para hacer frente a los posibles riesgos del mundo industrial para lo que es imprescindible contar con sistemas de certificación capaces de definir y determinar las habilidades necesarias en este campo.
La participación de Miguel Rego, Director General de INTECO, en la que presentó las actividades que este organismo perteneciente al Ministerio de Industria, hizo posible que los asistentes, sobre todo los internacionales, vieran como es posible la colaboración en este terreno a través de iniciativas como SCADA LAB, cuyo objetivo es medir la resilencia de los sistemas de control. INTECO ha establecido un sistema de Servicios de Alerta Temprana orientados al Sector Industrial, que hasta la fecha ha gestionado en torno a 1000 incidentes al año. Otro proyecto interesante igualmente mencionado y que va dirigido a conseguir la concienciación entre el público más joven es la organización del Cyber Camp, que tendrá lugar entre el 5 y 7 de Diciembre y que sigue actividades similares en otros sitios, como Estados Unidos.
Fernando Sánchez, Director del Centro Nacional de Protección de Infraestructuras Críticas, CNPIC, puso de manifiesto que no hay sector estanco ni aislado ya que cualquiera de ellos tienen incidencia y efecto sobre los otros. Se da además la circunstancia de que la Seguridad no se consideró al inicio de implantar sistemas de control industrial originando carencias importantes. Con el fin de garantizar la colaboración entre los distintos actores que pueden intervenir en la detección de un incidente se ha creado la Oficina de Coordinación Cibernética, que ha gestionado 70 incidentes de Ciberseguridad desde el pasado mes de Agosto.
Con un marco conceptual formado por 7 dominios comenzó su presentación Fernando Sevillano, Industrial Cybersecurity Manager de Logitek profundizando en el dominio de Acceso remoto para el cual presentó 10 recomendaciones.
Jorge Pasamón de PWC, habló de estrategía presentando su relación con la operación y un detallado ciclo de vida de la ciberseguridad industrial.
Uno de los temas más importantes debatidos no solo en el Congreso si no en los eventos anteriores y en las diversas oportunidades de relación con nuestros socios es el llamado «Diseño Seguro desde el principio» que presento David Grout, Director de Preventa SEUR en Intel Security-McAfee. Esto ha sido el principal impulsor para la compra de McAfee por Intel, creando la división INTEL Security. Intel trabaja en soluciones para la industria desde 2012. David Grout presentó también la necesidad de la colaboración para abordar la complejidad actual, en esta línea Intel Security ha sido empresa fundadora de la Cyber Threat Alliance, donde varios proveedores se unen para hacer frente a estas amenazas.
El proveedor de gateways unidireccionales en entornos industriales, Waterfall, alertó sobre dos de las más claras amenazas: las acciones de los estados extranjeros y los internos, que esperan su oportunidad para atacar. Los firewalls, aunque necesarios, presentan algunas dificultades, tales como la necesidad de especialización de su personal, la necesidad de conocer en profundidad la instalación para dotar a la herramienta de las políticas y reglas adecuadas, los múltiples administradores, etc. En este entorno se hace evidente la necesidad de dispositivos especializados tales como los gateways unidireccionles, que transfieren información en un solo sentido.
Filippo Cassani de Fortinet, presentó igualmente sus soluciones y las tendencias detectadas por su amplia red extendida por todo el mundo. Según esta, con un número incontrolado de dispositivos enlazados de alguna forma con la red, las amenazas están en claro aumento por lo que es imprescindible la colaboración entre todos los implicados en el tema.
Las consultoras igualmente tuvieron un papel primordial. Everis, GMV, Logitek , MNEMO y PWC presentaron desde sus diversos punto de vista el peso que esta disciplina está teniendo en sus organizaciones y en sus clientes.
Maria Pilar Torres de Everis presentó su proyecto CAMINO con una visión a largo plazo ya que plantea una serie de medidas sobre como hacer frente a lo que pueden ser los riesgos en ciberseguridad industrial en el año 2020. Este proyecto visionario se completa con otro muy necesario en este entorno como es el simulador de ciber ataques en entornos industriales, bajo el nombre del proyecto TACIT.
El interés de la presentación de MNEMO radicó en considerar la ciberseguridad industrial como un componente importante de su oferta de Buen Gobierno y gestión de riesgos contando con varios centros distribuidos en España e Iberoamérica.
El tema central de la presentación de Javier Zubieta, responsable de desarrollo de soluciones de seguridad en GMV, fue la seguridad integral. Presento Faro Corporativo, un sistema de gestión de seguridad, implantado en BBVA, donde se registra y explota toda la información de incidentes de seguridad.
Ayman Al-Issa cerro las ponencias del Congreso con una extraordinaría presentación basada en su larga experiencia en el campo de la protección de sistemas de automatización en procesos continuos del sector Gas y Petróleo, donde destacó la mportancia de la Ciberseguridad en el diseño, y la existencia de conflictos en la implementación de la Ciberseguridad.
Los eventos y actividades del Centro han establecido ya como una parte importante las mesas redondas que se celebran al final de cada sesión y que han permitido una intervención fresca entre los ponentes y asistentes. Cubriendo temas desde el impacto que los ciberataques pueden tener en la sociedad hasta temas visionarios sobre como pueden evolucionar los ataques y los dispositivos en los últimos años, al final hubo un claro mensaje: la Ciberseguridad pasa por una comunicación responsable de los incidentes y una involucración estrecha de la Dirección; solo asi es posible proteger nuestros más preciados activos que han dado lugar a la sociedad que conocemos hoy día.