En el marco del XX Encuentro de «La Voz de la Industria», celebrado el pasado 21 de septiembre en Valencia, el Centro de Ciberseguridad Industrial (CCI) presentó el documento «European Industrial Cybersecurity Regulatory Landscape«, que acumula una enumeración no exhaustiva de la actual legislación europea de aplicación al ecosistema industrial, que relaciona o puede relacionarse con la ciberseguridad en este ámbito. Para lo cual se han explorado una serie de marcos reguladores en los siguientes países: Bélgica (BE), Alemania (DE), España (ES), Francia (FR), Italia (IT), Países Bajos (NL), Portugal (PO), Rumania (RO), Turquía (TR) y el Reino Unido (UK). Con una mención especial a las implicaciones de la transposición de la directiva europea NIS para operadores de infraestructuras críticas y de servicios esenciales.
José Valiente, director del CCI, inició la jornada anunciando que el Centro cuenta con tres equipos de conocimento, «Infraestructuras Críticas Industriales», «Smart OT» y «EPC», a los cuales se sumará un nuevo equipo denominado «Compliance» cuya actividad se centrará en las implicaciones del compliance en la ciberseguridad industrial.
A continuación Miguel García-Menéndez, vicepresidente del CCI, presentó el documento «European Industrial Cybersecurity Regulatory Landscape«, y algunas normas o marcos regulatorios que han aparecido en Europa en los últimos años y que tienen una vinculación con la ciberseguridad. En primer lugar, el vicepresidente del CCI se refirió a la popularmente conocida como Directiva NIS, «cuyo principal objetivo es lograr un nivel alto y homogéneo de seguridad en las redes y sistemas de información de la Unión Europea». Igualmente, García-Menéndez hizo referencia al nuevo Reglamento Europeo de Protección de Datos, cuya trasposición al ámbito español debe materializarse antes del 25 de agosto de 2018. Y, por último, se refirió al bautizado como ICCF, que pretende convertirse en un marco de referencia articulado que especifique los principios, las actividades y los actores de una evaluación de componentes de una solución de automatización industrial. Entre otros organismos, en la elaboración del ICCF se han implicado el CCI, fabricantes industriales, como SIEMENS, certificadoras,y el Instituto Nacional de Ciberseguridad (Incibe) de España.
Sergio J. Fernández, analista de operaciones de CNPIC, presentó el CERT de Seguridad e Industria (CERTSI_), que por Acuerdo del Consejo Nacional de Ciberseguridad de 29 de mayo de 2015, es el CERT Nacional competente en la prevención, mi=gación y respuesta ante incidentes cibernéticos en el ámbito de las empresas, los ciudadanos y los operadores de infraestructuras críticas. Fernández, presentó algunos de los servicios más destacados del CERTSI, como el servicio ICARO para la detección preventiva, o los ciberejercicios. Terminó su exposición comentando la situación del grupo de trabajo de transposición de la directiva NIS, formado por MINETAD, CCN, DSN y MIR.
A continuación un representante del CNPIC, presentó el CCN-CERT, CERT Gubernamental/Nacional competente, así como algunos de sus principales servicios para la detección, análisis, auditoría e intercambio de información sensible, destacando de forma especial el servicio de alerta temprana, destacando sat-inet, de sondas internet y el reciente sat-ICS, específico para sistemas de control industrial, dentro del cual se inspeccionan protocolos y anomalías en los procesos industriales.
Nuria Andrés y Santiago Pérez, representando a Dimension Data, presentaron IoT y Cloud como habilitadores de la Industria Digital y Segura, mostrando su experiencia tecnológica en el Tour de Francia, y algunos de los principales riesgo en IoT, como la falta de perímetro o estandarización, pero también recomendaciones como las buenas prácticas en el desarrollo de código o los tests de seguridad.
Después fue el turno de los fabricantes de tecnologías de ciberseguridad. Comenzó Bosco Espinosa, representando a Kaspersky ,que mostró la necesidad de concienciación y asociación mutua de ingenieros, dirección de negocio y seguridad IT. Terminó con la presentación de «Kaspersky Industrial Cybersecurity» basado en soluciones y servicios para predecir, detectar, proteger y responder. Destacando los acuerdos con fabricantes industriales como Siemens, ABB o Schneider de sus soluciones.
A continuación David Galdrán, Security Engineer de Check Point que habló sobre la era de la transformación digital destacando el papel de conectividad con el cloud desde los dispositivos móviles. Mostró cuales son los vectores de ataque en una red OT y las mejores prácticas para su protección, destacando la segmentación, la protección frente a APTs y el uso de tecnologías especializadas.
El turno de fabricantes lo cerró David Fuertes, representando a Palo Alto Networks, su ponencia mostró una aproximación basada en la experiencia de casos recientes como Blackenergy o el caso Kemury, ataque a sistemas de tratamiento de agua. La solución propuesta está basada en Awareness, Segmentación y prevención, par lo cual presentó la solución TRAP que permite la detección de exploits, tanto conocidos, como desconocidos. Finalizó su presentación con la solución Autofocus que permite aplicar inteligencia en el cloud.
La mañana concluyó con una mesa de debate sobre » Marcos Normativos Internos y la relación IT-OT«, moderada por Oscar Bou, Coordinador de CCI en Valencia y Socio de Govertis. En dicha mesa participaron, Ignacio Álvarez, Director de Sensórica, Instrumentación y Comunicaciones Industriales en SIEMENS, Jorge Edo, representante de ISACA y Miguel García Menéndez, vicepresidente de CCI.
Con la tarde llegó un caso práctico . José Valiente, director del CCI, presentó la experiencia de evaluación del nivel de madurez en ciberseguridad de CAPSA FOOD. El director del CCI indicó que es importante evaluarse, ya que ello facilita llegar «hasta la mejora continua». Y como documento de ayuda para lograr dicho fin, hizo referencia a Herramienta de evaluación de madurez del proceso de ciberseguridad en organizaciones industriales, descargable a través de la página web del CCI y de aplicación general a cualquier organización industrial. Además, posibilita establecer comparaciones respecto a terceras entidades. Con un total de 122 objetivos, el documento, explicó Valiente, ya ha sido utilizado para evaluarse por empresas como la petrolera argentina YPF.
Aarón Flecha, consultor de seguridad ICS en S21Sec, hablo sobre ataques recientes, presentando de forma detallada «CrassOverride» al que calificó como uno de los ataques recientes más sofisticados y dirigido a ambientes industriales de sectores como el eléctrico. Tras presentar algunos de los principales vectores de ataque realizó una demostración práctica de un acceso aprovechando las debilidades del protocolo IEC 104. A continuación presentó algunas recomendaciones de defensa frente a estos ataques.
La jornada finalizó con la mesa debate «Exitos y Fracasos en la protección de Infraestructuras Críticas de Negocio», moderada por José Valiente y en la que tomaron parte Jose Fernánde Zapata, de Puerto de Valencia, Sergio J. Fernández, de CNPIC, Jose Luis Laguna, de Fortinet y Álvaro Sampedro, de Phoenix Contact.
21 de septiembre de 2017
Hotel TRYP VALENCIA OCEANIC (Carrer del Pintor Maella, 35, 46023, Valencia)