El Centro de Ciberseguridad Industrial (CCI) celebrará su XV Congreso Internacional de Ciberseguridad Industrial, en Europa, uno de los eventos de referencia y punto de encuentro para el intercambio de conocimiento y relaciones de todos los actores involucrados en este ámbito. Este año estará centrado en compartir experiencias de gran valor.
Conferencias del congreso
Experiencia abordando la ciberseguridad en un operador de infraestructuras críticas
Luciano Manfredi, Head of Cyber Security Advisory. Competent Authority at Ofgem y coordinador del CCI en Reino Unido comenzó abordando las amenazas y desafíos en el sector energético, destacando la importancia de la seguridad por encima de la disponibilidad, integridad y la confidencialidad. Indicó que uno de los desafíos principales son los activos heredados e infraestructura con más de 20 años y construidos en distintas épocas, en muchos casos, a lo que se suma el desconocimiento del inventario o la falta de ciberseguridad en el diseño.
Las principales prácticas que aplicamos en IT no se pueden aplicar en OT, y falta conocimiento de ciberseguridad en OT.
Luciano señaló que en las instalaciones de energía de Reino Unido cada vez hay menos segregación, hay más conectividad e interdependencia, lo cual incrementa el riesgo.
Terminó su exposición con las perspectivas a futuro indicando que nos deberíamos enfocar en lograr un sistema resiliente y flexible, que permita ayudar al negocio. Se debe pensar como la seguridad de forma conjunta, IT, OT e Ingeniería para desarrollar una estrategia y hoja de ruta para ayudar al negocio.
—
Experiencies designing secure IIoT architectures
María Taberna, Industrial IoT & Cybersecurity Director Global en OYLO nos introduce los conceptos de tecnología SOAR (Security Orchestration Automation and Response) en ambientes OT.
La automatización de algunas tareas técnicas repetitivas permite ahorrar mucho tiempo, pero sobre todo mejora la eficiencia de ciberseguridad.
María afirma que el riesgo de implementación de una tecnología de orquestación es bajo, equivalente a un inventariado de activos y el beneficio de esta tecnología es muy alto como se muestra en la imagen.
En un entorno OT cualquier implementación debe realizarse contemplando la disponibilidad y cualquier error puede desencadenar un impacto al negocio, por ello debe planificarse y diseñarse adecuadamente.
Finalmente, María presenta tres casos de uso de tareas automatizadas en entornos OT. Uno de ellos es la automatización de gestión de una alerta de malware desde un SIEM, mediante un workflow cuya lógica revisa firewalls, comprueba información en fuentes y plataformas, hasta la apertura de un tiket si fuera necesario.
—
Estrategias de Ciberseguridad apoyadas en Mitre ICS
David Marco y Susana Sánchez de Accenture Security junto a José Luis Laguna y Antonio Navarrete de Fortinet realizan una ponencia conjunta fruto del trabajo conjunto en múltiples proyectos de ciberseguridad en entornos OT.
David Marco, después de presentar las capacidades de Accenture señalando que la compañía cuenta con más de 250 profesionales de ciberseguridad industrial, destacando la existencia de OT Security Academy y dos cyber ranges, uno en Houston y otro en Bilbao donde se pueden probar tecnologías de clientes fuera de un entorno crítico. Apunta que estos últimos años se están publicando múltiples ataques que está incrementando la madurez en ciberseguridad de las organizaciones, pero no lo suficiente, y propone un modelo de gobernanza basado en un roadmap pero con enfoque en los proyectos prioritarios y en casos de uso basados en Mitre, que desde hace algunos meses dispone de una matriz específica para ICS y que es una fuente para establecer la estrategia de ciberseguridad.
Jose Luis Laguna, se centra en fuentes de calidad que desde Fortinet se pueden proporcionar, que no solo será información de seguridad, sino también información de servidores, bases de datos, switches o routers, incluso de sondas de red que analizan el tráfico industrial o el mismo proceso. Todo esto permitirá establecer una estrategia de defensa en profundidad en las infraestructuras industriales, analizando el comportamiento de las amenazas.
El SIEM es un elemento fundamental para analizar la información mediante técnicas avanzadas como machine learning, reduciendo el número de alertas para tomar acciones solo cuando son necesarias, en el caso de Fortinet esta capacidad se consigue con FortiSIEM y los NGFW, pero también señaló la evolución de las soluciones en el endpoint, explicando la tecnología EDR (Endpoint Detection and Response) que proporciona detectar las amenazas como por ejemplo el ransomwate y proteger el sistema antes de que se cifre la información. En la propuesta de Fortinet con una solución unificada de SOC+NOC para tener una visión conjunta de alertas y acciones automatizadas.
A continuación, Susana Sánchez y Antonio Navarrete realizaron una demostración.
—
Infraestructura personalizable para tracking de instalaciones y máquinas con ciberseguridad
Ramón Quirós, jefe de producto IMA en Phoenix Contact, presentó las características que debería tener un acceso remoto seguro y como la tecnología MGuard Secure cloud de Phoenix contact proporcina seguridad en más de 2000 clientes con un total de 18.000 máquinas conectadas que permiten un telemantenimiento seguro a través de la nube.
Entre las principales ventajas indicó que no se generan costes añadidos o licencia de uso, las conexiones remotas pueden estar abiertas 24h/7d, incorpora medidas adicionales de seguridad como OPC inspector o Modbus inspector y grandes posibilidades de conectar con software de terceros.
—
Threat hunting & Deception in Industrial setting
Enrique Domínguez, responsable de Estrategia y Ciberseguridad en Entelgy Innotec Security, profundizó en el concepto de threat hunting en entornos industriales que permitirá hacer más seguros estos ambientes mejorando los sistemas de protección, detección y respuesta, evolucionando la madurez de los procesos en estos 3 ámbitos, por ejemplo al evaluar la efectividad de las soluciones de seguridad que tenemos, identificando reglas de detección que puedan mejorarse o reduciendo los tiempos de respuesta en incidentes.
El threat hunting es un proceso de busca continua para detectar posibles amenazas que hayan pasado inadvertidas basándose en hipotesis, para lo cual en Innotec trabajan con dos tipos de campaña, una de búsqueda activa y otras basadas en trampas, llamado deception. Ambas, como se aprecia en la imagen, están basadas en las fuentes de threat intelligent y amenazas posibles.
Enrique también habla sobre los sistemas EDR (Endpoint Detection and Response) que proporcionan monitorización y análisis continuo de las estaciones y servidores proporcinando fuentes de información de seguridad muy importantes para la investigación al tener visibilidad y correlación que no siempre alimenta los SIEMs.
Terminó su ponencia hablando de Deception, que permite colocar señuelos para los atacantes, en su caso trabajan con plataformas de Counter Craft, que les permiten desplegar escenarios realistas en campañas de deception tanto en sistemas de la organización como en el cloud.
—
Incorporando la ciberseguridad en la transformación digital
Patrick Miller, coordinador de CCI en Estados Unidos, compartió desde su experiencia, cómo incorporar la ciberseguridad en la transformación digital, pero sin olvidar los adversarios a los que nos enfrentamos día a día.
Como humanos, estamos constantemente innovando, pero también nos encontramos con la desorganización al abarcar dicha innovación. Miller, expresó la cantidad de profesionales que se encuentran con la dificultosa tarea de incorporar IoT o IIoT sin ni siquiera tener la oportunidad de incorporar la ciberseguridad en dicha transformación. La innovación va siempre por delante de la incorporación de la ciberseguridad en los productos por lo tanto su recomendación a los profesionales es aceptar la situación y adaptarse a ella tal y como es.
La Convergencia, dejará de ser de dos mundos para convertirse en una “T”, únicamente tecnología, sin distinción alguna entre TI − OT.
Resaltó que toda aquella tecnología que pueda transmitir datos, y que nos proporcione información de los procesos, debe ir a algún sitio, y es ahí donde entra la transformación del negocio. Los datos son el negocio, los albergamos en la nube, por lo que hay que protegerlos y mantener una buena relación con nuestro proveedor para asegurarnos la protección de los mismos.
Patrick, finalizó desvelando la realización de dicha transformación desde organizaciones industriales aportando los siguientes puntos como parte clave para una digitalización segura:
Como nota final, señaló que la clave está en simplificar las tareas, es decir, antes de invertir el dinero enteramente en medidas de seguridad, es conveniente dominar cada herramienta e ir incorporando poco a poco las medidas de seguridad para evitar un escenario de caos. Al fin y al acabo, cuando se produzca un incidente, sea del tipo que sea, es necesario responder ante él y recuperarse lo antes posible.
—
Inventario de activos de ICS: no puede proteger lo que no conoce
Anton Shipulin, coordinador de CCI en Rusia e Industrial Cybersecurity Solution Business Lead en Kasperky, ha compartido la importancia de tener visibilidad al completo de la red y de los dispositivos disponibles para poder así protegernos y actuar rápidamente.
El balance de su ponencia sobre el inventario de activos abarco puntos tan importantes como:
Como conclusión señalo que Kaspersky dispone de las herramientas necesarias para ayudar en este laboriosa pero esencial tarea.
—
Experiencia en el uso de Blockchain y su aplicabilidad al sector industrial
Santiago de Diego investigador de Ciberseguridad y DLTs para Tecnalia, explicó cómo aplicar Blockchain mediante un caso de uso en el sector salud.
Primero puso en contexto el tipo de ataque exploit que se realiza en una de las sedes de la cadena de hospitales y explicó cómo evitar la propagación del mismo a las otras sedes existentes.
Santiago comparte su experiencia en el proyecto europeo en el que Tecnalia está tomando parte, llamado SPHINX y en el cual están invloucrados componentes hardware, dispositivos IoT y en el cual se lleva un registro de incidentes basados en blockchain. Esto tiene como funcionalidad el unificar todos los componentes involucrados como pueden ser una evaluación de riesgos o monitorización. Se trata de una solución altamente distribuida y la cual evita un punto de fallo único. La solución toca varios puntos como son las Ciberseguridad, Blockchain, IA, Salud e IoT.
A su vez, la solución consta de 5 requisitos de seguridad, que son la privacidad, disponibilidad, integridad, trazabilidad y control de acceso.
Para finalizar, Santiago mostró el modelo de arquitectura y las funcionalidades de la prueba de concepto anteriormente mencionada, además de la validación del caso de uso cuyo objetivo es compartir información de incidentes entre partes, permitiendo a un auditor comprobar el estado de los sistemas en tiempo real.
—
Ciberseguridad, protegiendo la productividad
Pedro Romero, Head of Digital and Cybersecurity Services − Siemens, abre su ponencia ofreciéndonos una breve introducción de cómo conectar digitalización con la parte de ciberseguridad.
Nos habla de la importancia actual de la digitalización como parte fundamental del crecimiento de las compañías. En la digitalización del mundo industrial, es pieza clave la conectividad y al mismo tiempo la mayor fuente del riesgo. Por ello, Pedro señala la importancia de tener una estrategia clara de Ciberseguridad para proteger la productividad, entendiendo la ciberseguridad como una condición previa para la digitalización.
No es posible tener un plan de digitalización si no tenemos previamente asociado un plan de ciberseguridad, y para conseguirlo, es muy importante contar con mecanismos de seguridad integrada y un pensamiento orientado a la ciberseguridad.
Pedro muestra como implementan el concepto de ciberseguridad en Siemens a través de su modelo en capas: Seguridad en la Planta (capa externa), Seguridad en la Red (capa media) e Integridad del Sistema (capa interna)
En la compañía entienden la ciberseguridad, al igual que sus proyectos de digitalización en 3 fases.
1ª Fase – Consultoría de seguridad: evaluación del estado actual de la seguridad de un entorno industrial.
2ª Fase – Implementación de la seguridad: Mitigación de riesgos aplicando medios de seguridad.
3ª Fase: Optimización de la seguridad: seguridad integral a través de servicios gestionados.
Pedro finaliza su intervención mostrándonos un caso práctico industrial en el que nos enseña como Siemens adecúa su portfolio para proteger una instalación.
—
Cyber risk modelling in the new era
Vladimir Dashchenko, VP Threat Intelligence en DeNEXUS, expuso el modelado de riesgos de ciberseguridad mediante una serie de cuestiones sobre este continuo problema en las organizaciones.
Señaló la falta de un buen enfoque a los riesgos en compañías industriales, la dificultad en calcular los riesgos o su cuantificación, así como las amenazas de la cadena de suministro.
Tras analizar los diferentes métodos de análisis de riesgos que actualmente se llevan a cabo, Dashchenko, explicó los avances que se pueden realizarse en este campo, como por ejemplo, la automatización de la evaluación ISA/IEC-62443 o la creación de una plataforma flexible adaptativa para ajustarse al panorama actual de amenazas en evolución y su comportamiento, el riesgo debe ser recalculado siempre.
Para saber que está sucediendo en las instalaciones, Vladimir propone tener la siguiente formula en cuenta: Estadísticas + inteligencia de amenazas + cadena de suministro + analítica predictiva. Todo ello para tener una foto más completa de lo que está sucediendo y poder así actuar más rápidamente ante cualquier adversidad.
Actualizar el perfil de amenazas de los clientes es clave y para ello es necesario aplicar inteligencia DNS, rastrear si alguno de los datos del cliente se utilizó en bases de datos filtradas o “Bonet Inetlligence”, esto es, rastrear la actividad maliciosa e identificar si alguno de los activos del cliente está dentro del alcance de los atacantes.
—
Experiencias de Ciberseguridad en la digitalización Industrial de nuestros clientes
Vicente Segura, Head of IoT Security − ElevenPaths, abre su intervención haciendo un repaso sobre la transformación digital vivida hasta el momento. Arrancando con la creación de los Sistemas IT, continuando con la evolución del Cloud y culminando, por el momento, con la llegada de una nueva ola digital que conocemos como IoT (& IloT) que se compone al menos de dos áreas: Sistemas de Control Industrial ICS (OT) y IoT empresarial.
Vicente señala que esta ola en la evolución del mundo digital hace que la superficie de ataque de las organizaciones se incremente dando pie a un mayor numero de incidentes de seguridad. Vicente nos pone de ejemplo dos casos reales y recientes a través de los cuales podemos ver que la ciberseguridad es un desafío clave para la industria actual y del futuro y que debe abordarse de una forma integral: concepto de Seguridad Digital.
Vicente nos expone los principales problemas y experiencias que encuentran entre sus clientes y cómo les ayudan a adaptarse de forma segura a la próxima ola digital aportándoles su Metodología para Tecnologías y Entornos Operacionales que desde Eleven Paths han desarrollado para proyectos de ciberseguridad, denominada METEO.
Víctor Mayoral, Fundador y CTO − Alias Robotics hace su intervención para explicar su solución tecnológica, no sin antes, poner en contexto el problema principal; “Los robots no son seguros” y para hacernos conocedores de ello, nos expone alguna de las situaciones y experiencias que han encontrado durante su trayectoria.
Víctor nos trasmite un claro mensaje: no debemos depositar toda nuestra confianza en los robots. Actualmente la robótica está asentada en nuestra vida; en industria, carreteras, incluso en hospitales, por lo que, es importante que todos esos robots que nos ayudan y cuidan sean monitorizados y apoyados por personal con experiencia y capacidad para asegurar un funcionamiento apropiado.
Finaliza su intervención, presentándonos su solución tecnológica; RIS − Robot Inmune Systems, que se inspira en la naturaleza, se instala directamente en el robot y le protege desde dentro.
—
Respuesta tecnológica frente a incidentes de ciberseguridad
Con el objetivo de exponer las experiencias de implantación y despliegue de tecnologías de Stormshield para hacer frente a aspectos específicos de Ciberseguridad industrial, Antonio Martinez, Senior Consultant en Stormshield, comenzó presentando su propia organización. Stormshield es una empresa del grupo AIRBUS Defensa y Espacio, con gran experiencia en el mercado -más de 15.000 clientes-, y que cuenta con grandes y destacables proyectos, como el recién desplegado de securización del entorno del Proyecto Galileo de la ESA.
Stormshield ofrece un conjunto basado en tres grandes tecnologías específicas para la ciberseguridad en el ámbito industrial cuya aplicación se centra en la securización de la redes, la securización del endpoint y la securización de los datos.
Analizando estas tecnologías en más detalle, Antonio explicó las ventajas de los SNS (Stormshield Network Security) que son los next generation firewall de los que dispone Stormshield, y que permiten segmentar a nivel de zonas y conductos (no solo VLAN) e identificar a través de firmas de protocolos; Antonio además destaca que Stormshield es la única organización que cuenta con la certificación europea de firewall industrial de primer nivel CSPN gracias a su funcionalidad de DPI (Deep Protocol Inspection) mapeo de los procesos internos que están corriendo en un controlador lógico y que permite controlar su comportamiento.
El SES (Stormshield Endpoint Security), de forma aislada o en combinación con el firewall de nueva generación, es un agente software que se instala en la red de supervisión y permite realizar un mantenimiento predictivo de los equipos, a la vez que genera un entorno de protección proactiva, sin firmas (permite detectar los APTs -Advanced Persistent Threat-) y para entornos no-conectados (con virtual patching).
Antonio presentó dos casos de éxito: el primero el del control de tráfico de la ciudad de Mónaco, basada en el empleo de Next Generation Firewall ruberizados para proteger la red abierta; y el segundo de los casos, una homologación para despliegue en redes SCADA para instalaciones de refinado de productos derivados del crudo y petroquímicos con producción y distribución mundial en SAUDI ARANCO. En este
último proyecto, el gran reto fueron los requisitos muy estrictos para la homologación de un equipo en línea delante de un PLC, con características específicas de robustez, condiciones medioambientales y con un rendimiento sin pérdida de tráfico ni incremento de latencia.
Por último, el representante de Stormshield quiso mencionar el gran interés de su organización por apoyar la investigación y la colaboración educativa; como la iniciativa que mantienen desde hace algunos años con la universidad de León para estudiar equipos en sus laboratorios.
—
Control de Accesos Privilegiados en entorno industrial
David Rodríguez, Gerente de Desarrollo de Negocio de Industria y Energía en Axians, presenta inicialmente como su compañía AXIANS pertenece al Grupo VICI que está formado por empresas como OMEXON y Actemiun con infraestructuras operadas por tecnologías de operación por lo que el enfoque de AXIANS se basa en el conocimiento propio de robótica, visión artificial….
David señala que Industry 4.0 o Smart Industry está obligando a la conexión de las maquinas industriales y las redes que han estado aisladas ahora por razones competitivas requieren de una fuerte conexión (hiperconectividad), incluso a enviar datos a la nube, en los casos más avanzados.
El entorno OT, es un entorno difícil de proteger su acceso. Cualquier acceso privilegiado a un PLC o un HMI supone la puerta de entrada a los activos críticos y siendo una amenaza clara al negocio, y la mayoría de los ataques con éxito son mediante escalado de privilegios. Racionalizar la gestión de los accesos privilegiados es fundamental para reducir el riesgo de esta amenaza, es fundamental el control de acceso remoto.
David indica que la introducción de segmentos IT seguros en la planta industrial proporciona gran flexibilidad (conectividad, sensorización IoT…) con un riesgo menor. Esta es una idea avalada por bastantes fabricantes.
Incorporar PAM, maquina de salto bastionado, introduce múltiples beneficios de seguridad a nivel de registro, uso de protocolos no seguros, permitir diferentes niveles de privilegio entre otros.
David, finaliza su presentación señalando que PAM simplifica la solución de seguridad global.
—
Ciberseguridad en el mundo de la Automatización de Procesos Industriales
Álvaro Anaya, de Everis Aeroespacial y Defensa, mostró dos mundos; el de la ciberseguridad y el de la automatización.
Tomando como referencia la pirámide de automatización industrial, Álvaro, expuso la evolución de la industria. No sólo por las comunicaciones sino por los componentes de la misma. Del cableado a la programación. Álvaro indicó que la automatización requiere de un control del proceso, es necesario garantizar la seguridad del proceso para así proteger a las personas también.
Por otro lado, la ciberseguridad tiene como principal objetivo garantizar la seguridad del proceso y por consecuencia la de las personas, señaló Álvaro, y ambas están unidas a la seguridad industrial. La clara evolución de la automatización industrial, la marca el controlador. Hoy, hay que proteger ese controlador o PLC. Es ahí donde empieza la ciberseguridad industrial en la automatización.
Álvaro, mostró mediante una gráfica real, la parte cableada de la automatización y la parte programada del programador y los riesgos derivados de ambas partes, además de las amenazas publicadas en 2019 por SANS.
Desde Everis, ofrecen una solución que proporciona una visibilidad y la monitorización de activos antes de acometer cualquier medida de protección. Mediante un ejemplo práctico, Anaya, recalcó la importancia de la protección de los activos dentro de la planta industrial.
—
Ingeniería social en Internet de todo
Dr John McCarthy, coordinador de CCI en Reino Unido, expuso el enfoque desde el punto de vista holístico sobre la defensa de la infraestructura crítica nacional y los ataques de ingeniería social mediante una breve demostración.
Debemos dejar de ver la protección sólo de las pequeñas redes y empezar a verlas como parte de un conjunto ya que están todas conectadas.
McCarthy también nombró los diferentes vectores de ataques más utilizados como brechas perimetrales, interrupción y corrupción de la red, ingeniería social, herramientas de hacking físicas…
Finalizó su exposición demostrando una variedad de técnicas y métodos de hacking que se utilizan comúnmente para interrumpir o acceder a los sistemas de TI, concretamente un ataque phishing el cual mostró cómo logran sus objetivos.
—
Paneles del Congreso
Experiencias de Ciberseguridad en la Digitalización industrial
En este panel se han planteado cuestiones sobre la digitalización industrial a los participantes, Juan Luis Carús de TSK y a Ibon Goikoetxea de ii40Servicies, la primera ¿Cuáles considera que deberían ser las medidas de ciberseguridad principales para prestar un servicio de mantenimiento predictivo desde la nube?
Ibon indicó que los activos que requieren seguridad son muy importantes y su parada supondría un perjuicio para la organización, por ello es preciso asegurar que no se permita la interferencia en el funcionamiento y que los datos del mantenimiento predictivo mantengan su integridad y puedan ser procesados de forma fiable impidiendo su manipulación, por ello es necesaria una autenticación fuerte de estos activos críticos para evitar ataques, también es importante el cifrado de los datos que se realice en el punto más bajo donde se procesen los datos.
Juan Luis coincidió con la propuesta de Ibon, aportando que el dato es lo más importante, tanto de entrada, como de salida, y hay que asegurarlo en todas sus dimensiones, confidencialidad, integridad y disponibilidad, pero también en su estado, almacenado o en transito, intentando que se transmita por canales seguros. En TSK intentan tener identificado el algoritmo, donde se genera el dato, se transmite y almacena para tenerlo protegido. Juan Luis también semana que hay que garantizar la integridad del algoritmo, y en su diseño hay que evaluar que esto es así.
Otra cuestión que se planteo a los panelistas fue ¿Las tecnologías IIoT:dispositivos, gateways y plataformas proporcionan suficientes capacidades de ciberseguridad?
Juan Luis señala que inicialmente se primo la funcionalidad y que en las pruebas de concepto todo fuera todo exitoso sin considerarse las capacidades de ciberseguridad necesarias para implantarse en un escenario real, pero en los últimos años han aparecido medidas en los propios dispositivos o gateways que por defecto permiten análisis inteligente de tráfico o canales seguros de comunicación y también en las plataformas que incluyen herramientas para implementar estas capacidades.
Ibon apuntó que, aunque se están mejorando las capacidades técnicas, hoy es un proceso continuo, pero no estamos donde deberíamos estar todavía. La aceleración de las demandas del mercado se está implementando como un after-FAT. Estamos mejorando en las instalaciones nuevas, pero existe el problema en las instalaciones más antiguas con sistemas legacy y en cualquier despligue IIoT tenemos que compaginar con equipos que tienen capacidades y otros que no, por lo que se requiere realizar un análisis de riesgos.
—
Responsables de ciberseguridad OT comparten experiencias
En el panel moderado por Maite Carli de CCI han participado Arturo Diaz de EDP España, Alfonso López-Escobar de EMASESA y Antonio Martínez de Metro de Madrid.
A continuación las preguntas formuladas y las respuestas de los panelistas:
En base a su experiencia, ¿cuáles considera que son los principales riesgos de ciberseguridad en la integración IT y OT?
Arturo Diaz, EDP España − Comenta que, como consecuencia del aumento del perímetro, aumenta el riesgo, pero también debido a los componentes “legacy”, su obsolescencia supone un riesgo añadido ya que, en el momento de la integración, estos equipos no podrán ser
actualizados. Otro de los riesgos que también existe, es la falta de requisitos de ciberseguridad a la hora de nuevos proyectos, donde prima el coste sobre la seguridad. Además la falta de concienciación es otro eslabón débil y principal riesgo en las organizaciones.
Alfonso López-Escobar, EMASESA − Considera que ciertas particularidades como puede ser las derivadas de los requisitos de tiempo real y disponibilidad que tienen los sistemas OT y por otro lado el ciclo de vida los activos OT ya que estos tienen una durabilidad mayor a los que podemos encontrar en un entorno IT. Alfonso, coincide en que la falta de conocimiento tanto de la tecnología como de los requisitos son riesgos importantes.
Concluye indicando que la estrategia de ciberseguridad tiene que ser extremo a extremo.
Antonio Martínez, Metro de Madrid − En su caso proviene del mundo IT y ha tenido que adaptarse al mundo OT. La convergencia es inevitable, indica.
El mayor reto/riesgo, es pensar que ambos mundos tienen estrategias divergentes en materia de ciberseguridad. Hay que buscar unificar la estrategia, aunque ambos mundos (IT-OT) tengan sus particularidades, deben tener una misma estrategia de actuación, trasversal. Esto nos permite definir una política única, un plan de acción conjunto y un plan de inversiones.
¿Qué tres requisitos de ciberseguridad deberían contemplarse en la fase de diseño de todo proyecto de digitalización industrial?
Alfonso López-Escobar, EMASESA − La segregación de redes, con un buen diseño es necesario, otro punto, es el bastionado de los equipos ofimáticos que se han trasladado al entorno industrial y por último hay que pensar en la continuidad del proceso productivo del negocio, por lo que hay que disponer de mecanismos de funcionamiento alternativos.
Antonio Martínez, Metro de Madrid − En la fase de diseño, hay que recoger todos los requisitos de todo el ciclo de vida, tanto del proyecto como de los sistemas. En cuanto a aspectos más técnicos, existen tres áreas básicas, gestión de vulnerabilidades, control de accesos (lógico y físico) y por último tener en cuenta la evolución de los sistemas. Antonio destacó la presencia de una figura de responsable dentro de la organización para velar por la ciberseguridad.
Arturo Diaz, EDP España − La seguridad de los proveedores es muy importante. Otro aspecto, es hacer un buen diseño de la segmentación de las redes o bastionado de los equipos y tener en cuenta la regulación, sobre todo cuando se trata de una infraestructura crítica.
¿Cuáles son los ciberincidentes que más le preocupan en un entorno de digitalización industrial?
Antonio Martínez, Metro de Madrid − Señaló que en el mundo OT, los que más preocupan son aquellos incidentes que puedan afectar a la disponibilidad de los equipos y los que puedan tener repercusiones a personas o medio ambiente. Por ejemplo, ataques DoSS, Malware, Phishing etc
Alfonso López-Escobar, EMASESA − Considera que la poca sensibilidad sobre ciberseguridad tanto en las actividades de mantenimiento como en las propias que se desarrollan en planta y por otra parte, así como los errores humanos que generen un riesgo o un incidente grave.
Arturo Diaz, EDP España − Indicó que los más preocupantes, para nosotros son los accesos desde el exterior, sobre todo este año que el teletrabajo ha crecido de forma exponencial, aquellos incidentes que deriven al daño a las personas o las instalaciones, y en tercer lugar, la pérdida de servicio que puede impactar gravemente al negocio.
—
Esquemas de Ciberseguridad en Sistemas de Digitalización Industrial
Este panel moderado por Susana Asensio de CCI ha contado con la participación de las grandes organizaciones públicas con competencias en la materia, representados por Alberto Francoso, Jefe de servicio de análisis de ciberseguridad y cibercriminalidad de la OCC (Oficina de Coordinación de Ciberseguridad), Daniel Firvida, Experto en ciberseguridad en INCIBE y Ramón Sáez, Responsable de sistemas de alerta temprana del CCN-CERT.
En este panel, la primera de las cuestiones planteadas: ¿Cómo pueden ayudar a las organizaciones con sistemas de digitalización industrial que integran sistemas de operación y sistemas de información los esquemas de ciberseguridad existentes? Obtuvo como respuesta unánime al indicar que los esquemas de ciberseguridad son unas herramientas muy útiles para evaluar el nivel de ciberseguridad de nuestra organización; permiten aunar esfuerzos en lo que se refiere a la implementación de Ciberseguridad en la integración y convergencia de IT (Tecnologías de la Información) y OT (Tecnologías de la Operación) y de esa forma ser más eficiente en su gestión, con un menor coste añadido. Además, apuntaron que permiten afrontar los riesgos de forma sistemática, incluyéndolo en nuestros procesos de negocio, e integrándolo con el resto de los procesos de la organización; y todo ello basándonos en un modelo consolidado -sin necesidad de partir de cero.-.
La siguiente cuestión, común para los tres panelistas, planteaba la realidad de que los entornos donde se aplica la digitalización industrial son muy diversos y cambiantes, y los esquemas de ciberseguridad podrían no ser suficientes para contemplar esta evolución; en este contexto, los panelistas respondieron a la cuestión de ¿Qué propondría a una organización industrial para sortear este gap? Y los participantes comentaron que pese a que no existen fórmulas mágicas debemos copiar esquemas y modelos de trabajo que conocemos que funcionan, como es comenzar por un Plan Director, teniendo en cuenta que cada organización es diferente y que deben adaptarlo a las características de su negocio, tamaño, estructura, etc. También recomendaron partir de un análisis de riesgos y de la identificación de todos los activos y su criticidad para la continuidad del negocio, es decir basarse en una aproximación que busque reducir el riesgo alejándose de las aproximaciones que únicamente buscan el cumplimiento.
La última de las cuestiones del panel fue respondida de forma individual, respecto a la realidad de su organización, y en ella se pedía a cada panelista que expusiera al público cuales son las principales herramientas o iniciativas de ciberseguridad que proporciona su entidad a las organizaciones industriales. Desde la OCC, Alberto Francoso habló del proyecto de Esquema de Certificación de Protección en Infraestructuras Críticas, y otros proyectos en coordinación con INCIBE: ese esquema (armonizado con otros como el ENS) junto con una guía de medidas compensatorias consensuada por todos los actores, será una forma de que pueda evitarse la subjetividad del auditor al evaluar una infraestructura. Esta guía esperan publicarla en octubre. Por parte de INCIBE, Daniel Firvida, habló de la intensa labor de divulgación, concienciación y alerta temprana que realizan a través de diversos canales, publicaciones, web, boletines etc.
Además expuso un proyecto que están llevando a cabo con la Red Nacional de Laboratorios Industriales para ponerse a disposición de los usuarios finales, proveedores, etc y facilitar el testeo de equipos. Finalmente Daniel citó el trabajo que realizan de notificación de vulnerabilidades conocidas a organizaciones industriales que se encuentran expuestas a ellas. Respecto al CCN-CERT, Ramón Sáez, explicó que desde 2016 tienen activo un sistema de alerta temprana también en redes industriales (previamente ya estaban monitorizando el tráfico de redes IT), y además desplegando sondas para descubrir incidentes. Dicho sistema lo ofrecen de forma integrada con la monitorización en IT para complementar el servicio. Ya hay 20 organizaciones industriales incorporadas a dicha red. Por otro lado, y tras el análisis del incidente, llevan a cabo una fuerte tarea de divulgación, en lo que se refiere a información sobre la amenaza, con una visión conjunta IT-OT. Por otro lado, están trabajando en generar un catálogo de fabricantes de dispositivos industriales que incorporan medidas de Ciberseguridad y trabajan sobre diseños seguros.
Para finalizar este interesante panel, se presenta una pregunta del público que hace referencia a la hipotética figura del Responsable de Ciberseguridad frente a la cadena de suministro (figura similar a la existente en la RGPD), a la cual, Alberto responde que en algunos aspectos queda reflejado en la transposición de la Directiva NIS en la que actualmente se está trabajando (armonizándola con los controles del ENS). Por otro lado, los panelistas apuntan que la autoridad competentemente debe ampliar este esquema para contemplar íntegramente la securización de
la cadena de suministro. Añaden que pese a que es una normativa de cumplimiento obligado para infraestructuras críticas es extensible a cualquier otra organización industrial que quiera secularizar sus infraestructuras; y que respecto a la cadena de suministro hay que prestar especial atención a aquellas canales de comunicación abiertos para recibir servicio y tele mantenimiento ya que pueden ser una puerta de entrada no vigilada y que en muchos casos no vuelve a cerrarse y queda desatendida una vez finalizado el servicio.
Más información sobre el congreso haga click aqui