¿Podría sufrir su planta industrial una parada o un daño de alto impacto si alguien decidiera sabotear o comprometer sus sistemas de seguridad operacional?
Los responsables de procesos industriales muestran cada vez una mayor preocupación por los incidentes potenciales que pueden afectar a las personas, los activos y el medio ambiente dentro y fuera de la planta.
Para mantener una planta industrial con este tipo de riesgos en un estado seguro, o llevarla a un estado seguro, cuando se presente una situación peligrosa, se emplea como medida, entre otras, tecnologías de protección operacional, normalmente conocidas como Sistemas Instrumentados de Seguridad (SIS), que tiene controladores con capacidad de ejecutar acciones automáticas para proteger la planta de las graves consecuencias de una operación imprevista.
Capas de protección en la seguridad operacional
Estos controladores de seguridad operacional se emplean en muchos entornos industriales, principalmente con procesos que manejan materiales peligrosos. La capacidad de inhabilitar o modificar un proceso de seguridad de estas características para que falle podría generar consecuencias físicas muy graves.
Los fallos sistemáticos en los SIS no habían sido, hasta ahora, aprovechados para causar un daño deliberado. Al menos no se habían descubierto evidencias de ello, pero esta situación ha cambiado con la llegada de un código informático dañino que hace unos años afectó a los controladores Triconex del fabricante Schneider Electric. Unos controladores que fueron diseñados como solución de seguridad instrumentada y cuyo sabotaje provocó la interrupción de las operaciones en, al menos, una instalación petrolífera de Oriente Medio. En este ataque dirigido no parece que tuviesen un objetivo económico claro y, sin embargo, los recursos técnicos necesarios para crear el marco del ataque han tenido que ser muy elevados.
La existencia de todas esas incógnitas ha llevado a plantear distintos escenarios, que permitieran obtener cierta luz a partir de las posibles consecuencias identificadas en cada uno de ellos:
Parada del proceso productivo industrial, como consecuencia del sabotaje del equipamiento SIS
Son provocados distintos cambios no autorizados que harán que los equipos detengan su funcionamiento, y con ellos el proceso, en previsión de consecuencias mayores.
Reprogramación y alteración del comportamiento del dispositivo SIS
En este escenario se introducen variables o parámetros que alteran (sin detenerla) la operación de las instalaciones, dejando el sistema en unas condiciones que entrañan peligro para personas y el patrimonio.
Anulación de funcionalidad del dispositivo SIS con daños físicos patentes
Este seria el escenario más peligroso, puesto que se altera el comportamiento del SIS anulando su funcionalidad; pero sin detener el proceso. La maquinaria o sistemas no interrumpirían su funcionamiento y por consiguiente el correspondiente daño, cuya extensión dependerá́ de las restricciones del proceso y del diseño de la planta.
La estrategia de ciberseguridad que debemos aplicar frente a este riesgo debe al menos contener las siguientes medidas:
· Segregación de redes con Sistemas Instrumentados de Seguridad.
· Controles de acceso lógico estrictos.
· Configuración adecuada de los SIS.
· Plan de formación.
· Aplicación de planes de prueba eficaces.
Podrá encontrar más detalle sobre los riesgos en los sistemas de seguridad operacional y como abordar su protección en el siguiente enlace: https://www.cci-es.org/operacional
José Valiente
Director de CCI