Aquellos que nos dedicamos a tecnologías de control industrial, en particular aplicadas al agua, tenemos una responsabilidad asumida por el buen hacer de un bien que es escaso y esencial para la sociedad.
No se nos puede olvidar que el mal funcionamiento de las tecnologías de operación que controlan las máquinas puede impactar en el desperdicio del agua, pérdida de su condición de potable en sistemas de abastecimiento o en inundaciones o vertidos contaminantes en sistemas de residuales. No hay duda, estamos comprometidos.
La evolución del sector agua en los últimos 15 años
Aquellos sistemas de control industrial que fueron diseñados hace 15 años o más, lo hicieron bajo el criterio que podríamos denominar de “garantía de funcionamiento”. Debe ser robusto, cubrir correctamente las anomalías del proceso que puedan ocurrir, comunicaciones fiables, control determinista y por supuesto lo básico: control correcto de máquinas en función de sensores e instrumentos.
Esto ha sido así hasta hace relativamente poco tiempo, aproximadamente 10-15 años, que hemos ido aprendiendo otros factores de peligro para la seguridad de máquinas y procesos que no fueron tenidos en cuenta en sistemas antiguos que están actualmente en funcionamiento. Salvo casos especiales, no estaban diseñados para cubrir ataques cibernéticos deliberados desde el exterior, entre otros motivos, porque las tecnologías de comunicaciones no facilitaban estos ataques.
Como consecuencia, nace una nueva competencia, la ciberseguridad industrial. Los participantes del sector deben conseguir sistemas con garantía de funcionamiento que además sean ciberseguros. Deben aprender y aplicar técnicas de Ciberseguridad Industrial como una nueva disciplina y hacerlo con la seriedad de la responsabilidad que conlleva.
Si evaluamos cuál ha sido el principal factor que ha introducido el ciberataque a la industria, seremos muchos los que lleguemos a la conclusión de que se ha debido a la evolución de las comunicaciones. Se ha pasado de sistemas de control aislados o comunicados mediante tecnologías específicas basadas en RS232 ó bien RS422/485 al ethernet, utilizando para comunicaciones industriales la misma tecnología que para sistemas de información lo que facilita la propagación de la comunicación para lo bueno (aprovechamiento del dato) y en lo que aquí nos preocupa, para lo malo (los ataques). Por supuesto, también llegó la explosión de internet…
La difusión del IoT y en particular del IIoT aumenta la exposición.
¿Qué participantes deben contribuir en las Tecnologías de Operación (TO)?
La seguridad global del sistema de control industrial incluyendo los controladores PLC, dataloggers y comunicaciones dependerá de los fabricantes de equipos, ingenierías e integradores de sistemas que pongan en servicio el sistema TO y el Operador que lo utilice y mantenga en el tiempo.
Es creciente el esfuerzo de fabricantes por evolucionar en el diseño de equipos con mejores cualidades desde el punto de vista de ciberseguridad, incorporando nuevas medidas de seguridad. Medidas que permiten deshabilitar funciones que no se utilicen (para reducir la exposición) y aplicando nuevas normativas específicas encaminadas a aumentar la ciberseguridad de sus equipos.
Los integradores de sistemas diseñan y ejecutan los sistemas de control industrial y sus comunicaciones asociadas y por ello son clave en la ciberseguridad final del conjunto. Finalizan su labor mediante la puesta en marcha de la instalación y entrega a cliente. Construyen los cimientos o base sobre la que se podrán añadir capas de seguridad complementarias. Si esta fase es deficiente, posteriormente será un esfuerzo considerable resolverlo.
El Operador que recibe el sistema es el principal preocupado de que esté diseñado y ejecutado correctamente desde los puntos de vista tanto de la fiabilidad tradicional, como de la reciente disciplina de la ciberseguridad industrial y tendrá que mantenerlo en el tiempo, tarea a acometer con responsabilidad, dedicando los recursos suficientes.
Dificultades del sector agua en la aplicación de Ciberseguridad Industrial
La mayoría de las instalaciones del sector agua ya existen y están ejecutadas con tecnologías acorde al momento de su construcción. Los ciclos de vida de los sistemas industriales son muy largos respecto a los de sistemas de información (TI). Es por ello por lo que existen numerosas instalaciones con sistemas diseñados y ejecutados con antigüedad superior a los 20 años. Estos sistemas, frecuentemente comunicados con tecnologías antiguas, son en muchos casos vulnerables. Frecuentemente su seguridad no podrá esperar a la renovación y es necesario actuar con medidas que protejan a equipos y sistemas que en sí no son seguros, o bien proceder a anticipar su renovación.
Otra dificultad a tener muy en consideración es que las instalaciones que dan servicio a la población están dispersas para cubrir la extensión de territorio bajo su competencia. Es por ello por lo que las comunicaciones al exterior de las instalaciones (depósitos de abastecimiento, estaciones de bombeo EBAP, EBAR, EBARP, Tanques de Tormentas, estaciones de tratamiento de agua potable ETAP y estaciones depuradoras de agua residual EDAR) tanto para las comunicaciones entre estaciones como con el sistema SCADA global de la compañía, son elemento esencial del sistema TO y claro factor de riesgo ante ataques, al aumentar la superficie de exposición.
Necesidad de formación en el sector agua
La ciberseguridad industrial es una disciplina reciente y el sector agua, al igual que otros, está aprendiendo y adaptándose a este relativamente nuevo escenario, siendo esencial la formación.
El ecosistema del sector, constituido por fabricantes, integradores y gestores del ciclo integral del agua, deben prepararse para este desafío e incrementar sus conocimientos en las tecnologías de automatización utilizadas en las instalaciones, sus comunicaciones mediante redes industriales, las vulnerabilidades que tienen los sistemas y que son aprovechadas por amenazas para romper la disponibilidad o integridad de la instalación. Deben aprender sobre las medidas de protección posibles y la normativa de aplicación.
CCI ayuda a cubrir esta necesidad a través de una formación específica al efecto, por ello, te animamos a participar en el C05. Curso de Ciberseguridad en el diseño, operación y mantenimiento industrial del sector agua. Descubre ahora la próxima convocatoria que celebraremos de este curso. ¡Plazas limitadas!
También presenta la plataforma RECIN de ayuda a la definición de requisitos de ciberseguridad conforme a esta norma, siendo en conjunto una oportunidad de ayuda a potenciar el conocimiento de los involucrados y que nos sentimos responsables con el sector agua.
- C05. Curso de Ciberseguridad en el diseño, operación y mantenimiento industrial del sector agua (https://www.cci-es.org/c05-curso-ciberseguridad-diseno-operacion-mantenimiento-industrial-sector-agua/)
Autor:
Luis Manuel Jiménez Ruiz
Profesor CCI