El sector industrial, en vías de modernización y en constante amenaza

Agosto de 2017, Arabia Saudí. Un grupo de cibercriminales patrocinados, probablemente, por un estado, intenta sembrar el caos explotando una planta petroquímica. Solo un error en el código utilizado para entrar en la misma cerró accidentalmente el sistema y permitió que no cundiera el caos. Estos habían desplegado el ya famoso malware Triton, que permitía controlar los sistemas instrumentados de seguridad de la fábrica, su última línea de defensa contra los desastres que amenazan la vida de las personas.

8 de febrero de 2021, condado de Pinellas (Florida, Estados Unidos). El Sheriff local, Bob Gualtieri, acaba de anunciar el intento de envenenamiento con hidróxido de sodio de la planta industrial de tratamiento de agua de la ciudad de Oldsmar -15.000 habitantes-. El método, un ciberataque posibilitado por el acceso no autorizado a un sistema de control interno (ICS, de su voz inglesa). Como se descubriría más tarde, los ciberdelincuentes entraron, probablemente, mediante una aplicación de escritorio remoto que permite a los usuarios iniciar sesión en estos sistemas desde sus localizaciones. Para fortuna del preocupado funcionario público, y de toda la región, el atacante fue atrapado en el acto por un empleado de la empresa que vio cómo se estaban ejecutando comandos que no entraban dentro de la normalidad. De haber tenido éxito, el incidente habría costado, muy seguramente, vidas humanas.

Estos son solo dos ejemplos de la criticidad de estas infraestructuras y de la gravedad de las acciones cometidas. También, de la importancia, cada vez más acuciante de proteger estos sistemas frente a acciones de gran calado en un contexto geopolítico muy complejo y en el que los ciberataques son cada vez más abundantes y dañinos. “El sector industrial ha vivido tradicionalmente muy feliz, sus infraestructuras de comunicaciones y redes, y en definitiva todo lo TI, no estaban conectadas”, asegura Javier Aguilera, director general de Ikusi en España, en esta entrevista con CSO. Pero el advenimiento del Internet de las Cosas (IoT, de sus siglas inglesas), prosigue, obliga a que todo se conecte poco a poco. “Un ejemplo lo forman los nuevos contadores de telelectura. Ya todo está online y se han dado cuenta de que hay muchos riesgos y vulnerabilidades porque una de las tendencias de estos entornos es que los ciclos de renovación son mucho más largos. Sigue habiendo mucho Windows XP, un sistema operativo que no tiene soporte por parte de Microsoft desde hace muchos años”.

"El sector industrial ha vivido tradicionalmente muy feliz porque sus infraestructuras de TI no estaban conectadas"

Javier Aguilera, director general de Ikusi en España

En este escenario, y además de los dos casos citados, Jairo Alonso, team leader IACS de S21 SEC, coincide en que, a nivel general, el ransomware es la amenaza actual por excelencia. “Adicionalmente, el aumento de la conectividad de los procesos productivos sin llevar a cabo la debida segmentación, habilita que se puedan incorporar dispositivos que sean un riesgo para la red”, dice. “Y no se pueden descartar los ataques utilizados por vía de comunicación remota, principalmente con los mantenedores de los sistemas, que son un punto de entrada, en muchas ocasiones, hasta el punto de control”. Además, pone en liza el crecimiento de los grupos patrocinados por estados-nación, en cuanto al paradigma geoestratégico actual. Un estudio realizado por Check Point confirma que el sector industrial es ya un objetivo prioritario para los cibercriminales y que la amenaza hacia ellas se incrementa a doble dígito.

Principales desafíos

Son muchos los beneficios que las plantas están encontrando en la convergencia de TI y OT, como la optimización, mejoras de eficiencias, mantenimiento predictivo, casos de uso realidad aumentada y virtual… Sin embargo, esto genera múltiples retos. “El problema tecnológico se produce al confrontar plataformas modernas, muchas basadas en la nube, con entornos que no fueron diseñados para estar hiperconectados y, por tanto, sin tener en cuenta la seguridad desde el diseño”, analiza Agustín Valencia, OT security business development manager Iberia en Fortinet. “Si a esto se le suma que las herramientas OT funcionan entre 15 y 25 años, y que los casos de inversión están planteados en base a estos términos, nos encontramos con una gran exposición de un ecosistema vulnerable, que no se puede cambiar rápidamente y cuya protección requiere de un entendimiento del proceso a securizar”.

A este respecto, destaca Marc Sarrias, country manager de España y Portugal de Palo Alto Networks, la estrategia “más efectiva” consiste en segmentar de la forma “lo menos intrusiva posible”, a menudo sin cambiar el direccionamiento IP del equipamiento, para proteger las distintas capas del modelo OT. Es decir, es necesario “desplegar tecnologías que a nivel de red sean capaces de proporcionar una visibilidad completa de los activos y del comportamiento de los mismos, para poder detectar anomalías que sean indicativas de potenciales ataques”. Asimismo, añade, hay que establecer un modelo de operaciones de seguridad (SOC, de sus siglas inglesas) que contemple las particularidades de estas compañías.

"Nos encontramos con una gran exposición de un ecosistema vulnerable, que no se puede cambiar rápidamente, y cuya protección requiere de un entendimiento del proceso"

Agustín Valencia, OT security business development manager Iberia en Fortinet

Pero antes de todo esto, asegura Valencia, de Fortinet, “nuestra primera recomendación es que la organización forme un equipo multidisciplinar que conozca tanto el negocio como las cuestiones claves de la protección. Y hay que establecer líneas de coordinación entre el área de negocio y la dirección”.

Las nuevas plantas sí nacen con la seguridad desde el diseño bajo el paraguas de la regulación

Para triunfar frente a los ‘malos’ en este entramado, reguladores, empresas y asociaciones de todo el mundo llevan años lanzando múltiples leyes, iniciativas, programas, guías y estándares para abordar estos crecientes desafíos. De reciente entrada en vigor destaca en la Unión Europea (UE) la Directiva NIS2, que sustituye a NIS y actualiza la lista de industrias y actividades sujetas a obligaciones de ciberseguridad. Su objetivo es mejorar la resiliencia y las capacidades de respuesta a incidentes en los países comunitarios, y establece un marco base para la gestión de riesgo y obligaciones de todos los sectores, armonizando los requisitos y la implementación de medidas.

Alonso, de S21 SEC, también hace alusión a la IEC62443, que, según sus palabras, describe unas amenazas y unos controles para gestionar la seguridad de estas plantas. “Cada vez se está considerando más la toma de esta normativa como punto de partida para hacer un diseño seguro, tanto en seguridad física como digital, y resiliente de los procesos productivos. Por otra parte, también cree que NIS2 provocará que muchas empresas empiecen a crear nuevas fábricas con controles desde el inicio.

"La ciberseguridad industrial tiene una implicación casi directa con la física de las personas, y las empresas siempre han sido conscientes de que tienen que adoptar medidas"

Jairo Alonso, team leader de IACS de S21 SEC

De este modo, plantea Sarrias, de Palo Alto Networks, las nuevas plantas sí que están naciendo de forma segura, “aunque siguen requiriendo de soluciones entre los distintos segmentos de la red OT, así como de su interconexión como el mundo TI, así como de visibilidad”. Por su parte, Valencia, de Fortinet, dice que se está produciendo un cambio en el enfoque, “pasando de evaluar la mejor tecnología de seguridad para cada aspecto a optar por soluciones unificadas”.

Como resumen, tanto Sarrias como Valencia creen que, en este mapa, la madurez de las empresas va avanzando a distintas velocidades, según las mismas. Aunque matiza Sarrias: “Vemos con mucho optimismo cómo muchas compañías ya están demandando un nuevo tipo de aproximaciones más estratégicas a la ciberseguridad”. Sin embargo, Alonso estima que, por lo general, el nivel es bajo. “Esto no significa que las industrias sean inseguras ni fácilmente atacables, sino que sus procesos no están documentados y se basan, casi siempre, en la buena fe de sus operarios. La ciberseguridad industrial tiene una implicación casi directa con la física de las personas, y las empresas siempre han sido conscientes de que tienen que adoptar medidas. Desgraciadamente, muchas no disponen de las capacidades, ni de técnicas, conocimiento y experiencia para hacerlo”, concluye.

"Es necesario desplegar tecnologías que a nivel de red sean capaces de proporcionar una visibilidad completa de los activos y del comportamiento de los mismos"

Marc Sarrias, country manager en España y Portugal de Palo Alto Networks