"Hoy en día los proyectos industriales cada vez son menos OT y más IT" (José Valiente)

Desde la industria y sin subvenciones, independiente y sin ánimo de lucro con el fin de impulsar y contribuir a la mejora de la Ciberseguridad Industrial en España y Latinoamérica. Bajo esta premisa nacía el Centro de Ciberseguridad Industrial (CCI) en 2013. En la dirección del mismo está José Valiente, que acumula más de 20 años de experiencia trabajando en Consultoras como Davinci Consulting y Tecnocom en proyectos de Seguridad y TI para Gran Cuenta y Administración Pública, y con quien hablamos de pasado y de futuro del CCI.

Este contenido salió publicado en el número de marzo de la revista IT Digital Security, disponible desde este enlace.

Estar varios años abordando la ciberseguridad en los entornos industriales llevó a José Valiente, junto con Samuel Linares e Ignacio Paredes, a impulsar la creación de un centro que abordara la problemática de la diversidad en el ámbito OT y que se diera más conocimiento a los riesgos. “Había mucha documentación en inglés”, recuerda José Valiente, pero en español no había nada. Tras decidir que debía ser internacional, el primer año de vida del Centro de Ciberseguridad Industria se pasó en la celebración de eventos que permitieran darle a conocer y de creación de documentos. Nacieron así el Mapa de ruta de la Ciberseguridad Industrial en España 2013-2018 y se celebraron diferentes eventos, como los enmarcados en los denominados “La Voz de la Industria” o en el Congreso Iberoamericano de Ciberseguridad Industrial que se celebró en Madrid en Octubre de 2013.

Enseguida se dieron cuenta de que hacía falta más conocimiento, que la carencia de profesionales también afectaba a la ciberseguridad industrial, “entonces empezamos a organizar unos talleres, siempre basados en documentos que íbamos creando, para intentar crear esa comunidad de profesionales que ya supieran o tuvieran mayor conocimiento de cómo securizar los entornos OT”. Y tras darse cuenta de que lo que se hacía a nivel de talleres podía hacerse en formato escuela, se creó en 2018, la Escuela Profesional de Ciberseguridad Industrial.

Entornos industriales

Dice José Valiente que ya se han dado los primeros pasos a la hora de incorporar ciberseguridad en los entornos industriales, y que los proyectos nuevos de automatización y control industrial ya incorporan requisitos de ciberseguridad, “pero de forma bastante desordenada, sin mucho conocimiento por quien lo está elaborando”. Poder ayudar a las organizaciones a que incorporen de forma ordenada y adecuada los requisitos de ciberseguridad en esos proyectos de automatización industriales, o de las renovaciones de lo que ya tienen, es lo que ha llevado al CCI a dar un nuevo paso: crear una plataforma que permita que un área de ingeniería de una organización industrial tenga la posibilidad de modelar su proyecto de automatización con un catálogo de requisitos de ciberseguridad basado en estándares.

La plataforma, asegura José Valiente, se está construyendo “de la forma que yo creo que hay que construirla, que es sentándote con las áreas de la ingeniería para que ellos nos ayuden a identificar cómo modelar esos proyectos de automatización, que vean cómo deberíamos establecer esa plataforma para que les sea útil o cercano a lo que ya están haciendo. Porque si construimos la plataforma con lo que nosotros creemos, no va a funcionar”.

La base será el estándar IEC 63443, “a lo que vamos a añadir algo que no hicimos en su día: una herramienta de evaluación de proveedores”.

Para ello lo que está haciendo el CCI es analizar pliegos de proyectos para ver qué requisitos de seguridad se están pidiendo. Desde hace tres años el CCI publica un catálogo de proveedores de servicios y soluciones de ciberseguridad industrial que “lo que pretende es que una organización que quiere abordar un proyecto de consultoría, o un proyecto de securización de una red industrial, pueda ver qué proveedores ya han hecho ese tipo de trabajos, qué número de referencias hay, qué certificaciones tienen sus profesionales y les pueda orientar a la hora de a quien les pueden pedir ayuda”. Ser miembro activo del CCI es el único requisito necesario para formar parte de ese catálogo, que es la base de la plataforma; “Queremos hacer ese catálogo online y mapear los requisitos de ciberseguridad con los servicios o soluciones que se ofrecen en ese catálogo, de tal manera cuando inicies un proyecto y decidas qué requisitos necesitas para llevarlo a cabo, puedas ver qué proveedores te lo podrían facilitar”, explica José Valiente.

¿Esta nueva plataforma tiene nombre? “Por el momento tiene un nombre largo: Plataforma de requisitos de ciberseguridad para proyectos industriales. Tendrá un nombre corto, pero de momento no se lo hemos dado”.  Sobre la fecha de lanzamiento, dice el director del Centro de Ciberseguridad Industrial que se quiere presentar en el Congreso Internacional de Ciberseguridad Industrial que se celebrará el 30 de septiembre y 1 de octubre “ya funcionando”.

Plataforma de escenarios

Otra actividad en la que está inmerso el CCI es la creación de una plataforma de escenarios, de incidentes, de alto impacto. Para ello se están reuniendo con organizaciones industriales, tanto con el departamento de mantenimiento como con los responsables de ciberseguridad “para que identifiquen qué consecuencias de alto impacto hay en su organización, sin entrar en cómo se producen”, lo que ayudará a las organizaciones a identificar cómo, a través de la tecnología, se podría ocasionar ese impacto y estar preparadas para un posible ciberincidente. Explica José Valiente que se van a preparar, por un lado, todas aquellas acciones que se deberían llevar a cabo si se sufre ese incidente (cómo debo de actuar, cómo debo de comunicarlo, cómo debo analizarlo…), y además cómo debo prepararme, qué medidas debo de poner en mi tecnología para que ese incidente no se produzca. “Lo vamos a hacer por sectores, identificando al sector agua, químico, transporte, etc. Vamos a estudiar, a caracterizar, diez o quince incidentes de alto impacto y con todas esas acciones preventivas y de respuesta”.

En este caso, el nombre es lago también: Plataforma de escenarios de incidentes de ciberseguridad de alto impacto. “Pero le pondremos un nombre cortito también”, asegura José Valiente.

Infraestructuras críticas y España

Seguimos hablando con José Valiente y le hacemos la pregunta obligada: ¿cuán preparadas están las infraestructuras críticas españolas para afrontar un ciberataque? “Cada vez están más preparadas”, asegura el director del Centro de Ciberseguridad Industrial. Añade que las que han sufrido un incidente de alto impacto son las que más preparadas están, “como cualquier organización”. Pero incluso las que más preparadas están, añade José Valiente, pueden sufrir un ataque, simplemente porque se sea de interés para un atacante. En todo caso, coincide en que se ha superado el proceso de concienciación “y ya estamos en plena acción”.

Apunta también el director del CCI que sobre todo se han hecho cambios en la parte de redes, segmentación, cambio de arquitectura y que “donde yo veo que todavía falta más recorrido es en todo lo que es la respuesta a incidentes”. El avance de las amenazas en un entorno industrial que no suele contar con medidas de seguridad vistas desde hace años en los entornos IT dificulta el reconocimiento de un incidentes, lo que, para José Valiente “crea la necesidad de que se desarrollen mecanismos de respuesta automáticos para detectar y prevenir incidentes de ciberseguridad en las infraestructuras industriales”.

Sobre si el ransomware es una de las principales amenazas de los entornos industriales dice José Valiente que “no se está sufriendo tanto como el que se creía que se iba a sufrir”. Lo que se producen principalmente son sobre todo incidentes que tienen que ver con la pérdida de disponibilidad, es lo que principalmente están sufriendo.

Legacy, ¿seguro o inseguro?

Pasamos a hablar del legacy, de sistemas obsoletos que son vitales para el sector industrial y no están preparados para ser protegidos de las ciberamenazas. Dice José Valiente que hay veces que la tecnología obsoleta dificulta el ataque; “es verdad que los sistemas legacy, sobre todo los que ya no tienen mantenimiento, corren un gran riesgo porque no puedes actualizarlo; la ventana de exposición es muy alta. Pero tampoco hay que decir que por tener tecnología más nueva se esté más seguro”.

Sobre la proactividad de los fabricantes de sistemas industriales, dice José Valiente que también se ha evolucionado y están añadiendo seguridad a sus sistemas y a su oferta. Y claro, también han entrado a este mercado empresas de seguridad. ¿Son competencia? “En parte sí que hay un cierto solapamiento”, dice el director del CCI, añadiendo que la gran diferencia está en que los que vienen del mundo OT tienen poco conocimiento de lo que es la parte de redes corporativas, sistemas de información, etc. Y hoy en día los proyectos industriales cada vez son menos OT y más IT”.

El eslabón más débil, apunta José Valiente, es que quienes en su mayor parte automatizan los proyectos de las plantas industriales son integradores o ingenierías más o menos pequeñas que no tienen casi ningún conocimiento de ciberseguridad; “o bien se alían con un experto en ciberseguridad y proporcionan esos servicios, o bien se forman para poder prestarlos”, dice José Valiente; “pero lo habitual es que no tengan acuerdos con terceros o no tienen el conocimiento. Esa es la situación actual”.

IoT Gateways, asignatura pendiente

Asociado, o no, al mundo de la industria, los dispositivos conectados también representan un reto de seguridad. Nos cuenta José Valiente que el Centro de ciberseguridad Industrial ha realizado un estudio en torno a los gateways del IoT para ver qué funcionalidades se estaban incorporando, “y salvo alguna excepción, la mayor parte de las tecnologías de IoT Gateways no incorporan funcionalidades ciberseguridad, cuando es uno de los puntos más naturales donde debería incorporarse esa ciberseguridad para no tener que poner también otra tecnología por encima, que ya es otro punto de fallo, etc. Y no lo están haciendo”. Añade José Valiente que se irán añadiendo funcionalidades de seguridad poco a poco, “pero que ¿qué ocurre que si tú no lo has hecho desde el principio? Puede que tengas limitaciones de hardware, de memoria o de procesamiento, y las funcionalidades que deberían estar de ciberseguridad tengan que ser de un nivel inferior, porque el equipo no es suficiente para ello”.

Además de las plataformas anteriormente mencionadas, el Centro de Ciberseguridad Industrial trabajará este año en un documento sobre el ciclo de vida en un proyecto IIoT, en el que se incorporarán requisitos relacionados a cómo deben incorporarse en estos dispositivos la ciberseguridad.

Lo que parece claro es que es necesario trabajar en el desarrollo de nuevas medidas de protección compatibles con las características de los sistemas industriales y que puedan contribuir a disminuir el riesgo que éstos están afrontando. También podemos contar con que el CCI, convertido en el punto independiente de encuentro de los organismos, privados y públicos, y profesionales relacionados con las prácticas y tecnologías de la Ciberseguridad Industrial, seguirá trabajando para mejorar la situación del sector.

Formándose en ciberseguridad Industrial

Hace unos dos años se creó la Escuela Profesional de Ciberseguridad Industrial. Explica durante la entrevistas José Valiente que la mayor parte de los que acceden a esta escuela a formarse vienen de organizaciones industriales, pero se está trabajando para dar a conocer la escuela a universitarios o estudiantes de FP, “para que puedan realizar un taller o un curso de los que tenemos y eso complemente su formación y les dé salida a toda la demanda que hay hoy en día”.

Uno de los planes para este 2020 es impulsar la escuela porque, como dice Valiente, “nos hemos centrado mucho en la empresa y poco en la cantera”.

En estos casi 5 años de existencia el CCI, y de forma previa a la creacción de la Escuela, CCI ha impartido 16 ediciones del "Curso Multidisciplinar de Ciberseguridad Industrial y Protección de Infraestructuras Críticas" y más de 20 talleres y cursos de distintas materias sobre ciberseguridad industrial, a los que han asistido unos 500 profesionales tanto de IT, como de OT a nivel internacional.

El equipo de formadores de la Escuela está integrado por expertos y colaboradores del CCI que han participado en la elaboración de contenidos para las publicaciones de CCI, así como en algunos de los talleres y cursos ya realizados.