Los entornos industriales se están abriendo a Internet gracias a la sensorización, el IoT o el big data. Es lo que los expertos llaman la industria 4.0. Eso va a multiplicar los problemas de seguridad de los sistemas fabriles, tradicionalmente inmunes a los ciberataques precisamente por desconectados de la Red. En esta entrevista Xabier Mitxelena, managing director de Accenture Security España, habla de la situación de los equipos industriales, de las amenazas a las que se enfrentan y de la oportunidad de negocio para los proveedores de ciberseguridad en el sector secundario.
¿Hasta qué punto la seguridad OT (de entornos y procesos industriales) es una tendencia consolidada? Mi impresión es que estamos todavía ante un mercado que está por explotar y que está dominado por el momento por startups.
Realmente es difícil analizar y aplicar la palabra “consolidada”. Desde nuestro punto de vista es una tendencia en evolución y crecimiento cuya consolidación va a estar ligada a los propios cambios de la industria y a la transformación digital. Es verdad que en los últimos 18-24 meses estamos viendo cómo las grandes empresas tienen como punto relevante en su roadmap de seguridad acometer proyectos en el entorno OT. La Ley PIC (de Protección de Infraestructuras Críticas) y los entornos regulatorios y de seguridad son parte del efecto “acelerador” de este mercado, que podríamos decir que está en un estado incipiente.
En estos casos las startups y empresas de nicho juegan un papel fundamental a la hora de generar cultura y hábitos de securización en los nuevos entornos, y suponen la punta de lanza de un panorama esperanzador en los próximos años, donde los retos de incluir la seguridad desde el diseño de productos y servicios forman parte esencial de la competitividad y confianza futuras. Los retos de la industria X.0 y el mundo de la hiperconectividad están generando modelos globales donde empresas como Accenture han hecho una apuesta fundamental invirtiendo e innovando en modelos y soluciones.
El reto está en las industrias medias y en las pequeñas organizaciones industriales, donde la clave está en generar un modelo simple y de confianza
¿Qué factores está poniendo la seguridad de los entornos OT en la agenda de los CIO y gerentes de las empresas del sector secundario? Veo que se habla mucho de sensorización o IoT, por ejemplo.
En primer lugar, un nuevo entorno de inversión que, por su volumen y rápido despliegue, requiere de una aproximación de última generación. Después de muchos años invirtiendo en la securización del mundo IT, con un claro sentido de la reacción como elemento de defensa, la convergencia IT/OT nos vuelve a abrir grandes oportunidades de negocio y mejora de productos/procesos, y al mismo tiempo nos vuelve a llevar a épocas históricas donde la velocidad del cambio se olvida los nuevos riesgos que se generan.
En la época del dato, donde la tendencia es conectar al máximo máquinas y dispositivos, y analizar la información para la mejora de nuestros productos y servicios, la agenda del CIO y la agenda del consejo de administración están cambiando y las inversiones en ciberseguridad están en el nivel de decisión más alto de las organizaciones. Estamos dejando de hablar de “gasto en seguridad” y potenciando la “inversión en seguridad”. Vamos a un mundo de seguridad concertada donde se van a exigir productos y servicios certificados en seguridad, de manera que garantice la confianza en la cadena de suministro.
¿Están los CIO de las compañías industriales concienciados de que tienen que proteger sus infraestructuras fabriles de la misma forma que ya protegen sus activos TI?
Por supuesto. La regulación de las infraestructuras críticas y el impulso de modelos de transformación en la industria han tenido un efecto exponencial en la concienciación, sensibilidad e impulso de modelos de gestión de riesgos en el ámbito industrial. Grandes compañías que tienen un grado de madurez bastante alto en el entorno TI (sobre todo en el sector de utilities, combustibles y gas) ya están dando el paso hacia el entorno OT. No sólo son conscientes del riesgo, sino que también están empezando a asignar presupuesto a este tipo de proyectos.
El reto está en las industrias medias y en las pequeñas organizaciones industriales, donde la clave está en generar un modelo simple y de confianza al que se puedan incorporar, dado que su nivel de inversión y conocimiento en este tipo de riesgos es muy bajo (y reactivo). El efecto tractor es fundamental, y además debe dar lugar a un ecosistema de negocio seguro en la cadena de suministro de las grandes organizaciones. Aquí las infraestructuras de comunicaciones y la identidad digital única deberán ser calves a la hora de salvaguardar la resiliencia de las empresas.
El caso más conocido y reseñable de los últimos años ha sido el ataque a la red eléctrica de Ucrania
¿Cuáles son los puntos más débiles de una instalación industrial y que mejor pueden aprovechar los ciberdelincuentes para hacer de las suyas?
En la mayor parte de las instalaciones no disponen de un inventario de activos actualizados, con lo cual es muy difícil sino imposible proteger aquello que no sabes que existe. Una gran parte de los ataques que sufren este tipo de instalaciones vienen a través de proveedores que tienen acceso (no sólo físico) a las instalaciones y sistemas del cliente. Una compañía puede tener todas las medidas de protección necesarias y suficientes para proteger sus infraestructuras, pero si no gestiona correctamente el acceso a sus activos/sistemas cuando estamos aumentando la superficie de ataque, claramente aumenta el riesgo exponencialmente . En este sentido, es fundamental tener una correcta gestión del riesgo de los terceros desde una perspectiva global.
La masiva conectividad de máquinas y dispositivos que no están certificados en ciberseguridad ni cumplen las normas mínimas de minimización de riesgos son fuentes inagotables de nuevas brechas de seguridad que son aprovechadas por ciberdelincuentes para acceder a nuestras infraestructuras y datos.
¿Qué soluciones tiene su empresa para evitar o minimizar estos ataques?
Accenture tiene capacidades locales y globales, y dispone de una amplia propuesta de productos y servicios para ayudar a las compañías a construir entornos ciberseguros en el ámbito industrial. No sabemos cuándo nos van a atacar ni por qué, pero seguro que nos atacarán antes o después. Nuestra apuesta por la industria X.0 es global, con varios centros de innovación alrededor del mundo, incluyendo nuestro nuevo centro de industria X.0, industria inteligente y segura, recién inaugurado en Bilbao, donde la ciberseguridad y la inteligencia son las bases del éxito del cambio.
¿Qué ataques reseñables ha habido en los últimos años contra instalaciones industriales y qué daños han producido?
Muchos, la mayoría, son poco conocidos, pero con impactos superiores al difundido Wannacry. La gran relevancia de este último fue su impacto mediático y la gran incertidumbre que se generó por la falta de experiencia de la mayoría de los Centros de Seguridad (SoC) que estaban operando. Si nos ceñimos a incidentes más dirigidos, quizás el caso más conocido y reseñable de los últimos años ha sido el ataque a la red eléctrica de Ucrania. Los sistemas de control de Ucrania que se pensaba se sustentaban en redes bien segmentadas y vigiladas por robustos cortafuegos, se vieron vulnerados por la falta de un sistema de autenticación de doble factor para confirmar las identidades de los trabajadores que se conectaban de forma remota y la falta de inspección profunda de paquetes para el cruce de mensajes. Pero sistemas de agua en Australia, muchos años antes, o entidades como Saudi Aranco (2011-2012) han sufrido importantes ataques a lo largo del siglo XXI.
En los últimos tiempos se han producido otra serie de ataques que, aunque han tenido gran impacto económico y reputacional en las empresas afectadas, no han tenido la misma repercusión mediática. Por ejemplo, el ataque a uno de los proveedores de Maersk, que provocó una interrupción en el suministro por parte de esta compañía que le causó pérdidas valoradas en 300 millones de dólares. Más recientemente, ataques de ransomware a compañías como Norsk Hydro (más de 40 millones de euros por paradas en sus plantas) están haciendo estragos en las “agendas” de los CIO.