Ricardo Urbina.
¿Por qué surge la necesidad de desplegar programas que aborden las amenazas al entorno TO?
Conceptualmente los ambientes TI y TO son muy parecidos, pudiendo ser la mayor diferencia algunos protocolos de comunicación que se usan, sin embargo, hoy todos apuntan a operar sobre protocolo TCP/IP, dado que facilita la integración de distintas soluciones y procesos, en un mundo donde la convergencia de los datos es fundamental para mejorar procesos productivos.
Las amenazas por vulnerabilidades en los protocolos, software, sistemas operativos de computadores y/o sistemas de control, son propias de la tecnología independiente si es en el mundo usuario (TI) o productivo (TO), de modo que debemos gestionarlas para evitar y/o reducir los impactos producto la concreción de incidentes a partir de estas.
Desde el punto de vista de la seguridad aplican los mismos conceptos de confidencialidad, integridad y disponibilidad, sin embargo, la diferencia aparece en la prioridad de atención dependiendo del mundo donde estemos. Esto es: para el mundo TI la confidencialidad suele ser el atributo que más se debe proteger, es decir, asegurarse de que accedan a los datos/aplicación solo los que deben hacerlo, incluso segregando a los que tienen el permiso de acceder a tareas específicas y posiblemente distintas entre ellos; en cambio en el mundo TO la prioridad la tiene la disponibilidad, es decir, que el servicio/dispositivo pueda ser alcanzado, siempre en el sentido en que las instrucciones que implican acciones en las máquinas, actuadores, sensores, interruptores, medidores, etc., se puedan recibir/enviar cada vez que se requiere, considerando la sincronización de todos estos dispositivos para que el proceso productivo opere correctamente.
Lo anterior implica que los controles podrían variar dependiendo del mundo donde se aplican, por ejemplo, una herramienta necesaria para gestionar el riesgo es tener alguna solución que esté mirando las vulnerabilidades que existen en la red, lo que implica identificar qué equipos están conectados en ella. En el ambiente TI es habitual que la solución, además de mirar el tráfico de la red, esté preguntando a cada equipo que detecta ¿qué es? y así identificarlo. En un red industrial no es posible identificar los equipamientos preguntándoles qué son, lo anterior ya que solo atender la consulta y generar la respuesta implica que el dispositivo dejó de hacer lo que estaba realizando -su tarea única en muchos casos- impactando en el proceso productivo al dejar de ejecutar su tarea. Luego, no debemos “preguntar” para identificar qué dispositivos/equipos hay en la red TO, lo más común es mirar el tráfico y de ahí, mediante una de las identificaciones única que los dispositivos deben tener para operar en una red, estos pueden ser identificados.
En resumen, las amenazas son similares entre el mundo TI y el mundo TO, sin embargo, los controles para gestionar el riesgo deben ser diferentes.
¿Qué retos se enfrentan en materia de ciberseguridad industrial?
El mayor desafío es la convergencia entre el mundo TI y el mundo TO; hoy las redes productivas ya no son entornos aislados que no tenían interacción alguna con el mundo TI, hoy toda actividad productiva genera información que está siendo procesada y visualizada para tomar decisiones más allá de donde la maquinaria está operando, lo que implica conectar las redes TO con las redes TI.
El mundo TI tiene un mayor desarrollo de la ciberseguridad, ya que desde siempre estuvo conectado más allá de sus límites físicos, estando obligado a gestionar el riesgo de dicha conectividad, sin embargo, los expertos en los procesos productivos recién están sabiendo de las amenazas asociadas a estar interconectados. Además, su experiencia técnica viene de manejar se- ñales eléctricas y no protocolo TCP/IP. Por lo tanto, el desafío es el proceso de compartir conocimientos y experiencias entre ambos mundos con el objetivo común de hacer un uso seguro de la tecnología.
En el pasado ya hemos tenido procesos similares: cuando la telefonía análoga migró a la telefonía digital teníamos expertos en señales análogas que requerían una conexión permanente una vez establecida la comunicación con calidad de sonido, con expertos en paquetes que usaban caminos distintos para llegar al destino donde la calidad no era un atributo gestionado normalmente, ambos tuvieron que aprender de ambos mundos logrando una colaboración exitosa.
¿Qué carencias graves ha observado en la ciberseguridad de redes industriales?
No hablaría de carencias, más bien son oportunidades ante situaciones nuevas. La exigencia desde la ciberseguridad en el mundo productivo actual no existía hace 15 años o más. Por ejemplo, la integración entre distintas soluciones antes no era tema, se compraba una maquinaria a un fabricante y no se necesitaba “conectar” con la solución de otro fabricante, ya que esta era un “todo cerrado”. Hoy siguen siendo procesos distintos, sin embargo, la gestión de estos y el procesamiento de los datos están centralizados en un ente común, lo que obliga a conectar al mismo “tercero”.
El mundo industrial tiene modelos conceptuales de cómo se diseñan las redes operacionales; hoy se les ha agregado la visión de la ciberseguridad haciendo explícitos y fundamentales conceptos como interconexión, segregación, control de acceso, actualizaciones, monitoreo y otros, elementos que si bien existían, hoy deben ser gestionados y controlados de forma explícita.
¿Qué impacto puede llegar a tener un ataque informático a nivel industrial?
El mundo industrial es parte del mundo físico, un mal funcionamiento producto de un ataque informático probablemente tendrá consecuencias físicas, ya sea daño a personas como a la infraestructura y sus alrededores, por ejemplo, válvulas que se cierran y cortan el suministro de petróleo, centrifugadoras que giran más allá de sus límites explotando, el verter más químicos que los necesarios dentro del proceso de hacer potable el agua, o generar una apagón en una ciudad, etc., son algunas historias de incidentes que han sucedido.
Por lo anterior, la posibilidad de ataques a redes industriales ha sido tomada muy en serio, derivando en definiciones como “infraestructura crítica” -con leyes específicas al respecto-, obligación del cumplimiento de buenas prácticas, incluso obligación de certificaciones de estándares de ciberseguridad, etc., lo que ha significado que las industrias deben dedicar recursos en gestionar los riesgos ante las amenazas de un ataque al ser responsables de los impactos de este.
¿Cómo enfrentan la ciberseguridad industrial en las operaciones de su empresa?
Partimos con definir una política de seguridad para los ambientes productivos, donde los responsables de los procesos productivos participaron activamente. Si bien es un documento básico muy general, define una dirección de trabajo donde el concepto ciberseguridad pasa a ser parte del proceso productivo, de ahí en adelante compartir ideas, conceptos con los responsables operativos para ir identificando y levantando riesgos.
Además, integración del equipo de ciberseguridad TI en las propuestas de controles, y generar instancias de intercambio de información entre los responsables de ambos mundos, resaltando los beneficios de esta colaboración.
¿Cuáles son sus grandes retos?
Desde la ciberseguridad el desafío es aportar para usar de manera segura la tecnología de acuerdo a las necesidades del negocio, por ejemplo, en la transformación digital que significa incorporar tecnología al proceso productivo, ya sea para mejorar este y hacerlo más eficiente o simplemente capturar datos para ser procesados fuera de línea y mejorar la gestión. También apoyar las exigencias legales y de cumplimiento que se definan para la industria específica, etc.
Lo más desafiante es no caer en buscar imponer lo que ciberseguridad dice, si no que debemos adaptar las recomendaciones de esta a lo que el proceso productivo necesita; si no lo hacemos en vez de aportar nos transformaremos en un estorbo que, sin duda, será eliminado. En resumen, el gran reto de ciberseguridad es apoyar el uso seguro de la tecnología de acuerdo a lo que el negocio necesita.
¿Es este tema una preocupación real hoy para los sectores productivos nacionales?
Yo diría que, desde fines de 2020, cuando se concretaron varios ataques a empresas productivas, tanto los directorios como el primer nivel ejecutivo de estas consideró que el riesgo de un ataque cibernético es real y, por tanto, había que invertir en evaluarlo para luego gestionar que hacer con este.
Cada empresa ha realizado distintas inversiones en ciberseguridad como resultado de la evaluación del riesgo, lo que ya se incorporó como un elemento relevante en las decisiones estratégicas. Por otra parte, el marco legal (ley de delitos informáticos y ley de datos personales) que afecta a todas las empresas, más las exigencias específicas de una industria particular (NERCCIP -Critical Infrastructure Protection- del CEN) obliga a formalizar su gestión de los riesgos asociados al uso de la tecnología, ya sea mediante definiciones/políticas, estructura y personas responsables de gestionar estos cumplimientos.
¿Qué recomendaciones haría a las empresas en esta materia?
Las amenazas cibernéticas hoy son una realidad, independientemente del rubro en que la empresa se desempeñe, y estas deberán incorporar la gestión de la ciberseguridad en sus estructuras o contratar servicios que le permitan responder tanto a la evaluación de riesgo propio del negocio, como las exigencias legales y normativas en ciberseguridad.
Dado que lo más difícil es definir la estrategia a seguir, tanto en las definiciones como las inversiones a realizar, la recomendación es que se tomen un tiempo en levantar los riesgos asociados a los procesos productivos, lo más completo posible en extensión, no en profundidad.
Luego, con el primer nivel de decisión de la empresa (visión del negocio), evaluar los impactos posibles ante un ataque (ransomware, robo de credenciales y robo de información). De ahí definir los niveles de riesgo y luego los controles a implementar, para finalmente construir el plan de acción. Lo más relevante es definir el proceso de revisión al menos anualmente, ya sea para evaluar si se cumplieron los objetivos, así como revisar si la evaluación realizada sigue siendo válida; los cambios tecnológicos como las regulaciones están variando rápidamente de modo que la estrategia acordada hoy puede no ser correcta mañana. Lo más difícil es partir, siendo el paso inicial la evaluación que permitirá tomar las definiciones y/o estrategia a seguir en adelante.
Puede que la primera vez se requiera utilizar un tercero, dado que la empresa no tiene la capacidad de hacer el levantamiento y evaluación de riesgos, luego, con los resultados, una de las definiciones para la organización será si agrega la capacidad del proceso internamente o decide mantenerlo externalizado.
