Ignacio García, Digital Advanced Services Manager de ABB en %SPAÅA H,OS VECTORES DE ATAQUE SON CADA VEZ M¶S SOLSTICADOS incluso con técnicas de machine learning”
El uso cada vez más habitual de estándares abiertos de comunicación como Ethernet, TCP/IP y tecnologías web en sistemas SCADA, DCS y redes de control de procesos exponen a la industria al mismo tipo de ciberataques que tantos estragos causa en sistemas de información HPSUHVDULDOHV /D LQGXVWULD HV VL FDEH PIV VHQVLEOH D HVWRV ULHVJRV \D
que pueden ser ocasionados no solo daños económicos enormemente graves sino también para la seguridad de las personas y para la propia QDWXUDOH]D (V SRU HOOR TXH OD FLEHUVHJXULGDG LQGXVWULDO IRUPD \D SDUWH LQHOXGLEOH GH OD GHQRPLQDGD LQGXVWULD $%% HQ VX FRPSURPLVR KDFLD OR GLJLWDO SURYHH VHUYLFLRV SDUD OD LGHQWLÀFDFLYQ SURWHFFLYQ GHWHFFLYQ UHVSXHVWD \ UHFXSHUDFLYQ DQWH DWDTXHV FLEHUQPWLFRV ,JQDFLR *DUFTD HV 'LJLWDO $GYDQFHG 6HUYLFHV 0DQDJHU GH $%% HQ (VSDXD DGHPIV GH H[SHUWR HQ H[SHUWR HQ VROXFLRQHV GLJLWDOHV \ FLEHUVHJXULGDG
Automática e Instrumentación: De todos es ya conocido los riesgos asociados a ciberataques sobre plantas o procesos industriales ¿Recuerda algún caso reciente?, ¿estaba la instalación protegida? ¿qué objetivo perseguían los ‘ciberdelincuentes’?, ¿qué consiguieron?
Ignacio García: El ciberataque que tengo más presente, por atentar directamente contra la salud de las personas, y además haber sucedido en plena crisis del COVID-19, no ha sido en una instalación industrial precisamente, sino a un hospital madrileño.
Cualquier ciberataque a instalaciones esenciales para la salud y seguridad de las personas supone un acto deleznable y lamentablemente los servicios de salud se encuentran entre los objetivos habituales de los cibercriminales.
En el caso del hospital madrileño, se trataba de un caso de ransomware, un tipo especial de malware. En otras palabras, programas con el propósito de dañar al objetivo y con la capacidad de bloquear el acceso al sistema y cifrar los datos personales del mismo. El virus informático logró extenderse por toda la red y bloquear el acceso a los sistemas impidiendo el acceso a los datos por parte de los usuarios. Este virus es muy similar al que han tenido otras entidades públicas y privadas de diferente índole.
Habitualmente son secuestros virtuales, en los que la información es bloqueada por los cibercriminales a cambio del pago de un rescate, habitualmente en una moneda virtual, tipo Bitcoin. Tras el pago, los cibercriminales facilitan la clave necesaria para descifrar y recuperar los archivos, aunque lógicamente no hay garantía alguna que esto se produzca. Es una manera clara de lucrarse a través de una práctica completamente ilegal.
¿Cómo se producen estos ciberataques? Aprovechando algún tipo de fallo, los cibercriminales instalan pequeños ficheros en diversas carpetas clave del sistema, estos ficheros a su vez se conectan a un servidor para obtener la clave que cifra el contenido del disco duro. A veces el cifrado es muy complejo, ya que puede estar fragmentado y con distintas claves.
Este tipo de amenazas han crecido de manera exponencial en los últimos años. Para cualquier usua
rio final puede suponer el bloqueo de la operativa de un producto o servicio, con la consiguiente pérdida importante de tiempo y de dinero.
En el caso específico del hospital, el virus había mutado cerca de 11.000 veces en los últimos meses, lo que demuestra que no son suficientes acciones puntuales. Es necesario una actualización constante de las medidas implementadas, con su posible sincronización en modo automático.
Todas las instalaciones críticas son un claro objetivo de los cibercriminales, puesto que cuanto mayor sea el daño que puedan generar, mejor para sus objetivos.
AEI: ¿Cuáles son los pasos a seguir para la implantación de una estrategia de ciberseguridad adecuada en una planta industrial?
: El departamento de Seguridad Nacional de EE. UU, tras el análisis de aproximadamente 300 incidentes en sistemas de control, afirma que el 98% de los incidentes podrían haberse mitigado con procesos y controles básicos (parches de seguridad, actualizaciones de antivirus, copias de seguridad y recuperación, inventario de activos, segmentación de red...)
Lo recomendable para incrementar la seguridad de nuestros activos es implementar una metodología integral con soluciones y herramientas estructuradas y dinámicas, que puedan paliar al máximo las posibles vulnerabilidades de los sistemas.
Quiero resaltar que no son suficientes las medidas locales. Ante un problema global, las soluciones deben ser estructuradas y de forma continua.
En ABB proponemos un proceso continuo que se inicia con la Identificación de lo que debe ser protegido, Protegiendo los activos de automatización, Detectando violaciones de seguridad y estableciendo los planes de respaldo y de Recuperación (previa verificación en entorno de producción)
AEI: ¿En qué se basan estas medidas de protección?, ¿software, hardware, educación de las personas, buenas prácticas?
: El aumento considerable de las amenazas de ciberseguridad en infraestructuras críticas clave alrededor del mundo (tanto en infraestructuras de energía, de agua o de transporte) ha supuesto que la ciberseguridad sea una prioridad en toda actividad empresarial.
Somos plenamente conscientes que los sistemas de control industrial solo pueden estar inactivos de manera planificada, durante minutos u horas, y siempre que sea absolutamente necesario.
Las organizaciones pueden reducir sus riesgos de ciberataques en un 85% mediante la implementación de los controles de ciberseguridad, a través de inventariado y control de hardware y software, una gestión continúa de vulnerabilidades, gestión de privilegios de administrador, configuraciones seguras de hardware y software, monitorización de registros auditados, etc. Algunos datos de interés:
Hay un ataque de hackers cada 39 segundos
Los ataques son constantes a nivel mundial
El cifrado de datos con rescates en bitcoins como contrapartida son cada vez más frecuentes
Los ciberataques se han convertido en un negocio de cientos de millones de euros
“Es necesario una actualización constante de las medidas implementadas, con su posible sincronización en modo automático”
“Todas las instalaciones críticas son un claro objetivo de los cibercriminales, puesto que cuanto mayor sea el daño que puedan generar, mejor para sus objetivos”
Los vectores de ataque son cada vez más sofisticados, incluso con técnicas de machine learning
El hacking al sector energético y de telecomunicaciones es estratégico para los ciberdelincuentes, sobre todo, en momentos de crisis económica y social, como el actual por el COVID-19
AEI: ¿Cuál o cuáles son las normas de ciberseguridad industrial más conocidas? ¿Se están aplicando de forma real?
: Todas la normas y regulaciones globales coinciden en aplicar y administrar controles de seguridad. Existen diferentes normativas a tener en cuenta y que en el caso de ABB vertebran, junto a nuestra experiencia y conocimiento de más de 30 años en
sistemas industriales, nuestro amplio porfolio de soluciones de ciberseguridad.
Siempre es importante tener en consideración para minimizar los riesgos de ciberataques las normativas y estándares de referencia en esta materia.
Algunas de estas normas nacionales e internacionales: IEC 62443, ISO 27001/2, ISO 27002, NIST SP 800-82/53, RG 5.71, NERC CIP, IEC 62351, IEEE 1711-2010 / 1686-2007, C4V, ENS (Esquema Nacional de Seguridad), etc.
Afortunadamente, cada vez es mayor el conocimiento de las pérdidas económicas y el impacto negativo que provocan los ciberataques. Esto ha permitido que, en los últimos años, y gracias a la normativa vigente, se exija cada vez más en las licitaciones, así como en la demanda de servicios de ciberseguridad.
AEI: Ante esta realidad, ¿cómo
industriales, así como a infraestructuras críticas, para que puedan mantener su funcionamiento?
las HMI, las configuraciones del controlador y las configuraciones del PLC se respalden de manera regular es imprescindible para una recuperación rápida.
Ofrecemos una estrategia de recuperación planificada y probada que puede automatizar las copias de seguridad y reducir la carga de realizar copias de seguridad de rutina por parte de los empleados.
Asset Inventory Para los clientes que tienen un proceso manual o ningún proceso para mantener un inventario de activos de seguridad cibernética, el inventario de activos de seguridad cibernética automatiza el proceso de inventario para ahorrar tiempo y dinero y proporcionar visibilidad de los activos
Analytics Recopila automáticamente datos del sistema y los compara con las mejores prácticas de la industria. Identifica, clasifica y ayuda a priorizar oportunidades para mejorar la seguridad general de los sistemas de control.
– Servicios para clientes que han cubierto el Nivel 1 y desean externalizar su mantenimiento, configuraciones o requieren otros servicios más avanzados.
Mantenimiento Con el servicio de mantenimiento cibernético de ABB, el cliente puede externalizar el trabajo, asegurándose de que los controles de seguridad funcionen y se mantengan actualizados. El equipo de ABB también informa al cliente si sucedió algo y lo ayuda a remediarlo. El cliente recibe un informe mensual con métricas clave.
Consultoría ABB ha trabajado con sistemas industriales y ciberseguridad durante muchos años y hay pocos controles y soluciones de ciberseguridad con los que no hayamos trabajado. Nuestra capacidad para comprender tanto la producción como el proceso de los clientes, el sistema industrial y la ciberseguridad nos convierte en la opción correcta para los proyectos de ciberseguridad. Podemos ayudar a seleccionar el producto de ciberseguridad más efectivo para el proceso, instalarlo de forma segura, redactar un procedimiento de ciberseguridad, auditar los sistemas, y mucho más.
– Este nivel cubre las operaciones, con monitoreo de eventos 24/7, desde un centro experto en operaciones de seguridad (SOC).
Tier 2 o Nivel 2 Tier 3 o Nivel 3
Operaciones colaborativas Para maximizar nuestra eficacia y capacidades de ciberseguridad, hemos creado los servicios de operaciones colaborativas. Con nuestros compañeros expertos en ciberseguridad industrial en todos nuestros centros de operaciones colaborativas en todo el mundo, podemos proporcionar servicios de ciberseguridad muy avanzados para nuestros clientes industriales. Monitoreo de eventos, inteligencia de amenazas, caza de amenazas, etc.
AEI: ¿Qué servicios se incluyen?
Ofrecemos toda nuestra plataforma de soluciones digitales ABB Ability™, de tecnología propia y en constante desarrollo e innovación. ABB Ability™ cuenta con más de 200 soluciones digitales multisectoriales que permiten a nuestros clientes saber más sobre sus propias instalaciones, optimizar su producción e incrementar la seguridad en sus operaciones y procesos.
Todo nuestro portafolio de servicios digitales está creado con el foco puesto en la seguridad de las personas y de los activos, en la fiabilidad y calidad de las operaciones y en la optimización de la producción. Además, aportamos un amplio valor añadido, desde los dispositivos, sistemas, soluciones, servicios que permiten a nuestros clientes conocer más, hacer más y ejecutarlo mejor, de manera colaborativa. Desde los dispositivos hasta la nube.
Redacción AEI