Desde hace un par de años, mas o menos, venimos hablando de la transformación digital en la industria y los beneficios que esto está aportando. La implementación de protocolos de comunicaciones sobre ethernet, a diferencia de los tradicionales buses de campo basados sobre RS-485 o RS-422, ha contribuido notablemente a alcanzar muchos propósitos, no sin antes cambiar paradigmas, estrategias y formas de ver las cosas.

Tener los equipos con una dirección MAC, una dirección IP y servicios basados en TCP/IP nos facilita la recogida de datos, parametrización remota, monitorización, acceso por red, diagnosis avanzada, y otras tantas mejoras. Sin embargo, no todos son ventajas. El hecho de tener nuestros dispositivos conectados a la red los deja expuestos a riesgos, vulnerabilidades y amenazas. Ya una estrategia como “Air-Gap” es insuficiente, debemos tener conectividad; ahora toca irse a “Defensa en profundidad”.

Por otro lado, con la llegada de la tan en boga “Industria 4.0” vemos como mucho de lo ya aplicado al mundo IT como la virtualización, Big Data, IoT, Cloud Computing, Simulación, etc. se incorpora al mundo OT para poder mejorar las técnicas y procesos en la producción. Hay una frase que dice que “Lo que no se puede medir, no se puede mejorar” y claro las mediciones son datos y los datos, es información. Una información que debe ser recogida, clasificada, analizada y puesta a disposición de los responsables para optimizar dichas técnicas y procesos.

Como vemos aquí se juntan dos disciplinas, por un lado los profesionales de la Seguridad de la Información (IT) y por otro los Ingenieros de Procesos (OT). Aunque ambas mentalidades estén condenadas a entenderse no está exento de confrontaciones profesionales debido a una serie de factores.

No es que unos sean mejores que otros, sino que son distintos. Para unos la premisa es salvaguardar la integridad, confidencialidad y disponibilidad de la información; mientras que para los otros es la disponibilidad, la integridad y la confidencialidad. Para unos una parada de servicio puede ser asumible (hasta cierto tiempo), mientras que para los otros, 5 minutos puede ser una eternidad. Si se produce una brecha de seguridad y existe una fuga de información es sin duda un hecho muy grave del que con más o menos impacto en la imagen corporativa, económica e imagen pública, se termina saliendo. Pero si un malware se propaga y afecta a la estación que interactúa con un PLC o conjunto de ellos y modifica el comportamiento de válvulas, sensores, actuadores y tanto otros dispositivos bien de una fábrica o una Infraestructura Crítica, las consecuencias pueden afectar desde población civil hasta daños medioambientales. Puesto que los sistemas de los que son responsables tiene diferentes propósitos, también son los intereses. Entre sectores es muy común que cada cual tenga su forma de trabajo y no se quiera que otros interfieran en la forma de trabajo. En resumen, muy a menudo se repite aquello de “Cada maestrillo con su librillo” o “No te metas en mi terrreno que yo no me meteré en el tuyo”.

Otro de los puntos es la falta de interés por lo que hacen sus colegas. La forma de trabajo se ha vuelto muy modular y especializada, y cada cual tiene a su cargo un conjunto de responsabilidades y obligaciones que debemos cumplir, y por lo general a todos nos faltan horas para terminar en tiempo y forma. Si no podemos con lo nuestro, como para ponernos a ver cómo hacen las cosas los demás… Esto sin tener en cuenta la existencia de rencillas o conductas que promuevan poco o nada la colaboración entre departamentos. Aquello de “todos somos un equipo que debemos alinearnos con los intereses corporativos dejando de lado los personales en favor de una visión común que haga de esta empresa algo más grande de los que debamos sentirnos orgullosos”. Eso está muy bien, muy bonito, pero lo cierto es que cada vela por lo suyo y cuando uno necesita del otro a veces no se da toda la colaboración que se necesita. No es menos cierto que cada cual tenga que “barrer para casa”, pero esto a veces resulta una autentica barrera.

Al hilo de lo anterior aquí la empresa juega un papel fundamental y con el nuevo paradigma de la Ciberseguridad, los Directivos, Consejeros o Gerentes deben hacer un esfuerzo administrativo para fomentar una estructura de procesos organizativos que promuevan la colaboración entre departamentos o sectores. Imaginemos el caso de que por alguna razón se produce una infección tipo ransomware en un PC dependiente del sector de IT que alcanza estaciones de trabajo de Ingeniería y a su vez afecta al software encargado de interactuar con tal o cual autómata. Resultado, la instalación parada durante equis tiempo hasta que se restaura un el sistema en cuestión. Eso dando por hecho que tenemos un plan de backups y tenemos uno “limpito”. ¿Empiezan las risas…Cómo es que tu equipo se ha infectado?; Y tú porqué tenias un PC fuera de soporte?; pero tu deberías de poner las medidas para parar este malware; Y tú porqué no te has preocupado del riesgo que tenías; y bla bla bla… Al final ya nada de eso importa, lo real es que la empresa en su conjunto se ha parado, ha funcionado a menor rendimiento o ha dejado de ganar una cantidad determinada de dinero. En mi opinión estamos ante una nueva circunstancia, aglutinar a profesionales de uno y otro bando y que ambos proporcionen su conocimiento y experiencia para proteger organizaciones, instituciones e infraestructuras.

Otro de los puntos es el uso del lenguaje. Para poder alcanzar una solución el primer paso es entenderse. Mientras que unos hablan de Firewalls, IPS, Hardening, malware, segmentación, y demás tecnicismos; otros están acostumbrados a hablar de electroválvulas, motores, hidráulica, sensórica, autómatas, y tal y cual. Y claro si no entendemos el lenguaje, mucho menos saber a qué nos estamos refiriendo y sobre todo porqué es necesario tomar estas medidas. Si no sabemos de lo que hablamos, ¿cómo nos vamos a proteger? Es imposible llegar a buen puerto. Una vez más la formación es el primer paso, hay que aprender. Los tiempos cambian, las tecnologías evolucionan y hemos de hacernos con nuevos conocimientos siempre dentro de nuestra especialización. Tampoco se puede saber de todo. Aprender a identificar las interdependencias entre dispositivos y el riesgo resultante desde un punto de vista de la ciberseguridad es fundamental.

También me gustaría añadir un aspecto que para mí resulta clave. El ámbito IT está muy maduro y es consciente en cuanto a procedimientos que garanticen la seguridad de la información. Con la llegada al mundo industrial de todo estos nuevos retos y oportunidades que ofrece la aplicación de todas estas tecnologías y servicios, resulta obligado la creación de nuevos roles y procesos específicos relacionados con Ciberseguridad en sistemas de automatización y control. Se han de crear nuevas figuras y con ello nuevas responsabilidades, que no siempre son fáciles de asumir y mucho menos de querer hacerlo. Nuevos criterios se imponen, y las formas de trabajo hay que adecuarlas a las nuevas circunstancias. Hay que saber cómo gestionar las incidencias, los cambios, los activos, las vulnerabilidades y aprender a documentar todo cuanto tengamos entre manos. Si no sabemos los equipos y tecnologías, ¿cómo vamos a protegerlos? Difícil, ¿no?

Lo dicho que IT y OT no les queda otra que empezar a trabajar de la mano, y cuanto antes lo hagan mejor que mejor. No se trata de cumplir normas e implementar porque sí las cosas. Cumplir con la legislación te salva de la multa, pero nunca del riesgo de que te pase algo. Al fin y al cabo, reducir los riesgos es lo que va a permitir, en mayor o menor medida, que una amenaza descubra una vulnerabilidad, la explote y consiga su objetivo. Esto sólo lo conseguiremos trabajando en conjunto y cada cual, con lo suyo intransferible, aporte su parte.

Un saludo, hasta la próxima.