Los pasados 5 y 6 de octubre se celebró en Madrid el VII Congreso Internacional de Ciberseguridad Industrial [4.0] organizado por el Centro de Ciberseguridad Industrial y que tuvo lugar en el Hotel Meliá Avenida América. Se trata de uno de los más relevantes dentro del panorama nacional e internacional, convirtiéndose en punto de encuentro de intercambio de experiencias y relaciones de todos los actores involucrados en la materia.
El primer día comenzó con la introducción de José Valiente dando la bienvenida a los asistentes y agradecimiento a patrocinadores y empresas colaboradoras. A continuación, se hizo un repaso por la trayectoria del CCI y los distintas personas que han participado en los congresos realizados hasta la fecha, ya que como él dijo “Presente y futuro están ligados”. Otras de las colaboradoras, Susana Asensio (Responsable de Proyectos del CCI) comentó las próximas iniciativas del CCI, como son:
- Membresía profesional del CCI.
- Programa de reconocimiento del Ecosistema CCI.
Finalmente Miguel García-Menéndez, explicó el programa de ambos días, con algún ligero cambio en alguna de las ponencias.
Así comenzó la primera, de la mano de Rossella Mattioli (Security and Resilience of Communication Networks Officer at ENISA) bajo el título “Protegiendo los servicios y la tecnología IoT en Europa”. Hizo una presentación de ENISA y las labores que realizan en referencia no sólo a proteger la información y a los ciudadanos europeos sobre Tecnologías de Información (IT) sino también los entornos industriales e Infraestructuras críticas. Entre ellas, realización de cursos, estudios y recomendaciones, que publican y pueden realizarse para fomentar el conocimiento y compartir la información recaba estos estos ámbitos. Todo ello puede ser consultado en su página web. Más tarde se centra sobre la necesidad de securizar infraestructuras y servicios, como pueden ser transporte, salud, financias, Smart Grids, etc. Se puede encontrar más información en el siguiente enlace. Se aborda el tema de IoT, de lo que implica, nuevos paradigmas y lo que se deriva en materia de ciberseguridad, nuevos desafíos, las redes no son todo lo seguras que deberían, vulnerabilidades en protocolos, perímetro indefinido, etc. También nos hizo referencia a otros escenarios no por ello menos importantes como coches, hogares y ciudades. Más información.
Seguimos con una mesa redonda “La difícil tarea de la Integración IT y OT en Industria 4.0” estando como ponentes David Pozo (Siemens) Joseba Laka (Tecnalia) Jorge Rivera (Telefónica) y Andrés de Castro (IoT Partnet Business Manager, CISCO).- Aquí más que una exposición fue dar los distintos puntos de vista sobre preguntas que detallo a continuación y también algunas ideas rescatadas.
Pregunta: Están colaborando las organizaciones que desarrollan tecnologías IT con las que desarrollan tecnología sOT para crear plataformas Smart Factory?
Sí, hay colaboraciones ya que una empresa no puede abarcar todo y es preciso ayudar entre los distintos actores.
Es una colaboración forzada.
Preguntas: Cuáles consideras que deben tener las directivas que marquen la estandarización de Smart Factory?
Publicación del documento Industrial internet Security Framework, liberado en setiembre en un avance pero le queda un trecho para que esté optimizado.
Los estándares son necesarios, y algo retrasados con las necesidades del mercado.
Las necesidades es que los sistemas sean abiertos e interoperables.
No es equiparable el Smart Grid, con diversidad que presenta el mundo industrial.
Pregunta: Cuáles son las principales implicaciones para integrar IT y OT en la Smart Factory desde el punto de vista de los riesgos tecnológicos y su protección?
Supone rediseñar productos OT y mitigar el riesgo de sufrir un ataque o incidente. Uno de los pilares sigue siendo la separación y segmentación.
Se cita a GSMA como referencia a elemento de comunicación.
Uno de los medios es dotar de banda ancha en los polígonos industriales ya que todo está interconectado.
Pregunta: Cómo debería de ser la cualificación de los profesionales de ciberseguridad para proteger los riesgos tecnológicos en Smart Factory?
Muchas amenazas, pocos profesionales.
Falta de vocación y profesionales en el sector y poco especializados en ciberseguridad. Los profesionales de la ciberseguridad están en permanente formación.
Las universidades deben promover los conocimientos.
Las empresas y proveedores deben impulsar certificaciones y especializaciones.
No sólo centrarse en cuestiones tecnológicas, también es necesario otros profesionales en otras entornos como psicología, pedagogía, filosofía, periodismo, comunicación, para aportar un punto de vista distinto al ingeniero o técnico.
Seguimos con la ponencia “La Empresa Digital, en el camino hacia la Industria 4.0” de la mano de David Pozo (Technical Director Industry Automation, SIEMENS). Se habló de los dos grandes bloques EEUU y Europa (Alemania) y de la diferencia conceptual sobre la materia, EEUU habla de IIoT y en Europa, Industria 4.0.
Para el ponente, el concepto de Industria Inteligente bien por la interconexión o inteligencia, no es algo nuevo pero sí se viene materializando progresivamente en los últimos años. No se trata sólo de que todo esté conectado. Tanto en la fabricación de un producto como en el proceso es necesario intercambiar información, por tanto Ingeniería de producción y diseño de producto deben estar ligados. Esto influye en:
- Mantenimiento predictivo.
- Planificación, Ejecución y Servicio de las instalaciones.
- Da lugar al resto de pilares de la industria 4.0.
- Simulación. Imitar el funcionamiento de las instalación para saber antes de montar la infraestructura. Esto es un ejemplo a nivel de planta, pero se puede hacer a nivel de celda y nivel de máquina.
- Big Data: Explotación de datos generados para llevar a cabo una trazabilidad del producto que lo genera y tomar medidas en tiempo real.
- Cloud: Servicio en la nube. Empresas son reticentes pero se implementará cada vez más. Dejar en manos de profesionales ciertos servicios.
- Machine Learning: Las máquinas aprenden de su comportamiento y toman deciciones.
- Robótica: Específica la colaborativa que interactúa con personas. No son rápidas por seguridad de las personas. Tareas repetitivas sustituirán a las personas, pero hasta cierto punto.
- Dispositivos móviles: BYOND, wereables (gafas, picking by voice) todo interconectado.
Ya sobre las 11:30 hasta las 13:00 “Situación de la Ciberseguridad Industrial 4.0 en Europa (Alemania, Francia y España)” con Jens Wiesner (BSI, Alemania) Jérôme Sobecki (ANSSI, Francia) Juan Delfín Peláez (INCIBE, España). En esta ocasión el objetivo era cómo distintos organismos de países europeos abordan la ciberseguridad industrial y protección a Infraestructuras Críticas.
Alemania:
El enfoque de la seguridad en IT es distinta a la OT, exponiendo dos ejemplos sobre incidentes en Hospitales y Plantas Nucleares. Para proteger las insfraestructuras críticas existe The Federal Office for Information Security (BSI) la cual se apoya en la una ley específica que regula lo relacionado con la seguridad para Tecnologías de Información, denominada (ITSecAct).
Ya en concreto sobre la protección a Infraestructuras Críticas se habla de la identificación, categorización, criterios y métodos de protección. Más Información:
Francia:
La exposición del ponente francés plantea muchas similitudes con el ponente Alemán.
En este caso la responsabilidad recae sobre ANSSI, (Agence Nationale de la Securite Systemes de Information) cuyo dos misiones principales son prevenir y reaccionar ante ciberataques, constituyendo como deberes: prevenir, defender e informar.
A continuación se realiza la aproximación sobre la protección de Infraestructuras Críticas aplicando el concepto de CIIP (Critical Information Infrastructure Protection). Aquí destacar el concepto sobre el que trabajan que lo denominan Operador de Vital Importancia (OIV) definiendo doce sectores como agua, energía, defensa, etc. Para protegerlas manejan 4 medidas principales como son:
- Security Rules
- Notification
- Inspection
- Major Crisis
ANSSI establece grupos de trabajo con Fabricantes, compañías privadas, integradores y otros actores. Dentro de su método de protección se definen 3 niveles, Riesgo o impacto, bajo, medio y alto realizando una clasificación, en función del activo, el riesgo y la probabilidad de que tenga éxito, definiendo vectores de ataque, atacantes, vulnerabilidades e impacto del incidente.
Finalmente se hace un caso de estudio de un túnel para vehículos.
Para más información:
España:
Finalmente llega el turno de España, de la mano de INCIBE. El exponente hace referencia a la Directiva Europea de protección e las Infraestructuras Críticas, la cual obliga a
- Cada país debe disponer de una estrategia de ciberseguridad.
- Definir autoridad competente.
- Implementar medidas para garantizar nivel de ciberseguridad.
- Obligaciones de los proveedores de servicios
En referencia a las Infraestructuras Críticas, España tiene la ley LPIC y documentación específica sector que regula las medidas a tomar según actividad.
Desde hace poco tiempo ha surgido el CERTSI, que resulta de la colaboración de CNPIC e INCIBE. CERTSI ofrece una amplia variedad de servicios como:
- Servicios de Information gathering, geolocalización para las empresas u operadores críticos que se adieran a sus servicios.
- Bitácora de incidentes.
- Avisos de Sistemas de Control Industrial.
- Guías y recomendaciones.
- Habla herramienta
Finalmente se está editando un esquema Nacional de seguridad Industrial (ENSI), un instrumento para la mejora de la ciberseguridad de las empresas del sector industrial, especialmente particularizado a Operadores Críticos, para minimizar los riesgos relacionados con la ciberseguridad. Allí se incluye un indicador de Ciberresiliencia para conocer cómo de fuerte son las infraestructuras críticas para soportar un incidente de seguridad.
La conclusión es ver cómo 3 países a través de las distintas agencias lleva cabo actividades, servicios e iniciativas para proteger sus infraestructuras críticas y sistemas de control industrial instaurados en el sector tanto público como privado.
La siguiente se tituló “Protegiendo la integración de SAP con la planta industrial” con Juan Bautista López (Desarrollo de Negocio Seguridad,Tecnocom) Alfonso Moreno (Gerente de Soluciones de Gestión Empresarial, Tecnocom) Andrés De Castro (IoT Partner Business Manager, Cisco).
Se explica la aplicación de SAP para la industria 4.0 y llevar a cabo los nuevos retos que se presentan. Se habla de una nueva suite de productos denominada S/4HANA, simplificada y basada en las mejores prácticas para la industria. Se compone de:
- SAP Manufacturing ERP
- SAP MII
- SAP EWM
Un mensaje destacado fue la importancia de proteger este tipo de software como SAP, que almacenan información relevante de la información, más aún cuando éstas interactúan con entornos OT y los dispositivos que subyacen en él. Los sistemas SAP son objetivo de espionaje, sabotaje, fraude o terrorismo. Luego CISCO hace una presentación desde su punto de vista. La integración aporta valor añadido pero aumenta su complejidad que es necesario securizar. Para CISCO es un todo:
- Seguridad en la comunicaciones y dispositivos.
- Visibilidad y control de los dispositivos.
- Análisis e inspección de paquetes. Estudiar patrones y tendencias.
Para conseguirlo se presenta equipos como el ISA 3000 y productos como “Edge Analytic Fabric”.
14:30 – 15:00
La empresa StormShield bajo el titulo “Implemente su política de seguridad industrial 4.0 con protección de la red y de los equipos terminales” con Robert Wakim (Industrial Engineering Director StormShield) Presentó la gama de productos para entornos industriales como “Stormshield NetworkSecurity” y “Endpoint Protection”, basado de seguridad de red (SNi40) y software endpoint.
Se realiza una demostración práctica en el que simula un ataque. El objetivo es un depósito de aguas que es supervisado por un HMI y controlado por un PLC de Shneider y que se comunican por ModBus. Además, en medio hay un FW SIN40 para proteger las comunicaciones. Lo que se demuestra es que al abrir un fichero no autorizado el Endpoint no permite la ejecución una aplicación que lo realiza.
15:00 – 15:30
Siguiendo con más llegó el turno de Marc Blackmer (Director de Servicios de Ciberseguridad Industrial, CISCO) y de la ponencia “Educando por Diversión y sin Ánimo de Lucro”. Nos presenta la idea de demanda de profesionales en el sector de la ciberseguridad y la manera de iniciar a jóvenes en este ámbito por medio de la diversión y el aprendizaje progresivo.
Como dijo, “Puedes decepcionar a un adulto pero no a un niño”. Para ello hace un repaso de distintos eventos donde se propone a los asistentes tratar de hacer con un equipo algo distinto a lo que estaba destinado originalmente. En el camino se descubren nuevas deficiencias, mejoras, funcionalidades, vulnerabilidades y se establece un proceso de enseñanza práctico.
Para alcanzar este propósito se habla de la iniciativa en la que participa y promueve junto con otras personas como es 1NTERRUPT.
16:00 – 16:30
Más tarde Arkaitz Gamino (CTO, ITS Security) Iñaki Eguía (CINO, ITS Security) nos presentaron “Defensa activa de la zona OT”. Nos hablaron de Unit71 y de cómo desde el respaldo de otras empresas del grupo industrial al que pertenecen ofrecen una gama de servicios basados en el principio “seguridad industrial, desde la industria”. Se habla de cómo afecta la ciberseguridad considerando las características de la actual y de la importancia que cobra la protección y reducción de riesgos, mostrando la fórmula:
Overall Equipment Efficency = Disponibilidad x Rendimeinto x Calidad.
Se citan vectores de ataques, como USB, redes Wifi inseguras, Redes no separadas y segmentadas, etc. y sobre todo resaltar la seguridad como un proceso que requiere una vigilancia activa, basado en Defensa Pasiva (Antivirus, IP/IDS, Firewall. Etc) y Defensa Activa (Caracterización de las amenazas, Monitorización, Respuesta ante incidentes, Análisis Forense y Aprendizaje). En base a esto, presentan los servicios de iSOC (Industrial Security Operation Center) de Unit71 desde donde se ofrecen servicios que cubren estos aspectos.
16:30 a 17:00
Continuando con las ponencias llegó “Cómo lidiar con la amenaza interna en entornos de operación e infraestructuras críticas. El Insider Threat Program (ITP)” con Fernando Sevillano (Director de Ciberseguridad Industrial, LOGITEK). Ésta se centraba en la amenaza humana basado en la figura “Insider Threat” y de cómo ha aumentado suponiendo un riesgo cada vez más elevado. Sus características son,
- Conocimiento de redes, sistemas
- Hay una mala intención
- Ha afectado a la seguridad con intención o desconocimiento.
Y dentro de las acciones que llevan a cabo se pueden centrar en:
- Acceso no autorizado,
- Exponer datos sensibles,
- Denegación de servicio.
De esta manera se plantean una serie de medidas para mitigarlo, centrándose especialmente en prevenir, detectar y responder. Se repite la canción. Logitek propone desde su punto de vista, los controles que podemos llevar a cabo para detectarlos. Un checklist con 13 puntos donde nos dice, qué debemos comprobar, cómo analizar candidatos en los procesos de selección, considerar a los trabajadores como amenazas, corroborar políticas, monitorizar accesos y sistemas que detecten comportamientos anómalos, etc.
17:00 – 17:30
Aquí Miguel García-Menéndez (Vicepresidente, Centro de Ciberseguridad industrial) nos habló del “El directivo 4.0”. La ponencia trata sobre todo de los retos y oportunidades que presenta la era digital. Comenzó por habladnos de la actividad de KPCB.
A lo largo de la ponencia analiza las estadísticas mostradas en los reportes anuales que hace esta empresa donde se ve que lo digital sigue siendo un campo de oportunidades. Se citan estimaciones del dinero que se espera mover en este ámbito. Sin embargo no todo son alegrías, solo el 25 % aporta valor. Para esos retos en el proceso de digitalización se abordan distintas cuestiones a la hora de emprender como:
- Arrancar
- Metas cambiantes.
- Preguntas inquietantes.
- No compensa
- Miedos
- Incentidumbres
- …..
17:30 – 18:00
Para terminar llegamos a “Implantación y Certificación SGCI en Sistema de Supervisión de Plantas Industriales” de la mano de Juan Luis Carús (Director de Proyectos, Grupo TSK). Tras una presentación de TSK se nos habla de un caso de uso de la implementación de la Guía editada por el CCI sobre Sistema de Gestión de la Ciberseguridad Industrial donde José Valiente explica el objetivos y características destacando Premisas (Aplicación inmediata y Facilidad en el uso) y otras guías sobre las cuales se han basado para editarla (ISO/IEC 27001, ISO/IEC 27002, IEC-62443).
Así llegó el momento de presentar un caso de uso. Se centraba precisamente en la implantación la guía del CCI en el puesto de telecontrol para la herramienta propia de TSK SisRem para plantas solares de sus clientes.
Tras ésta, se dio por finalizada la primera de las jornadas. Variada, con distintas temáticas pero en cualquier caso interesante y muy productivas, aunque como siempre uno tiene sus preferencias y hay algunas que gustan más que otras.
En breve, publicaré la crónica del segundo día, pero por ahora aquí os dejo esta.
Un saludo!