La gran majoria de pimes no es considera un objectiu ‘’atractiu’’ per a un atac informàtic i per aquest motiu, els seus sistemes no garanteixen la seguretat que, actualment, es requereix. En pimes industrials, a més, moltes d’aquestes companyies tenen equips ‘‘obsolets i vulnerables’’, per la qual cosa cal estar preparat per evitar mals majors. Però, què cal tenir en compte en ciberseguretat industrial? La ciberseguretat industrial ha protagontizat la jornada ‘Ciberseguretat Industrial. Una visió pràctica per a les Pimes’ a Enginyers Industrials de Catalunya. Aquí resumim els deu punts clau.
1. Qui pot voler atacar la teva empresa?
Més del 95% dels atacs, s’inicien des de dins de la mateixa empresa, per part de treballadors interns o de proveïdors de serveis. Que poden tenir algun tipus de rancúnia cap a la nostra empresa, o que són enganyats mitjançant tècniques d’enginyeria social, per a que facilitin informació personal, cliquin en un enllaç, descarreguin i obrin un arxiu maliciós, o connectin un dispositiu USB.
La ciberseguretat no és cosa de les pel·lícules, totes les empreses, ja siguin grans o petites, patiran un o més ciberatacs al llarg de la seva vida, el que no sabem és quan, o si l’estan patint en aquest moments i no ho saben.
2. Quin és l’objectiu de la ciberseguretat?
L’objectiu de la ciberseguretat és posar les coses difícils als ciberdelinqüents, de manera que els intents d’atac, no s’arribin a materialitzar i quedin en només un intent. I que en cas de que arribin a tenir èxit, les conseqüències per a l’empresa siguin mínimes i no hagi d’arribar a tancar. Per això, la ciberseguretat no s’ha de percebre com una despesa, sinó com una inversió que evitarà futures pèrdues i maldecaps, a més de ser una oportunitat per millorar els processos interns.
3. Podem estar completament segurs?
La seguretat 100% no existeix. Ningú pot garantir que posant el millor tallafocs del món, o fent un curs de conscienciació estarem completament segurs. Per molt bé que ho tinguem, cada dia apareixen noves vulnerabilitats o fem modificacions en els nostres sistemes que poden posar en risc la nostra empresa. Cal revisar periòdicament la seguretat dels nostres sistemes mitjançant un anàlisi de riscos que permeti determinar si calen prendre accions correctores, per mantenir el risc a un nivell acceptable.
4. Quines poden ser les conseqüències d’un ciberatac?
Les conseqüències poden ser molt diverses, robatori d’informació sensible, espionatge industrial, no poder accedir a la nostra informació, no poder atendre als nostres clients durant dies o setmanes, pèrdues de producció, pèrdua de reputació.
A nivell industrial ens podem trobar, a més: aturades de línies de producció intempestives (sense motiu aparent), emissions a l’atmosfera, anul·lació de proteccions de seguretat, modificació dels paràmetres de receptes, etc., que poden posar en risc les instal·lacions, les persones i el medi ambient.
A més de tot a això, cal tenir present, que protegir adequadament la nostra informació i les nostres instal·lacions enfront a ciberatacs és responsabilitat de l’empresari, i que no fer-ho pot comportar, a més de tot ho anterior, sancions, tant econòmiques com penals.
Per això cal considerar la contractació d’una assegurança que cobreixi els ciberriscos. Ja que estadístiques recents, indiquen que el 60% de les pimes que pateixen un atac greu, com un Ransomware, acaben tancant 6 mesos després.
5. La inseguretat dels Sistemes de Control Industrial (ICS)
Els Sistemes d’Automatització i Control Industrial (IACS) que controlen el funcionament i la producció de les empreses industrials són insegurs per naturalesa. En els seus inicis aquest tipus d’instal·lacions estaven aïllades de la resta de l’empresa i utilitzaven protocols propietaris que no incorporaven cap mena de seguretat o xifrat de les comunicacions. De mica en mica, aquestes instal·lacions s’han anat interconnectant entre elles i cap a la resta de l’empresa, experimentant una explosió arran de la transformació digital i la indústria 4.0. El problema és que moltes instal·lacions que estan actualment en funcionament tenen més de 20 ó 30 anys i els seus sistemes de control fa molts anys que no tenen suport per part del fabricant i tenen moltes vulnerabilitats, essent un objectiu molt fàcil d’atacar. A més els integradors de sistemes i programadors no són especialistes en ciberseguretat, i és molt habitual trobar a les empreses que tenen, sense saber-ho, els equips exposats a Internet i amb les credencials per defecte.
6. La norma ISA/IEC 62443, el referent per als Sistemes de Control Industrial (ICS)
Es tracta d’una norma que proporciona un marc flexible per abordar i mitigar les vulnerabilitats de seguretat actuals i futures en els Sistemes d’Automatització i Control Industrial (IACS).
Estén la responsabilitat de la ciberseguretat a: fabricants, integradors, mantenidors i propietaris. Que han de treballar conjuntament i de forma coordinada per tal de millorar la seguretat, confiabilitat, integritat i seguretat els IACS mitjançant un procés metòdic basat en el risc al llarg de tot el seu cicle de vida.
La seguretat depèn de les persones, el procés i la tecnologia. La formació i conscienciació de tot el personal de l’empresa és essencial per millorar la ciberseguretat de les nostres instal·lacions al ser les persones la principal via d’accés. Però per a que funcioni cal la implicació de la direcció de l’empresa que és la que ha d’aconseguir integrar la cultura de ciberserguretat en l’ADN de l’empresa.
7. Defensa en Profunditat
La defensa en profunditat és basa en protegir els nostres actius mitjançant tota una sèrie de capes de protecció complementaries que han de ser sobrepassades per a que un atac tingui èxit. D’aquesta manera l’atacant, per a tenir èxit, caldrà que trenqui o eludeixi cada capa sense ser detectat, de manera que un defecte en una capa serà protegit per les capacitats de protecció de les altres capes i la seguretat del sistema es convertirà en un conjunt de capes dins de la seguretat de la xarxa general.
Cal vigilar amb el cas de que una única vulnerabilitat sigui capaç de comprometre múltiples capes a la vegada.
8. Segmentació en Zones i Conductes
A nivell industrial és molt important assegurar que l’atac en una màquina o instal·lació no es pugui propagar a la resta d’instal·lacions o a la xarxa empresarial de IT. Ja que si les diferents instal·lacions no estan degudament aïllades unes de les altres, un atacant podrà saltar d’una instal·lació a una altra molt fàcilment, propagant-se per tota la empresa i aturar totes les línies de producció de l’empresa. Per això cal revisar l’arquitectura de xarxa de totes les nostres instal·lacions, de manera que únicament es puguin comunicar entre sí les màquines o instal·lacions que així ho requereixen, i prohibint tota la resta de comunicacions.
9. Qui s’ha d’encarregar de la ciberseguretat ICS/OT?
Totes les empreses industrials haurien de tenir un Responsable de Ciberseguretat ICS/OT que conegui els processos productius (com ha de funcionar la instal·lació), que tingui experiència en automatització i control industrial, i que tingui coneixements específics en informàtica, xarxes i ciberseguretat.
Malauradament, és força habitual trobar empreses que han delegat la ciberseguretat OT al departament de IT o a l’encarregat de manteniment industrial. Això que podria semblar el més normal pot suposar un greu problema per al funcionament de les instal·lacions de control industrial. Ja que generalment, el personal de IT no en sap res del món industrial i d’automatització, i l’ús de programari d’ús comú en un entorn de IT per a realitzar diagnòstics de seguretat, pot causar aturades i mal funcionaments si s’utilitzen en un entorn OT.
10. Com podem abordar la ciberseguretat industrial?
La majoria d’empreses no saben quins equips de control tenen instal·lats a les seves instal·lacions, marques, models, versions de firmware, estat d’actualitzacions, vulnerabilitats, etc. Ni com està dissenyada la xarxa i connectats els equips entre ells.
Per això, el millor és començar realitzant un diagnòstic bàsic de ciberseguretat, que permeti detectar la situació de partida de l’empresa i en base a aquest diagnòstic inicial, i les característiques particulars de l’empresa, definir amb la direcció unes fites i un pla d’accions, que siguin realistes i assumibles per a l’empresa.
Aquest diagnòstic permetrà a l’empresa identificar i caracteritzar tots els actius, identificar vulnerabilitats, avaluar els riscos, aplicar mesures correctores i determinar el ciberrisc residual. A més també hauria de definir les polítiques de ciberseguretat, i els plans de contingència i continuïtat que li permetran poder continuar amb l’activitat en el menor temps possible i amb el menor impacte econòmic. Sense oblidar-nos de la formació i conscienciació de tots els treballadors en protecció de la informació i ciberseguretat.
