*Por Dr. Roberto Luna Moreno
En la actualidad uno de los temas más importantes es la ciberseguridad y más aún cuando se habla de bancos o de oficinas. Al consultar esto con las personas encargadas, nos hablaron de todo lo que implica el uso de los antivirus, spywares, firewalls, etc y lo importantes que son.
Sin ir más lejos, la ciberseguridad la vivimos a diario, cuando ingresamos nuestra contraseña para empezar a trabajar o cuando se quiere acceder a nuestra cuenta bancaria a través de una aplicación y todo ello se hace para preservar la seguridad y confidencialidad para así poder tener todas la ventajas que nos presenta el uso de la tecnología, el acceso a la información, la simplificación de las tareas y la toma de decisiones en cualquier lugar, y más en un entorno como en el que nos encontramos inmersos, ante el COVID-19 en el cual tener esta interconectividad total más que un gusto se ha convertido en una necesidad.
Precisamente, la INDUSTRIA 4.0 permite obtener todas las ventajas y bondades que actualmente se tienen con el uso de la tecnología en las actividades diarias, pero enfocado en las plantas industriales, el contar con toda esta información, el tener el control de las cosas y el poder tomar decisiones en tiempo real, son precisamente lo que está incitando el despegue de esta 4ta revolución industrial, pero para que todo esto se logre generar, se necesita tener acceso a la planta desde la nube, lo cual representa un gran riesgo de seguridad.
¿Pero qué tipo de riesgos de seguridad?
- “En Enero del 2020 El «gusano» – ahora conocido como Stuxnet – tomó el control de 1,000 máquinas que participaban en la producción de materiales nucleares y les dio instrucciones de autodestruirse.”[1]
- “Piratas informáticos, que se sospecha tienen nexos con algún gobierno, han atacado el sistema de seguridad de una planta industrial, de acuerdo con investigadores de la firma de ciberseguridad FireEye y la multinacional Schneider Electric, víctima del ”[2]
Estos son solo algunos ejemplos de los múltiples ataques que se realizan año con año a la industria. Se estima que la mitad de los sistemas críticos en México sufrieron intentos de infección con algún tipo de malware durante el 2018, según una investigación de la firma de ciberseguridad Kaspersky, un sistema crítico es aquel que si llegara a fallar puede ocasionar pérdidas económicas cuantiosas, poner en peligro la vida humana o dañar al medio ambiente. Según Kaspersky tan solo en agosto del 2019, un tercio de las computadoras industriales en México fueron atacadas. La mayoría de estos ataques se realizó a través de internet, de dispositivos removibles, como memorias USB o de mensajes de correo electrónico.[3]
Como se mencionó al inicio, la ciberseguridad ha pasado a convertirse en un tema relevante para la industria y acorde a diferentes firmas de investigación en ciberseguridad, el gasto anual se ha incrementado considerablemente a nivel global demostrando que la industria esta convencida de afrontar este desafío y poder salir airoso del mismo.
Derivado de esto, organizaciones a nivel mundial tan importantes como la ISA y la IEC han unido esfuerzos para trabajar en la Ciberseguridad de la industria con el fin de gestionar los riesgos de seguridad inherentes a los sistemas de control industrial, siendo fundamental proteger su información, activos, trabajadores y el medio ambiente generando la “ISA/IEC 62443 – Estándar global de ciberseguridad para la automatización industrial” que proporciona un marco común basado en el riesgo para abordar y mitigar las amenazas a los IACS (Sistemas de Automatización y Control Industrial) en toda la cadena de suministro. El cual recaba entre los puntos más importantes:
- Definir métricas de cumplimiento para la seguridad en IACS
- Requerimientos para un sistema de gestión de seguridad en IACS
- Programa de operación para un sistema de ciberseguridad
- Guía para llevar a cabo un programa de actualizaciones
- Requerimientos de seguridad y niveles
- Análisis de riesgos de seguridad y diseño de sistemas
- Requerimientos en el desarrollo de productos para la industria.
Endress + Hauser, siendo una empresa que está lidereando la industria 4.0 en la instrumentación industrial, está comprometida con la ciberseguridad de sus instrumentos, ofrece un enfoque de seguridad integral, ya que la seguridad es una parte integral durante todo el ciclo de vida de nuestros productos, servicios y soluciones. Apoyamos para diseñar de forma segura, gestionar el riesgo, reducir la probabilidad de ataques, mejorar la defensa y ayudar a reaccionar oportunamente.
Endress + Hauser ha demostrado que su ecosistema IIoT Netilion cumple con los más altos estándares de seguridad de la información. Desde el primer día, los criterios relacionados con la Gestión de la Seguridad de la Información recibieron la máxima atención y sirvieron como una guía útil para implementar servicios digitales y garantizar una buena ciberseguridad en la industria mediante:
- Cumplimiento de la legislación y las normas, al establecer una gestión profesional de la seguridad de la información utilizando las tecnologías IIoT, el ecosistema Netilion cumple con las siguientes normas básicas.
- ISO 27001 Gestión de seguridad de la información
- ISA/IEC 62443 Estándar global de ciberseguridad para la automatización industrial
- Sistema de gestión de servicios ISO 20000
- Sistema de gestión de calidad ISO 9001
- Seguridad de los datos: los datos del cliente almacenados y procesados en el ecosistema Netilion siempre se tratan con sumo cuidado. Los usuarios tienen derecho a ingresar, actualizar y eliminar sus datos. Todas las medidas cumplen con los requisitos del GDPR.
- Ubicaciones del servidor: los servidores en los que se basa el ecosistema Netilion se encuentran en Frankfurt y Dublín. Desde el punto de vista de la ciberseguridad, los servidores ubicados en la Unión Europea se consideran muy seguros.
- Procesos organizativos: Endress + Hauser ha establecido procesos para reaccionar rápidamente en casos de emergencias de seguridad de datos, todo conforme a GDPR. Las partes afectadas serán informadas de inmediato y se tomarán medidas contrarias.
- Transparencia: Endress + Hauser ha implementado un proceso de soporte transparente que informa al cliente de manera clara cómo se trata su consulta.
- Características de la aplicación: la interfaz de usuario del ecosistema Netilion IIoT tiene todas las características necesarias, que incluyen, entre otras, una guía de contraseñas de última generación, gestión automática de contraseñas, cierre de sesión temporizado y funciones de exportación.
[1] El virus que tomó control de mil máquinas y les ordenó autodestruirse. (2015, octubre 11). Recuperado 8 de abril de 2020, de https://www.bbc.com/mundo/noticias/2015/10/151007_iwonder_finde_tecnologia_virus_stuxnet
[2] Beamonte, P. (2017, diciembre 18). Hackers consiguen atacar el sistema de seguridad de una planta industrial. Recuperado 8 de abril de 2020, de https://hipertextual.com/2017/12/hackers-consiguen-atacar-sistema-seguridad-planta-industrial
[3] R. 1. R. 1. D. N. (2019, noviembre 13). 5 sectores más expuestos a ciberataques en México. Recuperado 8 de abril de 2020, de https://www.eleconomista.com.mx/tecnologia/5-sectores-mas-expuestos-a-ciberataques-en-Mexico-20191112-0058.html
*Dr. Roberto Luna Moreno (https://www.linkedin.com/in/roberto-luna-moreno/) Ingeniero en Mecatrónica egresado del Instituto Politécnico Nacional de la UPIITA, cuenta con una maestría en Alta Dirección, y es Doctor en Ciencias Administrativas; cursó diferentes estudios avanzados en analizadores in-line en USA y ALEMANIA. Actualmente está certificado por exida como CSFP, pertenece a la sección de seguridad de la ISA México; es miembro activo del Padrón Nacional de Evaluadores de la EMA en las magnitudes de flujo y presión y se desempeña como Oil & Gas Industry Manager and Advance Analytics Product Manager en Endress+Hauser México.