La industria, al igual que otros muchos aspectos de la sociedad moderna, ha experimentado un cambio radical en los últimos años. Tanto a nivel tecnológico como legislativo, se han producido diversos avances, desde la cada vez más extensa red industrial global (IIoT), en el primer caso; hasta la promulgación de legislación de Protección de Infraestructuras Críticas, Ley 8/2011, que establece una serie de medidas para proteger infraestructuras que dan soporte a los servicios esenciales para el correcto funcionamiento de la sociedad (Ley PIC).
[El artículo íntegro puede leerse en el número 315 de septiembre de CUADERNOS DE SEGURIDAD]
Las Infraestructuras Críticas (IC) del sector industrial son, dentro de las industrias, aquéllas que se enfrentan a un mayor crecimiento en el número de ataques, debido en gran medida a los impactos que podrían derivarse en caso de que un atacante consiguiera comprometer satisfactoriamente su objetivo. Éstos van desde grandes pérdidas económicas, trastornos considerables en el día a día de la población, e incluso la pérdida de vidas humanas.
Esta situación coexiste con una constante evolución de los entornos industriales y por tanto de muchas de las infraestructuras consideradas como críticas, pasando de una pura gestión de dispositivos de control y automatización industrial interconectados, a una nueva revolución industrial, provocada por la necesidad de incrementar hasta el límite la ventaja competitiva y el aprovechamiento de los recursos disponibles. Esta nueva revolución ha dado lugar a la Industria 4.0, término acuñado por el gobierno alemán que relega a la automatización e informatización de los medios de producción a una segunda posición, y utiliza como eje principal de dicha revolución el tratamiento de la información y a la extracción de conocimiento y valor de la misma.
Entre las características principales de este nuevo modelo productivo se encuentran las siguientes:
- Utilización de sistemas ciber-físicos: Se produce un incremento pronunciado de la interconexión de estos sistemas a lo largo de toda la cadena de producción, incluyendo en última instancia al propio consumidor, lo que supone una mayor heterogeneidad en los elementos que deben comunicarse.
- Utilización de medios de producción inteligentes: La utilización de maquinaria y robots para incrementar la producción no basta, siendo necesario dotar a estos elementos de inteligencia capaz de permitir su adaptación, comunicación e interactuación autónoma.
- Big Data: La utilización de sistemas inteligentes e interconectados impone la necesidad de tratar y analizar volúmenes considerables de información.
- Interconexión de los elementos implicados: Para incrementar la producción y mejorar la calidad de la misma, todos los elementos que forman parte de la cadena de suministro deben poder intercambiar información.
- Incremento del grado de Digitalización: El concepto de digitalización se extiende a lo largo de toda la organización, así como sobre los productos y servicios ofrecidos, el modelo de negocio a desarrollar y el acceso de los clientes a los mismos.
- Incremento de la inversión: Mientras que las necesidades de inversión se incrementan debido a la profunda readaptación de las empresas, el riesgo de dicha inversión se acentúa, por lo que se vuelve necesario utilizar técnicas que permitan adquirir una cierta seguridad sobre el resultado de dichas inversiones.
Existe una doble vía para garantizar que la adopción de la Industria 4.0 se lleve a cabo de forma satisfactoria para toda infraestructura crítica que desee aprovechar todas las ventajas de este nuevo modelo productivo. Por un lado, y debido al alto riesgo asociado a la adopción de un modelo muy distinto al actual, es imprescindible que el proceso se lleve a cabo con base a una estrategia definida y adaptada a las necesidades particulares de cada organización, utilizando un enfoque de adopción progresivo y evaluando la madurez y la consecución de objetivos en cada fase. Al mismo tiempo, la ciberseguridad cobra un papel fundamental a la hora de lograr una adopción satisfactoria, debiendo garantizar en todo momento la seguridad de los datos utilizados por las compañías, que ahora adquieren un mayor peso para el negocio y no sólo para el adecuado funcionamiento de sus sistemas.
Con respecto a la necesidad de garantizar la seguridad de la información, los dos mayores retos de seguridad a los que se enfrentan las infraestructuras críticas que opten por un modelo de Industria 4.0 vienen impuestos por el alto grado de interconexión de elementos, y por la gran dependencia de la información tratada para garantizar la viabilidad de dicha industria.
Así, a medida que la interconexión aumenta y la información cobra mayor importancia, se vuelve más necesario que nunca lograr niveles adecuados de integridad, confidencialidad y disponibilidad de la misma. En este nuevo contexto, una brecha de seguridad impacta directamente sobre el negocio, puesto que:
- La pérdida de la integridad podría provocar el desaprovechamiento de recursos, e incluso graves daños al ser humano, dependiendo de la función y naturaleza de los dispositivos afectados.
- Por su parte, perder la confidencialidad de la información supondría la pérdida de la ventaja competitiva, lograda mediante el know-how asociado a todo el despliegue industrial y, en muchos casos, la divulgación de información sujeta a la Ley de Propiedad Intelectual y considerada parte del core del negocio. Asimismo, existe un segundo impacto asociado al daño reputacional que ocasionaría la pérdida de confianza de clientes, inversores y público en general en la organización afectada.
- Por último, la disponibilidad de la información es clave para garantizar el correcto funcionamiento de todos los dispositivos que forman parte de la cadena de producción, pudiendo llegar a parar la producción por completo y producir daños económicos incalculables.
Este nuevo modelo de industrialización requiere por tanto un control férreo sobre la información propiedad de las empresas para maximizar la creación de valor y reducir tanto la probabilidad de ocurrencia como el impacto de efectos adversos y amenazas que pudieran afectarlas.
Ante esta nueva realidad es fundamental que todos los responsables de seguridad del sector industrial, tanto si sus instalaciones han sido catalogadas como infraestructuras críticas o no, promuevan un cambio de mentalidad de manera que se equipare la necesidad de imponer los activos intangibles, y en última instancia la información, al mismo nivel que aquéllos que tradicionalmente han sido ampliamente considerados a la hora de garantizar una correcta protección industrial.
Pablo Castaño Delgado. Consultor de Ciberseguridad en Eulen Seguridad
