Por Catherine Bischofberger. IEC. International Standards and Conformity Assessment Systems
Imagine una ciudad del tamaño de Londres sumida en el caos, mientras el transporte público se detiene y los semáforos dejan de funcionar … Esto ya no son sólo pesadillas o escenarios de una película de desastres, sino una posibilidad real que cada vez es más probable.
Las infraestructuras críticas, ya sean centrales eléctricas o nucleares, ferrocarriles nacionales y sistemas subterráneos locales u otras formas de transporte público, son blanco cada vez más de ciberataques. Se han desarrollado sofisticadas armas cibernéticas, incluido el malware diseñado para interrumpir el funcionamiento de los sistemas de control industrial.
El uso creciente de dispositivos conectados en el entorno industrial hace que las amenazas cibernéticas sean más probables. Según el informe Paisaje de amenazas para sistemas de automatización industrial, publicado por la firma de seguridad cibernética Kaspersky Lab, se detectaron 18 000 modificaciones de malware diferentes a los sistemas de automatización industrial en los primeros seis meses de 2017.
Cuando las máquinas hablan entre ellas …
La comunicación máquina a máquina es un conjunto de tecnologías que permite que los dispositivos en red interactúen, intercambien información o realicen acciones, a menudo de forma inalámbrica y sin la asistencia manual de personas. Los sensores están integrados en un número creciente de dispositivos que se utilizan para automatizar y administrar los sistemas de control de procesos, incluida la transmisión y distribución de electricidad. Si bien ofrecen ventajas innegables en términos de costo y mantenimiento, también son cada vez más vulnerables a la piratería.
La seguridad cibernética es, por lo tanto, una de las preocupaciones clave para quienes manejan plantas de fabricación modernas, así como cualquier forma de infraestructura crítica. Una de las únicas formas de salvaguardar estas instalaciones ahora y en el futuro es brindando medidas de protección estandarizadas.
Los procesos y procedimientos de seguridad eficientes cubren toda la cadena de valor, desde los fabricantes de tecnología de automatización hasta los constructores e instaladores de máquinas y sistemas, así como los propios operadores. Las medidas de protección deben abordar y mitigar no solo las vulnerabilidades de seguridad actuales, sino también adelantarse a futuras. Las instalaciones deben comprender y mitigar el riesgo, así como instalar tecnología segura para desarrollar la resiliencia cibernética.
Esto significa implementar una estrategia integral de ciberseguridad en la organización, el proceso y los niveles técnicos. Dicha estrategia debe incluir medidas integrales y estandarizadas, procesos y medios técnicos, así como la preparación de las personas. Pero junto con todo esto, también debe ofrecer el recurso a un sistema de certificación reconocido internacionalmente.
Un conjunto fundamental de estándares para la seguridad cibernética
IEC ha publicado recientemente IEC 62443-4-1-2018, la última de una serie de publicaciones críticas, que establece directrices y especificaciones de ciberseguridad precisas aplicables a una amplia gama de industrias y entornos de infraestructura crítica. La serie IEC 62443 recomienda que la seguridad sea una parte integral del proceso de desarrollo, con funciones de seguridad ya implementadas en la maquinaria y los sistemas.
Estas normas horizontales también se utilizan en el sector del transporte: un conjunto de directrices de seguridad cibernética a bordo de los buques adoptadas por la Organización Marítima Internacional (OMI) se refiere a IEC 62243. Shift2Rail, una iniciativa que reúne a los principales actores ferroviarios europeos, apunta a definir cómo se deben aplicar los diferentes aspectos de la ciberseguridad al sector ferroviario. Ha evaluado los estándares aplicables y ha seleccionado las publicaciones IEC 62443. Los estándares IEC 62443 también son compatibles con el marco de seguridad cibernética del Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST).
La certificación internacionalmente reconocida es clave Otro beneficio es que los estándares 62443 tienen su propio programa de certificación. IEC es la única organización en el mundo que ofrece una forma de certificación internacional y estandarizada que se ocupa de la ciberseguridad. Es suministrado por IECEE, el Sistema IEC para Esquemas de Evaluación de la Conformidad para Equipos y Componentes Electrotécnicos.
El programa de seguridad cibernética industrial de IECEE evalúa y certifica la ciberseguridad en el sector de la automatización industrial. La CEI también está trabajando con la Comisión Económica de las Naciones Unidas para Europa (CEPE) para crear un documento común de objetivos normativos centrado en la evaluación de la conformidad y la ciberseguridad. El objetivo del documento es proporcionar una metodología para un enfoque de sistema integral para la evaluación de la conformidad que pueda aplicarse a cualquier sistema técnico en el campo de la ciberseguridad.
«Lograr la ciberprotección de manera rentable resulta de aplicar la protección adecuada en los puntos adecuados del sistema para limitar el riesgo y las consecuencias de un ciberataque. Esto significa modelar el sistema, realizar un análisis de riesgos, elegir los requisitos de seguridad adecuados que forman parte de los Estándares IEC y aplicar el nivel apropiado de evaluación de la conformidad según los requisitos, de acuerdo con el análisis de riesgos. Necesitamos evaluar los componentes del sistema, las competencias de las personas que lo diseñan, lo operan y lo mantienen, y los procesos y procedimientos utilizados para ejecutarlo. Este enfoque holístico para la evaluación de la conformidad es indispensable para proteger las instalaciones, especialmente la infraestructura crítica, del delito cibernético «, explica David Hanlon, Secretario de la Junta de Evaluación de la Conformidad de IEC.
En un mundo en el que las ciberamenazas se están volviendo omnipresentes, la posibilidad de aplicar un conjunto específico de estándares internacionales combinado con un programa de certificación dedicado y mundial es una de las mejores formas de garantizar la ciberprotección a largo plazo de la infraestructura crítica.