Industria 4.0: Los desafíos de ciberseguridad que amenazan a la PYME industrial

El progreso tecnológico y la oportunidad para desarrollar proyectos que nos brinda el Internet de las Cosas (IoT) o la conocida Industria 4.0. en entornos gobernados con sistemas de control,  nos obliga a pensar en el alcance de esta evolución digital, sobre todo lo que respecta a la PYME industrial.

Consigue tu guía de gestión de ciberseguridad para PYMEs

Se está desarrollando una nueva cultura, orientada hacia la fábrica inteligente, que cada directivo interpreta y afronta con distintas estrategias de viaje. Para que esta evolución sea efectiva, es necesario que en los máximos órganos de gobierno de las empresas se valore el uso y aprovechamiento de esta tecnología. Los nuevos retos digitales son entre otros afrontar la conectividad de forma eficiente y, sobre todo, cuidar los riesgos al crear valor en esta industria conectada.

Cada empresa debe ver la seguridad digital no sólo como garantía para el futuro de proyectos Industria 4.0, sino también, como exigencia imprescindible en la actual y futura industria comunicada.
 

La ciberseguridad es clave en la Industria 4.0

 
Los sistemas informáticos actuales que controlan y supervisan el núcleo de nuestro negocio (la producción) integrados en redes de automatización eléctrica, son muy vulnerables. Hace bastante tiempo que se han ido publicando varias vulnerabilidades que “actualmente”amenazan a nuestros sistemas de control industrial, y el peligro que éstas suponen no ha impactado en exceso, por la falta de concienciación o la escasa cultura de ciberseguridad del sector. Se tiende a leer o escuchar, pero no se aplican, en la gran mayoría de empresas, medidas de prevención cibernética en la planta de producción.

Los riesgos tecnológicos hay que tratarlos, con igual relevancia que los riesgos financieros, dentro del consejo de administración o comité de la PYME industrial que apuesta por la Industria 4.0. Los indicadores de ciberseguridad aportan valor real para la continuidad del negocio, donde la ciber resiliencia hace posible gestionar de manera efectiva las amenazas cibernéticas o ataques al proceso. La correcta administración de amenazas es una marca de calidad para la innovación de futuro.

Los activos lógicos y físicos convergen en la industria. Por esta razón el impacto que se puede producir debido a una brecha de seguridad digital, puede afectar seriamente a la vida de los empleados o personas. La seguridad es una exigencia y la hoja de ruta estratégica de la compañía debe tratar un marco de ciberprotección en la organización.

Múltiples vulnerabilidades amenazan actualmente todos los procesos industriales

 
La PYME, con sistemas de control industrial, aunque no se considere una infraestructura crítica, debe entender la ciberseguridad con la misma urgencia que la gran empresa. Así, los directivos de las empresas industriales que han afrontado su transición a la Industria 4.0 “deberían” promover la ciberseguridad y realizar evaluaciones periódicas para mejorar.

Es importante reforzar las leyes para que empujen a una mayor inversión en modernización a las empresas y mejorar el desarrollo de la cultura de ciberseguridad en la PYME industrial. Sin industria no hay futuro y debemos vigilar todos los procesos industriales, desde sus sistemas de control, hasta la interacción con sistemas para seguimiento de la producción.

La informática y la lógica de red en protocolos de comunicación de sistemas de control, en un porcentaje muy alto, está obsoleta. Cuando hablamos de informática obsoleta, nos referimos sobre todo a versionado de sistemas informáticos que supervisan y controlan un proceso en la planta industrial, así como a la falta de un control de acceso en la red.

Una realidad de la mayoría de PYMEs industriales es que conservan aplicativos SCADA con sistemas operativos “Microsoft Windows”, de versiones muy antiguas y sin soporte alguno. Esta es una vulnerabilidad clara, ya que la falta de concienciación deja pasar esta situación y a los responsables les cuesta invertir en la modernización de equipos finales en industria. Además, con el tiempo se mezcla distinto tipo de tráfico en la red, con más riesgo de accesos añadidos, como el acercamiento de un sistema ERP a la red de fabricación o los accesos remotos que llegan a la red operacional de planta, los proveedores de equipamiento industrial, integradores o técnicos de soporte externos, soluciones de Internet de las Cosas (IoT) en Cloud industrial, etc.

¿Y si la protección de riesgos digitales para la PYME industrial se plasmase en una ley?

 
El hecho de que la ciberseguridad se haya convertido en un factor crucial para la PYME industrial en general y la Industria 4.0 en particular, invita a pensar en la posibilidad de desarrollo de una ley con unas sanciones mínimas en las empresas, con el objetivo de impulsar un mínimo cumplimiento de la seguridad en sistemas y redes de control industrial. Toda red de control de producción industrial, debe estar separada de la red informática corporativa, de manera física y lógica. Así la falta de segregación IT/OT podría acabar en daños importantes. La auditoría mínima de ciberseguridad debería ser obligatoria en las PYMEs industriales actuales.

Todo sistema operativo de endpoint industrial para control de fabricación debe tener soporte del fabricante. En caso de finalización de la fecha de este soporte, el responsable debe mitigar riesgos y actualizar el sistema. Sería conveniente evaluar la posibilidad de sancionar según la criticidad o el número o tipo de incidentes originados por esta negligencia.

La industria aún confía su producción a sistemas operativos obsoletos como Windows XP

 
¿Es posible seguir trabajando con un SCADA con un sistema operativo Microsoft Windows obsoleto? Sí, claro que sí, muchas veces se mantienen por compatibilidades con versión aplicativo HMI. Conseguiremos ver las variables de proceso de igual forma durante la supervisión del proceso, con el HMI dentro de su correcto uso, las consignas y la barra de alarmas funcionan como el primer día.

Pero no hay que olvidar que ese sistema operativo no tiene soporte, y si lo actualizamos, también debemos actualizar la versión software del aplicativo SCADA. La necesidad de realizar este tipo de actualizaciones constantemente en una planta de producción de una PYME industrial requerirá de una mayor inversión económica y es probable que pocas veces se quiere efectuar.

Empresas importantes están confiando aún su fabricación a sistemas operativos obsoletos como Windows 2000 o Windows XP lo cual implica un riesgo tecnológico extremadamente alto.

A la hora de dar respuesta a incidentes, la PYME industria es más débil. La copia de seguridad, para una rápida restauración de los sistemas HMI afectados, no se aplica regularmente en varias empresas. De este modo, toda organización debería disponer de un plan de contingencia y evaluar periódicamente la restauración de la red industrial ante desastres.

Entre las opciones que podemos encontrar hoy en día para mitigar el riesgo de informática industrial obsoleta está la virtualización industrial, que es una de las más asequibles plataformas para la PYME industrial, tanto económica como técnicamente. La virtualización de los sistemas HMI de las plantas industriales nos posibilitará una importante mejora en la seguridad, ya que nos facilita la restauración de los sistemas ante ataques o problemas en sistemas vulnerables.
 

¿Y si nuestra PYME industrial ha sido víctima de un ciberataque?

 
Cualquier incidente industrial debería ser notificado antes de 72 horas e integrarlo en el repositorio de incidentes nacional, tal y como lo practica la nueva LOPD.

Este repositorio nacional, para incidentes relacionados con la falta de ciberprotección en la PYME industrial, debe pasar fases de estudio para su publicación. No obstante, desarrollarlo y darle visibilidad es positivo.

La sanción por falta de protección puede llegar a un 2% de la facturación anual de la empresa en el caso de la LOPD, según la gravedad. En la PYME industrial, el impacto de la falta de seguridad digital puede afectar también a la vida humana. Un equipo HMI fuera de control es un peligro, pero también es un peligro remediable que hay que trabajar. Una nueva cultura digital nos dará camino para ello.

Descarga gratis tu guía de ciberseguridad para PYMEs