“El llamado es a que las empresas del sector industrial empiecen a tomar medidas desde ya”

Durante la última década, los sistemas SCADA de la industria productiva se han transformado en uno de los blancos de los cibercriminales, dada su escasa protección contra sus ataques. Sobre las medidas que puede tomar el sector industrial, conversamos con Carlos Bustos, Primer Vicepresidente de ACTI.
¿Qué hito marca el inicio de las “ciberamenazas” a la industria “productiva”?

El primer ataque conocido a sistemas industriales (plataformas SCADA), fue el gusano Stuxnet, hace unos nueve años. La forma de propagarse fue a través de dispositivos USB, y he allí la mayor razón de por qué no existía preocupación sobre la ciberseguridad en este tipo de instalaciones: estas se encontraban aisladas de las redes de informática tradicionales, o bien, existía un cortafuego que dejaba pasar tráfico específico. Otra posibilidad era que las conexiones se hacían en forma muy limitada para dar acceso al fabricante a que realizara las mantenciones.

Sin embargo, con el tiempo, hemos visto que todo está conectado de una u otra forma. Las redes de las organizaciones son tan grandes y complejas que hay puntos de fallas y formas de pasar de una red a otra. Se dice que la mejor forma de proteger una red es desconectarla de todo, y hace lo años esa era la realidad de las redes SCADA. No obstante, eso ya no ocurre y los diseñadores de malware encontraron formas creativas de atacarlas aunque estuviesen desconectadas (como lo es a través de pendrives o dispositivos USB).

¿Cuáles son las fallas de ciberseguridad más frecuentes en este sector?

Una de las problemáticas más recurrentes es que no se cuenta con un status protocolos IP, mejoran la facilidad para gestionarlos, pero también heredan todos los problemas de seguridad inherentes a estos protocolos.

actualizado de todo lo que se tiene. Además, existen muchos sistemas “legacy” (heredados) con mecanismos de autenticación y encriptación básicos o inexistentes, así como equipamiento implementado con configuraciones por defecto y accesos no controlados a través de accesos remotos y líneas.

¿Está preparada la industria para enfrentar estas amenazas?

Nunca se está lo suficientemente protegido. Se sabe que las empresas en Chile que manejan plataformas SCADA han tomado medidas para protegerlas, pero la verdad es que queda mucho por hacer, y estamos hablando a nivel global, no solo local.

A medida que estos sistemas evolucionan, se conectan en red y utilizan ¿Cómo se puede mejorar la ciberseguridad en una operación industrial?

El llamado es a que las empresas del sector empiecen a tomar medidas desde ya. Así como la transformación digital del negocio es un tema que le compete al directorio de la empresa, el entender cómo las amenazas de ciberseguridad afectan su negocio, también debe serlo. En Chile, se está empezando a gestar el Proyecto de Ley Marco de Ciberseguridad e Infraestructuras Críticas; esto va a tomar tiempo, pero muchas de las compañías que responden a esa categoría utilizan sistemas SCADA y deben adelantarse a los requerimientos regulatorios, no solo porque se requerirá eventualmente, sino también porque hoy están expuestas a riesgos de seguridad que pueden ser devastadores. Implementar controles de seguridad eficientes es una tarea que requiere madurez en los procesos de la organización y, como en todo orden de cosas, hay que partir por lo básico: (1) hacer un inventario de dispositivos y software; (2) analizar qué vulnerabilidades tienen; y (3) definir cómo corregirlas en un proceso continuo de gestión de vulnerabilidades para luego poder evolucionar hacia un modelo de control de riesgo e impactos para el negocio.