Ricardo Urbina.

¿Es diferente la ciberseguridad “industrial” de la “tradicional”?
En primer lugar, cabe aclarar que el término ciberseguridad aparece en el contexto de la hiperconectividad, es decir, desde el momento que el uso de Internet se masifi có para todo tipo de servicio, aplicación y/o dispositivo, de manera que la seguridad de la información ya no estaba limitada a organizaciones, instituciones o lugares físicos determinados.

La diferencia conceptual de seguridad de la información/ciberseguridad en ambientes TI (Tecnologías de la Información) respecto a los ambientes TO (Tecnologías de la Operación) radica en que, si bien lo que busca la seguridad es proteger la confi dencialidad, integridad y disponibilidad, para el mundo TI la prioridad está en proteger la confi dencialidad, mientras que en el mundo TO, el mayor esfuerzo está en proteger la disponibilidad. En ambos mundos se aplican amenazas y controles similares, pero la diferencia está en la gestión de riesgo: en el TI, lo primero es controlar el acceso a la información, esto es, quién la accede y desde dónde (confi dencialidad); en cambio, en el TO, el foco es que los sistemas no se detengan (disponibilidad). Esto signifi ca que en un activo similar y ante la misma amenaza, tendrán distinta valoración del riesgo.

¿Ha ampliado la convergencia TI/TO la superfi cie de ataque hacia las plataformas industriales?
La convergencia entre TI y TO, además de las ventajas de disponer de información del proceso productivo en línea e interconectar los distintos sistemas de control, conlleva los riesgos conocidos en el mundo TI hoy.

Se rompe la famosa “seguridad por oscuridad” que, en realidad, era lo que los fabricantes declaraban para no detallar cómo funcionaban sus sistemas y dificultar la integración con otros. Actualmente, el usar el protocolo IP para interconectar sistemas es el estándar, lo que implica que las amenazas asociadas a esta tecnología deben ser gestionadas, en particular dado que se pasa de tener redes aisladas a redes interconectadas, provocando que los atacantes tengan mayores puntos para intentar acceder y concretar un ataque.

¿Ha impactado la pandemia a la ciberseguridad industrial en las operaciones de su empresa?
A diferencia de los trabajos administrativos, los procesos productivos requieren mayor presencia de los operadores, es decir, no es posible realizarlos por accesos remotos, dado que implica operar maquinarias, movimientos de productos, entre otras actividades donde es necesario estar “in situ”, en particular ante problemas. Si bien los proveedores para soporte tienen acceso remoto, está defi nido solo para atender fallas donde existe personal en la planta mientras el proveedor revisa la falla de manera remota.

De este modo, no fue necesario implementar accesos remotos distintos a los ya habilitados; las modifi caciones que se implementaron están relacionadas con la actividad física que implica el proceso productivo.

Por último, aunque hay una necesidad de digitalizar el proceso como consecuencia de la pandemia, no es directo el automatizar procesos productivos, lo que normalmente signifi ca llevar a cabo un proyecto de largo plazo, dado que los costos asociados son altos. Entonces, los cambios en ese sentido fueron gatillados por la pandemia y solo se verán implementados en los años siguientes.

¿Requiere la ciberseguridad industrial conocimientos y expertise distintos a la “tradicional”?
La diferencia radica en que, asociado al tráfi co IP, existirán dispositivos como PLC, actuadores, sensores, motores, etc., de modo que hay una relación directa con alguna actividad física. En otras palabras, que una estación de trabajo usada para controlar el proceso productivo sea vulnerada, implica el riesgo que se genere una falla con efectos físicos, incluyendo riesgo para las personas. En ese sentido, si bien técnicamente la vulnerabilidad es la falta de un parche en el sistema operativo, el impacto de concretarse un ataque tiene un efecto físico de forma directa.

Luego, el experto en ciberseguridad industrial debe conocer en detalle el proceso productivo, los dispositivos que participan y los protocolos que utilizan (y que en algún punto son enmascarados en paquetes IP). Además, debe conocer las buenas prácticas de seguridad de- fi nidas específi camente para el mundo TO, tales como Modelo de Perdue, ISA 99/IEC 62443, NERC-CIP, y NIST 800-82, entre otros.

¿Este tema es una preocupación para los sectores productivos nacionales?
Mi apreciación es que hoy sí lo es, básicamente por la cantidad de incidentes que se han concretado en el mundo y especialmente en Chile. Hace 10 años, cuando se supo de Stuxnet, dado el contexto de su ocurrencia y el lugar donde se concretó, no generó impacto real, pero con WannaCry, en 2018, sí tuvimos impactos en el país.

De ahí en adelante, hemos conocido varios incidentes que se han traducido en importantes pérdidas de dinero, lo que generó que la ciberseguridad pasara a ser tema en los directorios de las empresas. A nivel país, se defi nió una hoja de ruta respecto a la Política Nacional de Ciberseguridad y se creó un CSIRT. Asimismo, se está hablando de Infraestructura Crítica, y se generó un estándar de ciberseguridad asociado a las componentes del Sistema Eléctrico (NERC-CIP). Es decir, todas las empresas productivas hoy están considerando la ciberseguridad para sus procesos productivos.

En términos de ciberseguridad industrial, ¿es un problema la “convivencia” entre el área de TI y la de operaciones o mantenimiento?
Creo que, al comienzo, existió un choque entre visiones distintas; sin embargo, al igual que la convergencia tecnológica de protocolos propietarios al uso de tecnología IP, actualmente existe una convivencia normal y necesaria, en particular para proteger el proceso industrial.

Sucedió algo similar al cambio de la telefonía análoga a la telefonía IP: era muy difícil explicar a un “telefónico” que, al ser IP, se enviaban “paquetes” de manera desordenada por caminos distintos, cuando la telefonía análoga requiere un camino único que, si se “rompe”, implica que la comunicación termina.

¿Qué recomendaciones haría a nuestros lectores en esta materia?
Dado que el gestionar un sistema industrial implica una formación especí- fi ca, recomendaría preparar al personal técnico que administra el proceso productivo en los temas de ciberseguridad, sobre todo considerando que las nuevas generaciones ya vienen desde la academia con conocimientos de seguridad de la información. Lo anterior no implica que se incorpore a una persona “externa” que ayude a desarrollar la gestión -en el sentido de un Sistema de Gestión de la Seguridad- donde el personal del proceso industrial es el responsable de aplicar los controles.