La revolución digital está generando múltiples e importantes beneficios para la gestión de un recurso tan preciado como el agua. Sin embargo, también entraña ciertos riesgos entre los que destaca la ciberseguridad. Entrevistamos a Víctor Fidalgo, experto en el área de Sistemas de Control Industrial del Instituto Nacional de Ciberseguridad.
Ingeniero Superior en Informática, titulado en un Máster de Investigaciones Cibernéticas y otro sobre Ciberseguridad, Víctor Fidalgo lleva trabajando en robótica, control industrial, sistemas embebidos y ciberseguridad desde hace más de 10 años. Asimismo, participa activamente en grupos de expertos tales como EICS (ENISA Industry 4.0 Cyber Security Experts Group).
Ha trabajado en diversas geografías y ámbitos como la universidad, la consultoría y la auditoría; y en perfiles tan variados como programador, analista, responsable de proyectos, investigador de ciberseguridad, etc. Cada uno de estos trabajos le ha permitido ampliar su experiencia profesional para trabajar actualmente en INCIBE como experto en el área de Sistemas de Control Industrial.
Pregunta: La transformación digital es un hecho que está afectando a todas las esferas de la vida de las personas. Esto, entiendo, se ha traducido en un cambio de paradigma para la ciberseguridad. ¿Cómo está afectando el 4.0 a la ciberseguridad?
Respuesta: La verdad es que la implantación que aplica el paradigma de la industria 4.0 está beneficiando al sector de la ciberseguridad. Es la primera vez que se está poniendo el foco en la necesidad de conexión de múltiples dispositivos en entornos de trabajo muy dispares. Y aquí está el punto de inflexión, ya que anteriormente las industrias compraban grandes y costosos aparatos que necesitaban para la producción, pero en ningún momento se planteaban que ese dispositivo tuviera que estar conectado a un teléfono móvil para mostrar cierta información en tiempo real. Era en este punto cuando, en términos de seguridad, se ponía feo. Sistemas no preparados para esos usos se adaptaban para estar expuestos a Internet.
El paradigma 4.0 nos explica, muy claramente, la necesidad de que todo esté interconectado y, por lo tanto, protegido desde el mismo momento de su desarrollo.
El paradigma 4.0 nos explica la necesidad de que todo esté interconectado y, por lo tanto, protegido desde el mismo momento de su desarrollo
P.- A grandes rasgos, ¿cómo ayuda INCIBE a promover la ciberseguridad?
R.- INCIBE es un pilar esencial en el organigrama nacional para la protección en materia de ciberseguridad, gracias a la transposición de la Directiva NIS 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016 realizada mediante el Real Decreto-Ley 12/2018, de 7 de septiembre. Así, INCIBE fue reconocido como la entidad de referencia nacional para la respuesta a incidentes de seguridad de ciudadanos y empresas del sector privado. Adicionalmente a esta labor, y conjuntamente con el CNPIC (Centro Nacional de Protección de Infraestructuras y Ciberseguridad) del Ministerio del Interior, gestiona los incidentes que afecten a Operadores Críticos del sector privado.
Conjunto a estas atribuciones, INCIBE tiene programas de divulgación, formación y generación de tecnologías que van desde la protección del menor en Internet hasta la investigación de Sistemas de Control Industrial.
P.- Centrémonos en el sector del agua. ¿Qué papel juega la ciberseguridad en la gestión del agua en todos los ámbitos?
R.- La ciberseguridad es un elemento transversal en cualquier industria. Por su criticidad, el sector que contempla la gestión de los recursos hídricos en todas sus vertientes fue designado sobre el año 2011 dentro de la Ley 8/2011 como sector crítico, teniendo que adaptarse a los controles y normativas existentes.
Tenemos que ser conscientes de que es un sector en el que cualquier incidente puede afectar de forma directa a la población y que, por lo tanto, desde el abastecimiento del agua o la depuración hasta los sistemas de acuicultura o riego agrícola, este bien es vital para la sociedad, necesitando la aplicación de medidas de ciberseguridad en sus entornos.
La inclusión del paradigma del IIoT (Industrial Internet of Things) en la aplicación de la industria 4.0 es uno de los principales retos del sector
P.- ¿El sector del agua está dotado de recursos humanos y materiales que garanticen su seguridad?
R.- En este sentido, podemos indicar que todas las partes involucradas en la gestión hídrica (fabricantes, operadores del servicio, responsables de seguridad, etc.) están alineados en aumentar, de forma constante, los controles en ciberseguridad.
En cuestiones materiales existen numerosas herramientas específicas que permiten la securización de los entornos de aguas. Incluso los principales fabricantes de controladores e instrumentación industrial del sector llevan varios años creando dispositivos de securización específicos y adaptando los dispositivos existentes para aumentar sus funcionalidades en cuestión de ciberseguridad
P.- Las infraestructuras encargadas de la gestión del agua, ¿son vulnerables?
R.- Esta es una pregunta cuya respuesta siempre levanta mucha expectación. La respuesta más objetiva es sí, pero no porque estas infraestructuras sean vulnerables, sino porque cualquier elemento que tenga conexión con otro tipo de entorno o sistema es susceptible de serlo en algún momento dado. Nadie puede afirmar que ninguna infraestructura no es o será vulnerable en algún momento de su ciclo de vida.
Y aquí es donde todas las partes interesadas debemos poner el foco en la aplicación de medidas perimetrales de seguridad, la formación del personal o la redacción y ejecución de procedimientos y políticas adecuadas para evitar problemas de seguridad. Estos son los pilares en los que debemos asentar la seguridad de este tipo de entornos.
Además de las medidas que las propias organizaciones y fabricantes pueden aplicar en este sector, por parte de INCIBE ofrecemos varios servicios para el descubrimiento y prevención de vulnerabilidades en entornos industriales.
Un servicio de monitorización industrial por el cual somos capaces de detectar sistemas vulnerables expuestos en Internet en tiempo real es el denominado ICS Scan. Y otro servicio, denominado ICS Arsenal, el cual es una distribución de seguridad a medida.
Las empresas pueden contactar con nosotros para poder darse de alta en cualquiera de estos servicios.
La generación de estandarizaciones y guías de ciberseguridad específicas para el sector es un hito que se tiene que lograr en los próximos años
P.- ¿Cuáles son los mayores retos que debe afrontar el sector del agua en cuanto a su ciberseguridad?
R.- La inclusión del paradigma del IIoT (Industrial Internet of Things), en la aplicación de la industria 4.0 es uno de los principales retos del sector. Esto afectará al smart water (Smart metering, Customer Info & Data) y toda la intercomunicación de información que ha de salir y entrar de las infraestructuras, puramente de gestión hídrica, hacia el cliente.
La generación de estandarizaciones y guías de ciberseguridad específicas para el sector y los subsectores correspondientes es un hito que se tiene que lograr en los próximos años.
La formación y la creación de cultura de ciberseguridad también es un reto constante que necesitamos llevar a todas las personas involucradas con el sector.
Y, por último, creo que la gestión de incidentes y la compartición de esta información con el CERT de referencia y organizaciones similares tiene que aumentar exponencialmente para la mayor preparación de las empresas frente a posibles futuros incidentes que estén por venir.