Catar, 2012. El país se encuentra 'paralizado' por un puente festivo de cinco días. Los sistemas de una importante compañía de gas se han infectado con una versión actualizada del malware Shamoon y 30.000 ordenadores quedan inutilizados. Cuando el ingeniero informático Omar Sherin llega a la empresa, no funciona la puerta eléctrica de la entrada, ni las cámaras de seguridad, ni los teléfonos. Han sufrido un ataque informático.
Es la experiencia que el propio Sherin, conocedor de la ciberseguridad industrial de Oriente Medio, ha contado en Madrid en el primer Congreso Iberoamericano de Ciberseguridad Industrial. Es responsable de Protección de Información de Infraestructuras Críticas en el Q-CERT de Catar, un organismo de respuesta ante emergencias informáticas, y ha añadido que han observado un incremento de intentos de ataque desde distintas partes del mundo, por lo que consideran que la protección industrial es un "asunto muy importante que trasciende fronteras".
“Aunque cumplamos la normativa al 100% no vamos a parar los ataques más avanzados“
"Las compañías pueden tener dinero y las últimas tecnologías, pero eso no las ayuda. Tampoco seguir las leyes que tenga un país, aunque cumplamos la normativa al 100% no vamos a parar los ataques más avanzados. Lo avanzado de hoy no es lo avanzado de mañana", ha señalado Sherin, quien ha explicado que a las empresas les cuesta contar los incidentes que sufren y cooperar para alcanzar soluciones conjuntas.
La industria ante los ciberataques
Otro experto en protección y defensa de las infraestructuras, el director general de The Anfield Group, Patrick Miller, ha descrito el panorama de la industria actual. Los sistemas industriales están conectados, no solo entre sí sino a Internet; existen dispositivos antiguos que están funcionando junto a los nuevos en la misma red y una persona en un país puede activar una tecnología en otro lugar.
Ante este escenario globalizado e hiperconectado, Miller también ha puesto de manifiesto que también existen vulnerabilidades: "Tenemos adversarios inteligentes que quieren entrar en nuestras infraestructuras. Tienen ganas, dinero y tiempo". Hoy en día las empresas sacan 'parches' para solucionar esos agujeros de seguridad y ha señalado que las soluciones de emergencia acaban implantándose en periodos que pueden llevar de seis meses a cinco años. "Es como si tuviéramos un cáncer en nuestro sistema", ha rematado.
“Los ataques informáticos no son de adolescentes metidos en casa tomando café“
Asimismo, Miller ha desmentido que los ataques provengan de "adolescentes metidos en casa tomando café: "No es verdad, son adultos con financiación muy hábiles". Esto, combinado con la excesiva confianza de la industria en la tecnología o legislaciones obsoletas son, según este experto, formas de desproteger los sistemas industriales.
En este sentido ha apuntado que los hackers son "más rápidos que las leyes" y comparten información sin restricciones ni reglas. Miller ha instado a las empresas a que inviertan en personal especializado, a pensar en los riesgos y a tener tecnología adecuada para proteger las infraestructuras, además de conseguir "una buena comunicación" entre las personas y las herramientas.
"Si no tenemos información de estos riesgos vamos a ciegas, y en ese caso tenemos que conseguir financiación, porque en caso de que ocurra algo va a costar más que la prevención", ha concluido.
Necesidad de especialistas en ciberseguridad industrial
Sobre la formación de profesionales en ciberseguridad industrial ha hablado el líder del grupo sobre Sistemas de Control Industrial y Smart Grids del ERNCIP (Red de Referencia Europea para la Protección de Infraestructuras Críticas), Auke Hustra, quien está elaborando, en el seno de la UE un marco de formación.
Las empresas necesitan, ha descrito, ingenieros informáticos que tengan conocimientos sobre ciberseguridad -defensa de redes de ordenadores, respuesta y gestión de incidentes, análisis de la raíz del incidente-; sobre seguridad de los sistemas de control y de las normativas y códigos internos de una compañía. Todas estas habilidades, ha dicho, tienen que ponerse en práctica en las compañías y desarrollarlas "mucho más que antes".
También que conozcan los estándares y las prácticas del sector industrial, así como las normativas y metodologías de gestión de riesgos. Huistra ha anunciado que en un año tendrán listos el marco formativo europeo.