Ciberseguridad industrial, cómo navegar entre las distintas normativas y su implementación: recomendaciones prácticas
Es evidente que la digitalización, la conectividad, la automatización están siendo elementos impulsores de la productividad y diferenciación en la industria. Sin embargo, en la otra cara de la moneda están los riesgos de ciberseguridad. Los ciberataques a la industria están provocando pérdidas de control operativo sobre los productos y los procesos e interrupciones del servicio.
Estos ataques no tienen en cuenta el tamaño de empresa, ni el tipo de producto que se fabrique, ni la posición en la cadena de valor en un sub-sector en particular. Todas las empresas pueden ser objetivo de organizaciones estructuradas. Estos ciberataques tienen fines muy variados con motivaciones económicas como la extorsión, provocar cortes en el suministro o, simplemente lo toman como un entrenamiento para objetivos futuros de mayor impacto.
Normativa que llega
Europa, preocupada por esta situación, está tratando de crear leyes para hacer que las empresas se preparen, y minimizar, de este modo, el impacto de los ciberataques.
- Por una parte está la Ley de Ciberresiliencia europea (The Cyber Resilience Act - CRA), centrada en los productos con elementos digitales (los que nos permiten la conexión o la digitalización de ciertos productos): refuerza las normas de ciberseguridad para garantizar productos de hardware y software más seguros mediante cuatro objetivos específicos:
- garantizar que los fabricantes mejoren la seguridad de los productos con elementos digitales desde la fase de diseño y desarrollo y a lo largo de todo el ciclo de vida.
- garantizar un marco de ciberseguridad coherente, que facilite el cumplimiento a los fabricantes de hardware y software.
- aumentar la transparencia de las propiedades de seguridad de los productos con elementos digitales.
- permitir que las empresas y los consumidores utilicen los productos con elementos digitales de forma segura
- Por otra parte, contamos con la Directiva NIS2 (Directiva (UE) 2022/2555): surge como respuesta a esa necesidad de actualización y fortalecimiento de las medidas establecidas en la Directiva NIS1, erigiéndose como un marco normativo estratégico para abordar los retos actuales en materia.
- Con la Directiva NIS2 se amplía el ámbito de aplicación, dotando así de una mayor cobertura a los sectores y servicios de mayor relevancia social y económica, considerándolos como entidades esenciales o importantes, en función del grado de criticidad de sus sectores, de su tamaño o del tipo de servicio prestado.
- Además, la NIS2 refuerza los requisitos de seguridad que han de cumplir las entidades afectadas, precisa el proceso de notificación de incidentes, aborda la seguridad en la cadena de suministro y las relaciones con proveedores, refuerza el intercambio de información sobre incidentes y la divulgación de vulnerabilidades y establece una red europea de soporte de crisis (EU-CYCLONe).
Certificaciones específicas sectoriales
Adicionalmente a los aspectos legales, los distintos sectores industriales han establecido unas normativas específicas asociadas a las características de su producto. En este sentido, tenemos normativa adicional que sirve de guía a las empresas para cumplir requisitos de seguridad.
- Estas normas van desde la perspectiva más general de la empresas industriales como la IEC 62443, que aborda la seguridad de los sistemas de automatización y control industrial, hasta normas como particulares de aplicación en movilidad como la ISO 21434, que recoge los requisitos de ingeniería para la gestión de riesgos de ciberseguridad con relación con el concepto, el desarrollo de productos, la producción, el funcionamiento, el mantenimiento y la retirada del servicio de los sistemas eléctricos y electrónicos (E/E) de los vehículos de carretera, incluidos sus componentes e interfaces.
- Y si ya consideramos el vehículo en su conjunto, la norma de referencia es la UNECE R155/R156, que establece las disposiciones relativas a la homologación de vehículos con respecto a la ciberseguridad, sistema de gestión de la ciberseguridad y actualización del software.
- En el sector aeronáutico existen normas específicas como la DO-178C, que establece los requisitos para la certificación de software utilizado en sistemas críticos aeroespaciales.
- Además, existen certificaciones específicas para otros aspectos críticos de los sistemas aeroespaciales como el DO-254 para la certificación de hardware y el DO-160 para la certificación de equipos electrónicos.
- Y si vamos a sector ferrocarril, también cuenta con su propia normativa (UNE-EN 50155,…)
Recomendaciones en ciberseguridad industrial
Con este panorama, todas las empresas tienen que ir preparándose y dando los pasos necesarios para estar los más ciberseguros posibles (es prácticamente imposible la ciberseguridad del 100 %, pero es obvio que cuanto más, mejor). La ciberseguridad es la suma de procesos, tecnología, personas, y empresas.
Para aquellas empresas industriales, que su producto no tenga componente digital, la referencia es la Directiva NIS2. Todas las entidades dentro del ámbito de aplicación de la directiva deberán aplicar las medidas para la gestión de riesgos de ciberseguridad, así como cumplir con las obligaciones de notificación de incidentes de ciberseguridad.
La normativa ISO/IEC 27001, que especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información, puede ser un buen elemento de referencia. A las que no les aplique la Directiva NIS2, sería también recomendable una gestión de riesgos, porque en este caso, va a ser siempre mejor prevenir que lamentar.
Para aquellas empresas industriales, que su producto sí tenga componentes digitales además de todo lo anterior, las referencias son las normativas sectoriales específicas (IEC 62443, ISO/IEC 27001, ISO 21434,…). Todas ellas tienen una parte en común que tiene que ver con el ciclo de vida de desarrollo de producto seguro; tanto desde la óptica del propio producto como desde el proceso de desarrollo del mismo.
- La concepción del producto: con la definición del modelo de amenazas, análisis de riesgos y la definición de requisitos de ciberseguridad.
- La construcción del producto: con la revisión de código, la verificación de código externo, la incorporación de elementos HW y SW que ayuden a satisfacer los requisitos de seguridad, el análisis de vulnerabilidades y el bastionado.
- La verificación y validación: con pruebas de conformidad, autodiagnóstico y pentesting.
- Y por último el post-desarrollo: con la distribución segura (firmado de código), gestión de vulnerabilidades y actualizaciones seguras.
También se hace necesaria una evolución tanto hacia arquitecturas de planta y producto seguras, incorporando por una lado la virtualización de equipamiento en plantas y sistemas industriales:
- Gestionando correctamente las identidades en dispositivos que componen la infraestructura garantizando la integridad y autenticidad de las aplicaciones que se despliegan en los nodos.
- Garantizando que una vulnerabilidad en una aplicación no puede afectar la seguridad, ni de otras aplicaciones, ni de la plataforma hardware.
- Desplegando las aplicaciones en nodos Edge.
Estas arquitecturas tienen que incorporar entornos de ejecución seguros (en inglés TEE- Trusted Execution Environments) para la ejecución de funciones críticas del sistema en un entorno seguro y aislado mediante hardware como funciones criptográficas, gestión de identidad de los dispositivos, almacenamiento seguro de claves, arranque seguro del dispositivo, etc.
Las certificaciones como tal (IEC 62443, ISO/IEC 27001, ISO 21434,…), siempre ayudan. En algunos casos, como elemento diferencial frente a la competencia, pero en otros son de obligado cumplimiento como requisito en algunos clientes.