Entrevista a Francisco Rosa, manager de Consultoría en Pilz España y Portugal

El avance de las tecnologías de la información en la industria aporta numerosos beneficios, pero también es la puerta de entrada de nuevos peligros que requieren medidas de protección adecuadas. La seguridad industrial tradicional no es efectiva frente a las ciberamenazas, lo que ha hecho necesario el desarrollo de una nueva disciplina, la Industrial Security. Hablamos con el ingeniero en seguridad industrial Francisco Rosa, jefe de Consultoría en Pilz España y Portugal, empresa especializada en soluciones para la automatización segura.

Nos referimos a las políticas y metodologías, organizativas y/o técnicas, para prevenir daños o evitar alterar la vida digital normal de los sistemas de control industriales.

Tradicionalmente la Security era un concepto casi exclusivo del mundo informático, marcado por la tecnología de la información o IT (Information Technology). Es decir, el hardware y software que podemos encontrar en una oficina o a nivel doméstico. Con la Industria 4.0 y la explosión de internet, se ha producido la unión de la IT con el mundo de la tecnología industrial, la OT (Operational Technology), lo cual ha dado lugar a un concepto nuevo de security, la Industrial Security.

Dos mundos que se encontraban separados por años de evolución de repente se encuentran conviviendo, y esto ha traído muchas ventajas, pero también ha abierto la puerta a un abanico nuevo de amenazas, a las que la industria antes era totalmente ajena. Hace 10 años era difícil imaginar que un virus pudiera propagarse en una planta de fabricación e infectar el programa de una máquina para dejar fuera de servicio todo un proceso industrial e incluso inutilizar dicha maquinaria.

A diferencia de lo que ocurre en el ámbito IT, un ciberataque en una planta industrial puede tener consecuencias en el mundo físico, causando daños humanos y materiales, además de los daños económicos o de reputación para la empresa. El conjunto de medidas para evitar que eso ocurra es la security industrial, que va más allá de la seguridad industrial tradicional, enfocada más en proteger a las personas de los peligros inherentes a las máquinas y sus procesos que de proteger a las máquinas de los actos intencionados o involuntarios de las personas, y que a la larga pueden derivar en daños humanos y materiales, así como comprometer la confidencialidad, integridad y disponibilidad del proceso.

Se dice que hay dos tipos de empresas: las que han sufrido ciberataques y aquellas que los han recibido, pero aún no lo saben. Para muchas, la Industrial Security es un tema menor, pero deben saber que la Directiva 2022/2555 NIS 2 (Network and Information Systems 2) de la Unión Europea obliga a integrar una serie de medidas organizativas y técnicas de ciberseguridad. Si bien no afecta a todas las empresas, es importante que se informen de si están dentro del ámbito de la Directiva, como es el caso de las empresas (medianas o grandes) de fabricación de maquinaria. Al ser proveedoras en la cadena de suministro de empresas esenciales, están obligadas a cumplir con las directrices de la norma europea.

A partir de ahora, si una compañía que está dentro del ámbito de la NIS 2 sufre un ciberataque, debe informar en un plazo de 24 horas a Enisa (Agencia Europea de Ciberseguridad) y al CSIRT (Equipo de respuesta a incidentes de seguridad informática) del Estado miembro de la EU, para reportar lo que ha ocurrido. Si no sigue las pautas, puede ser sancionada. A nivel local, cabe resaltar que la Directiva NIS 2, aunque entró en vigor en octubre de 2024, todavía está en proceso de transposición a la legislación española.

Es muy común encontrarse con maquinaria que incorpora ordenadores industriales o equipos lógicos programables con software obsoleto o que no está debidamente actualizado, ya que son equipos con una vida útil de decenas de años. Al no estar debidamente protegidos, son un blanco fácil para ciberataques o actos maliciosos.

Desgraciadamente, en el mundo de la tecnología operativa no es fácil actualizar los sistemas para integrar parches que eliminen amenazas y vulnerabilidades. Actualizar el sistema operativo de un iPhone o un ordenador es fácil. Sin embargo, parar una línea de prensas para actualizar programas de aplicación o el firmware de un PLC es bastante más complejo y costoso a nivel de planificación y producción.

Normalmente la tecnología avanza más rápido que las normativas y las contramedidas para tener bajo control los riesgos y nuevos desafíos que entraña el avance tecnológico. Ya ocurrió en su día con los robots colaborativos. En el ámbito de la maquinaria y automatización, la UE se esfuerza en dar respuesta a estos nuevos desafíos mediante el Reglamento de máquinas 2023/1230, que entrará en pleno vigor en enero de 2027, y que establece requisitos nuevos para fabricantes en relación a la ciberseguridad y la inteligencia artificial.

Están apareciendo nuevos Reglamentos, Directivas y normas que intentan dar directrices sobre cómo afrontar los retos de la Industrial Security. Ahora vivimos un proceso de transición en que los fabricantes de máquinas u otros productos digitales relacionados deben empezar a profundizar en los requerimientos de estas nuevas legislaciones que serán básicas para la comercialización o puesta en servicio de sus productos a partir de 2027. El cumplimiento de los requisitos del Reglamento de máquinas y de la Ley de Ciber-resiliencia, también conocida como Reglamento 2024/2847 (CRA), será obligatorio para completar el proceso de marcado CE, lo que se suma a otras Directivas como la de baja tensión o la de compatibilidad electromagnética.

Otras regiones y continentes, como Norteamérica, Asia o Australia, también están actualizando su legislación en materia de ciberseguridad. Tanto es así que los organismos de estandarización internacional trabajan desde hace años en nuevas normas que sirvan de apoyo para cumplir con la legislación. Por ejemplo, la serie de normas ISO 27000 y, especialmente para el sector industrial, las IEC 62443, que son vitales para comprender e implementar las medidas organizativas y técnicas por parte del propietario de la instalación y del integrador del sistema de control o el proveedor de los componentes.

Las empresas como Pilz, que formamos parte de la cadena de suministro, nos esforzamos en ofrecer productos que den respuesta a estas nuevas necesidades, certificados y homologados para cumplir con las normas y Reglamentos. Especialmente interesantes son el SecurityBridge y el PITreader, un dispositivo electrónico para gestionar la identificación y el acceso (IAM) del personal de intervención en maquinaria, algo vital para controlar potenciales saboteos de procesos industriales, manipulaciones u otros actos maliciosos. SecurityBridge, es un firewall industrial que brinda, entre otras prestaciones, la posibilidad de segmentar redes para proteger zonas especialmente sensibles de accesos no autorizados filtrando las IP no permitidas y controlando la comunicación.

Al igual que ocurre con la oferta de producto, nuestra cartera de formaciones se adapta a la nueva legislación y nuevos estándares de seguridad en el ámbito de la maquinaria y la automatización, también incluyendo la Industrial Security. Pilz quiere ayudar a las empresas a entender los fundamentos normativos de la Industrial Security, y para ello ofrecemos el curso Fundamentos de Industrial Security (FIS), en el que se explican los conceptos básicos a tener en cuenta para entender el contexto.

Además, el curso Cesa (Certified Expert Security in Automation), certificado por TÜV Nord, profundiza en los conceptos básicos de Industrial Security, haciendo especial hincapié en la serie de normas IEC 62443, que son la piedra angular para desarrollar las políticas y diseños de Industrial Security para los sistemas de control de automatización industrial (IACS).