Análisis de la ciberseguridad y seguridad de procesos

A lo largo de las últimas décadas, la práctica del control industrial ha evolucionado hacia sistemas de mayor interactividad y facilidad de utilización. Para ello, la interconectividad de sistemas ha sido clave. Hoy en día, la práctica totalidad de las plantas de procesos disponen de sistemas de control automático que, a menudo, se imbrican en los diversos niveles de digitalización de la compañía: desde el nivel de campo (instrumentos, actuadores, relés…) hasta el más alto nivel de servidores corporativos.

Tal como es una constante en la mayor parte de actividades humanas, estas mejoras han generado un riesgo. En este caso, el de ser víctimas de un ataque malintencionado que altere el funcionamiento previsto del sistema de control automático de la planta y pueda, por tanto, provocar daños materiales, a la calidad del producto o, en el límite, un accidente con daños potenciales a las personas, el medio ambiente y los activos. De esta forma, recientemente se ha desarrollado la nueva disciplina de la ciberseguridad, encaminada a proteger los sistemas informáticos de este tipo de ataques.

A su vez, la seguridad de procesos intenta prevenir o mitigar la ocurrencia de eventos que comporten la pérdida de control de materias peligrosas o fuentes de energía. Por lo tanto, existe un ámbito de interacción entre esta disciplina y la ciberseguridad: la prevención y mitigación de escenarios de riesgos de proceso causados por ciberataques.

Conviene, en primer lugar, introducir algunos conceptos básicos:
• La Real Academia Española define peligro como “riesgo o contingencia inminente de que suceda algún mal.” El concepto queda suficientemente claro, pero para poder analizarlo desde un punto de vista técnico necesitamos algo más de rigor.

• El daño o consecuencia es la magnitud del perjuicio causado por un escenario accidental (se trata del “mal” en la definición de la Real Academia). En función del tipo de escenario que se esté analizando, el daño puede ser personal, medio ambiental o material.

• La probabilidad es una medida matemática de la mayor o menor verosimilitud que atribuimos a un escenario accidental. Normalmente es un número real comprendido entre cero y uno, ambos incluidos. Así, por ejemplo, un evento prácticamente seguro recibirá una probabilidad próxima a la unidad, mientras que a uno que consideramos prácticamente imposible le asignaremos una probabilidad próxima a cero.

• De una forma matemática estricta, definimos el riesgo como la esperanza matemática de daño. Más simplificadamente, el riesgo es el producto de la probabilidad por el daño:

Riesgo = probabilidad × daño

Queda claro que estas definiciones no quedan limitadas al mundo de la seguridad de procesos ni de la ciberseguridad. Cualquier tipo de evento que pueda causar un daño (financiero, de calidad de producto…) admite el mismo tratamiento.

En la mayor parte de los casos publicados, el daño es meramente económico. Sin embargo, cabe también preguntarse cuáles podrían ser las consecuencias de un posible ciberataque con finalidad de causar daño a las personas o el medio ambiente. En este sentido, son numerosos los ejemplos de accidentes y cuasi-accidentes perfectamente documentados cuya causa inicial fue un fallo del sistema automático de control. Aunque en su momento estos fallos fueron no provocados, debe considerarse la posibilidad de que en un futuro puedan llegar a serlo.

Respuesta legal y normativa

Obviamente, los legisladores no pueden permanecer ajenos a un riesgo potencial, deben regularlo. Así, el Parlamento Europeo y el Consejo promulgaron el 6 de julio de 2016 la Directiva (UE) 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Esta Directiva requiere a los estados miembros a identificar los servicios críticos que podrían ser víctimas de ciberataques y crear las estructuras adecuadas para hacerles frente. La Directiva fue complementada en 2018 por el Reglamento de Ejecución (UE) 2018/151 de la Comisión, de 30 de enero de 2018, por el que se establecen normas para la aplicación de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo en lo que respecta a la especificación de los elementos que han de tener en cuenta los proveedores de servicios digitales para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información, así como de los parámetros para determinar si un incidente tiene un impacto significativo. En el momento de redactar esta nota (junio de 2018), la Directiva está pendiente de trasposición al ordenamiento jurídico español.

Por otra parte, desde hace ya algunos años diversos organismos han ido publicando normas técnicas para hacer frente al riesgo de ciberataques. En el presente documento analizaremos, aunque sea brevemente, la familia de normas ISA/IEC 62443, que es heredera de la ISA-99. Ambos organismos (la International Electrotechnical Commission y la International Society for Automation) tienen una larga tradición en el ámbito de la automatización y la seguridad. La figura adjunta muestra un resumen esquemático del alcance de esta familia de normas.

Debe destacarse que estas normas muestran un notable paralelismo con la más conocida norma IEC EN 61508, que estandariza la seguridad funcional. Se establece de esta forma un nuevo paralelismo entre la ciberseguridad y la seguridad de procesos. Así, la norma ISA/IEC 62443 define los llamados “Security Levels” (SL), o niveles de robustez del sistema de control automático frente a ciberataques (de la misma forma que la IEC EN 61508 define los “Safety Integrity Levels” o SIL como grados de robustez frente a fallos no provocados).

Conclusiones

El riesgo de sufrir incidentes de proceso debidos a intrusiones malintencionadas en los sistemas de control automático no puede descartarse. De hecho, el riesgo ha ido aumentando en paralelo al aumento de accesibilidad de los sistemas y a la proliferación de agentes hostiles. No obstante, existe una metodología bien establecida para la gestión de riesgos de proceso que puede extenderse fácilmente para hacer frente al riesgo de ciberataques.