Los informes casi diarios de ataques de hackers están desconcertando al público. Según los resultados de una encuesta de Deutsche Telekom, casi dos tercios de las empresas alemanas han sido víctimas de hackers al menos una vez. La industria de la ingeniería mecánica también está experimentando un aumento significativo de los ataques a sus instalaciones de producción.
Steffen Zimmermann, jefe del Centro de Competencia de Seguridad Industrial de la VDMA, explica cómo, en una reciente encuesta de la VDMA, más de un tercio de los miembros que respondieron informaron haber sufrido pérdidas de producción debido a ataques de hackers, y más de la mitad de las empresas se quejaron de pérdidas de capital. Las campanas de alarma deberían estar sonando ahora en todas las empresas. Se requiere una mejor prevención, así como una lista de expertos a los que se pueda llamar rápidamente para dar apoyo en caso de un ataque.
Natalia Oropeza, directora de Seguridad Cibernética de Siemens AG, dice: “Hay que ser consciente de los riesgos asociados a los productos de infraestructura – y también estar preparados para responder a ellos. Ignorarlos puede destruir su negocio”. Oropeza dará el discurso de apertura en el Congreso de CiberSeguridad de la VDMA y la VDW el 11 de marzo de 2020 en el Metav de Düsseldorf. Hablará sobre la seguridad en la era de la Industria 4.0 y la importancia de la Seguridad por Diseño. Esto debe incluir toda la cadena de suministro si se quiere asegurar la fiabilidad. La industria, los fabricantes y los usuarios necesitan transparencia tecnológica y requisitos homogéneos en los diferentes mercados.
La mayoría de las máquinas estarán conectadas a Internet en el futuro. Esto planteará a todas las partes interesadas —fabricantes de máquinas, proveedores de componentes, operadores de máquinas y posiblemente también proveedores de servicios— retos completamente nuevos.
¿Quién es responsable de la seguridad de los datos?
La mayoría de las máquinas estarán conectadas a Internet en el futuro. Esto planteará a todas las partes interesadas —fabricantes de máquinas, proveedores de componentes, operadores de máquinas y posiblemente también proveedores de servicios— retos completamente nuevos. La productividad, la robustez, la longevidad y la fiabilidad fueron en su día las principales prioridades, mientras que la seguridad de la tecnología de la información está adquiriendo cada vez más importancia. La experiencia práctica demuestra que hay muchas vulnerabilidades potenciales de seguridad diferentes. “En muchos casos no son los grandes ataques de los hackers los que suponen la mayor amenaza en la producción diaria”, dice el Dr. Alexander Broos, jefe de Investigación y Tecnología de la VDW. “Más bien es el regular e inevitable intercambio de datos a través de la interfaz USB del controlador, por ejemplo, que proporciona la puerta de entrada al sistema”. Es relativamente fácil para los expertos en TI ofrecer soluciones instantáneas, como simplemente cerrar la interfaz USB. “Sin embargo, esto impide un uso eficiente de la máquina”, continúa Broos. Los técnicos de servicio, por ejemplo, necesitan poder leer los registros de errores e instalar actualizaciones. Esto se debe a que la actualización automática del software de control, como ocurre en el sistema operativo del PC de la oficina, es relativamente inusual en los equipos de producción. Los ciclos de vida de diez años y más no son en absoluto una rareza en las máquinas y sistemas de control.
Además, el software de control de productos complejos como las máquinas herramientas está altamente personalizado y está especialmente adaptado a aplicaciones particulares. Por lo tanto, surge la pregunta de quién es el responsable de cerrar las brechas de seguridad. “La responsabilidad se reparte en distintos grados entre los fabricantes de máquinas, los proveedores de control y los operadores”, continúa Broos. “Sin embargo, en última instancia, la responsabilidad sólo puede ser cumplida por todos ellos juntos”.
Bernd Gehring, responsable de la seguridad industrial de Voith AG en Heidenheim, añade: “Existe el riesgo de que el software de las máquinas más viejas esté completamente obsoleto, y de que los fabricantes no proporcionen más actualizaciones. Por consiguiente, las empresas deben prepararse para el mantenimiento digital de sus máquinas en una etapa temprana”.
Los operadores, cuyos requisitos de seguridad deben cumplir los fabricantes de máquinas, están aumentando la presión, según él, al igual que las normas que estipulan los sistemas informáticos seguros. Éstas son indispensables en ámbitos como el mantenimiento a distancia. También señala que a veces es necesario hacer grandes inversiones para garantizar la seguridad de las máquinas. Sin embargo, a menudo no hay un retorno inicial de dicha inversión.
Aumentar los niveles de transparencia y la sensibilidad a las lagunas de seguridad
En el Congreso de Ciberseguridad de la VDMA y la VDW, que se celebrará durante el Metav 2020, ponentes de alto nivel —por ejemplo, de Siemens, el Grupo ZF, la Oficina Federal Alemana de Seguridad de la Información, Voith, Trumpf y Deutsche Telekom— hablarán de los desafíos particulares de la ciberseguridad en la industria automotriz, las posibles oportunidades de los sistemas de seguridad y las soluciones de gestión de riesgos. “Nos dirigimos en particular a los directores generales y jefes de producto de las empresas industriales con una fuerte cultura de la innovación. Ellos están especialmente en riesgo, y la seguridad debe ser abordada al más alto nivel”, resume Steffen Zimmermann. Sin embargo, no existe la seguridad al 100%, dado que el objetivo se mueve constantemente y los piratas informáticos adaptan constantemente sus métodos. Los fabricantes de maquinaria deben colaborar con los proveedores de componentes y los operadores para que los procesos de producción sean más seguros. El modelo de negocio de la Industria 4.0 sólo puede funcionar si los servicios digitales se hacen absolutamente seguros. Todos los socios colaboradores comparten un fuerte y común interés en esto.
