Ciberseguridad, la mayor olvidada en la Industria 4.0

La «Industria 4.0» o «Fábrica del Futuro» lleva muchos años con nosotros. Por ello, la sociedad actual se encuentra ya normalizada ante estas palabras que años atrás parecían dedicadas a un público de expertos en manufactura y las TICs (más específicamente Tecnologías de la Información y la Comunicación). No obstante, ante cualquier evento o aparición de estos términos en los medios de comunicación, siempre se hace referencia a las mismas temáticas, por ejemplo, «Big Data», Internet de las Cosas (traducción literal de la expresión inglesa «Internet of Things»), realidad aumentada o fabricación aditiva, entre otros. A pesar de ello, tenga en cuenta, querido lector, que las tecnologías que se involucran en los sistemas de fabricación avanzados no se centran únicamente en aquello que los medios muestran. La Industria 4.0 debe gestionar la integración de 8 diferentes aspectos tecnológicos, entre los que se encuentra uno que todo el mundo olvida, la ciberseguridad.
 
La ciberseguridad, también conocida a través de otros nombres como, por ejemplo, el de seguridad informática; se define como el área relacionada con la informática y la telemática que se encarga de proteger la infraestructura tecnológica de la empresa. En esa infraestructura se engloban activos tan importantes como: (i) las máquinas y dispositivos físicos (también conocidos como «hardware»), (ii) los sistemas y servicios de ejecución, así como las bases de datos, los datos en sí y los archivos (denominados como «software») y las comunicaciones entre todos esos elementos. Esta disciplina, la ciberseguridad, debe ser el mecanismo a través el cual deben ser diseñadas las normas, los procedimientos, los métodos y técnicas que permitan mantener un sistema de información seguro y confiable.
 
Las razones que llevan a las empresas a dejar de lado la ciberseguridad están muy claras. En primer lugar, y tal vez la más influyente para no tenerla en cuenta, la ciberseguridad se visualiza como un engorro para los proyectos, haciendo que aumenten los costes de desarrollo y necesitándose de un mayor tiempo para conseguir el objetivo propuesto. En segundo lugar, otro de los puntos que afecta a la ciberseguridad dentro de los proyectos de Industria 4.0 es el desconocimiento por parte de los implicados de que realmente es necesario. Los encargados únicamente quieren que el proyecto que se está desarrollando haga lo que tiene que hacer, careciendo el resto de los aspectos circundantes de importancia. Y en último lugar, pero no por ello menos importante, las asunciones que se hacen desde la propia compañía al pensar que: (i) «Esto no me va a pasar a mí», (ii) «En mi compañía no hay nada interesante que justifique un ataque» o (iii) «No necesitamos más seguridad, ya contamos con antivirus». Frases o ideas totalmente equivocadas, ya que en un mundo interconectado nadie se encuentra seguro, la información que maneja la compañía es muy jugosa (de ahí los casos de espionaje industrial) y la existencia de una gran variedad de posibles ataques, a la par que nuevos virus informáticos, que no pueden ser detectados, solucionados o cortados por el software antivirus.
 
Tal vez estas últimas afirmaciones puedan parecerle exageradas al lector, sin embargo, el firmante ha sido testigo de este tipo de actitudes en la Hannover Messe. Específicamente, la Hannover Messe se trata de la feria industrial más grande del mundo en la que anualmente se acercan unos 200.000 visitantes a comprobar los avances que alrededor de 6000 expositores presentan en diversos campos. Concretamente, este año ha contado con una fuerte componente en Industria 4.0, en la que grandes empresas como Microsoft IBM presentaban soluciones de seguridad para el nuevo paradigma de la Fábrica del Futuro sin que apenas algún asistente se interesase por ellas. La misma situación también pudo vivirse con las pequeñas y medianas empresas que centraban su actividad en la seguridad de la información. La consecuencia de este tipo de actitud fue, por ejemplo, que a partir del mes siguiente a la feria se sufriera uno de los mayores ciberataques conocidos en la historia, el ransomware WannaCryWannaCry se distribuyó por más de 150 países afectando a unos 200.000 computadores, entre los que, por ejemplo, se vieron afectadas las instalaciones industriales de Nissan Motor Manufacturing o Renault que tuvieron que detener la producción.
 
Sobre todo, tras este ataque, la conciencia de la necesidad de la seguridad informática ha crecido. Por ello, este es el momento en el que las empresas empiezan a trabajar en el tema. Los puntos críticos sobre los que hay que trabajar son muchos. El primero y más importante es la infraestructura tecnológica con la que se cuenta. Por ejemplo, los nuevos desarrollos de Industria 4.0 en los que se ven involucrados los dispositivos ciberfísicos (del inglés «Cyber Physical Systems») y las tecnologías de la comunicación para conseguir el Internet de las Cosas Industrial están siendo desarrollados sin utilizar protocolos seguros. Además, cualquier punto de entrada o salida a la organización debe ser securizado (i.e., correo electrónico, página Web, servidores de intercambio de datos, intranet, extranet, entre otros) ya que son los puntos a través de los que un atacante puede llegar a nosotros. Y finalmente, y esta vez el eslabón más complicado de mantener seguro, debemos concienciar a los usuarios. Éstos deben estar sensibilizados de que la seguridad informática es algo importante y que deben usar su sentido común para evitar que los atacantes puedan extraer información de ellos a través del engaño (algo conocido como «Hacking Social»).
 
Tras toda esta disertación, y a modo de conclusión, espero que este artículo sirva como herramienta de concienciación. Así, las compañías deben tener en cuenta que la ciberseguridad en un entorno tan tecnologizado como lo es la Industria 4.0 no es un coste, es una inversión. El coste, realmente, es el que se produce cuando nuestra compañía es vulnerada por cualquier tipo de ataque. Igualmente, la ciberseguridad es necesaria en nuestras organizaciones y en nuestras compañías para proteger nuestros activos tangibles e intangibles, manteniendo controlado nuestro sistema TIC y permitiendo desarrollar el trabajo que se tiene que desarrollar de una forma eficaz y eficiente. En fin, querido lector, lleve siempre consigo las palabras de Robert Mueller (director del FBI desde 2001 a 2013):
 
«Únicamente existen dos tipos de compañías: aquellas que han sido hackeadas y aquellas que lo serán»
 
Figura 1.- Reflexión final de Rober Mueller, director del FBI de 2001 a 2013: “Únicamente existen dos tipos de compañías: aquellas que han sido hackeadas, y aquellas que lo serán.” 
 
¿Usted a cuál pertenece? Esperemos que a aquellas que lo serán, pero dentro de mucho mucho tiempo.
Dr. Javier Nieves
Dr. Javier Nieves

Responsable de Tecnologías de Fabricación Inteligentes

Atrás

Contacta con Javier.

¿Cómo podemos ayudarte?

Mantente informad@ de la actividad de AZTERLAN.