El ámbito industrial ha cambiado. Cada vez es más frecuente que los procesos de fabricación se automaticen, incorporando elementos tecnológicos en todos los niveles. Ya no es extraño ver a un operario interactuando con una máquina a través de un PC o una pantalla táctil. No obstante, del mismo modo que no utilizamos un coche sin contratar un seguro, también en cuestiones tecnológicas hemos de ser precavidos y ver más allá.
Todo gestor de una PYME de este ámbito, y de cualquier otro, sabe que, para garantizar la continuidad de su negocio, debe conocer los riesgos que lo amenazan. Debe prever mecanismos que eliminen o, al menos reduzcan, el impacto sobre las actividades de la compañía en caso de materializarse. En el caso de industrias manufactureras ello incluye, naturalmente, la protección de los medios de producción (líneas de fabricación, almacenes, etc.) Entre esas medidas podemos contar, por ejemplo, con los programas de mantenimiento preventivo que contribuyen a reducir al máximo los tiempos de indisponibilidad de los equipos, evitando largas paradas, pérdidas de producto en proceso y demás.
No todos los riesgos proceden, no obstante, de averías mecánicas o fallos no intencionados. También se prevén aquellos daños causados por el vandalismo o, directamente, el robo. Por eso tenemos vallas, cerramos las puertas, instalamos alarmas y tenemos guardias de seguridad en nuestras instalaciones. Todo ello es necesario ya que está mucho en juego. Pero, ¿es suficiente?
El mundo ha cambiado, también en un ámbito tan conservador como el industrial. Cada vez es más frecuente que los procesos de fabricación se automaticen, incorporando elementos tecnológicos en todos los niveles. Entre otros elementos nos podemos encontrar con herramientas dotadas de controles mediante procesadores (PLC), almacenes automatizados, sistemas automáticos de manutención que llevan el producto de la salida de un proceso hasta el siguiente, sistemas integrados de fabricación, con máquinas conectadas en red e, incluso, conectadas con sistemas corporativos para permitir la gestión de pedidos desde que estos se materializan hasta que se expide el producto al cliente… Todos esos avances han sido fundamentales para aumentar la productividad de nuestras empresas: reduciendo costes, aumentando la calidad y acortando los plazos. Pero, como ya hemos dicho, no podemos quedarnos sólo con eso. Con la adopción de estos avances tecnológicos nuestras empresas también se exponen a nuevos riesgos, riesgos bien conocidos en otros sectores desde hace tiempo.
Lamentablemente, la respuesta es que sí a todo. El primer paso para avanzar en la protección de nuestras empresas es entender las motivaciones de los ciberdelicuentes y las distintas formas en que podemos sufrir sus ataques. Algunos ejemplos:
- Fraude
- Daño económico: manipulación de datos, incumplimiento de obligaciones legales al imposibilitar o retrasar la recepción o registro de cierta información. Manipulación de la información del estado del sistema recibida por el operador induciendo la toma de decisiones…
- Daño a la imagen corporativa y la reputación.
- Espionaje.
- Chantaje: amenaza de interrupción del proceso.
- Sabotaje.
Imaginemos el caso de una empresa que conecta su sistema de producción a internet. Naturalmente, está protegido con nombre de usuario y contraseña. Gracias a este sistema, la Dirección puede ver desde la oficina cómo marchan las cosas en cualquier momento. Presumen de ello, ya que es un avance importante, un ejemplo vistoso de uso de las nuevas tecnologías. Lamentablemente, el nombre de usuario es el de la empresa y la contraseña 1234 (nadie recordó cambiarlo cuando el proveedor montó el sistema). Un día, una empresa rival logra ganar acceso. Primero copia los programas en ejecución: el mayor valor de la empresa. Después, con toda la fábrica en sus manos la tentación es demasiado fuerte: pulsa ciertos botones y detiene el proceso. El resultado: varias horas de parada forzosa, decenas de miles de euros en material perdido y retrasos en los pedidos. Y lo que es peor, nunca descubrieron lo ocurrido y lo atribuyeron a un fallo inexplicable del sistema eléctrico.
Como vemos, las cosas son algo más complicadas que un simple adolescente probando lo que es capaz de hacer. Hoy en día nos encontramos con auténticos ciberdelincuentes organizados que tratan de conseguir beneficio económico aprovechándose de las debilidades de nuestros sistemas (bien directamente, como en el caso del chantaje, o vendiendo sus servicios a terceros, como en el espionaje). Y es que, ¿cuánto valen, por ejemplo, los diseños de nuestros productos de la próxima temporada?
¿Y qué podemos hacer nosotros? En primer lugar, no despreciar la magnitud de la amenaza. Cualquier empresa, aunque no sea una multinacional, posee procesos cuya continuidad es esencial para su supervivencia. ¿Por qué, si no, los protegemos con vallas y alarmas? Hemos, pues, de adoptar la misma actitud que ya tenemos frente a otros riesgos más tangibles. Y una buena forma de comenzar es hacernos algunas preguntas. ¿Cuál es el estado de ciberseguridad de mis sistemas de control industrial? Fuente : Inteco