05/12/2018
Revista PQ
Por Arturo Trujillo, director de Consultoría de Seguridad de Procesos de Dekra Process Safety (asociada de Bequinor)
Análisis de la ciberseguridad y seguridad de procesos

A lo largo de las últimas décadas, la práctica del control industrial ha evolucionado hacia sistemas de mayor interactividad y facilidad de utilización. Para ello, la interconectividad de sistemas ha sido clave. Hoy en día, la práctica totalidad de las plantas de procesos disponen de sistemas de control automático que, a menudo, se imbrican en los diversos niveles de digitalización de la compañía: desde el nivel de campo (instrumentos, actuadores, relés…) hasta el más alto nivel de servidores corporativos.

Tal como es una constante en la mayor parte de actividades humanas, estas mejoras han generado un riesgo. En este caso, el de ser víctimas de un ataque malintencionado que altere el funcionamiento previsto del sistema de control automático de la planta y pueda, por tanto, provocar daños materiales, a la calidad del producto o, en el límite, un accidente con daños potenciales a las personas, el medio ambiente y los activos. De esta forma, recientemente se ha desarrollado la nueva disciplina de la ciberseguridad, encaminada a proteger los sistemas informáticos de este tipo de ataques.

A su vez, la seguridad de procesos intenta prevenir o mitigar la ocurrencia de eventos que comporten la pérdida de control de materias peligrosas o fuentes de energía. Por lo tanto, existe un ámbito de interacción entre esta disciplina y la ciberseguridad: la prevención y mitigación de escenarios de riesgos de proceso causados por ciberataques.

Conviene, en primer lugar, introducir algunos conceptos básicos:
• La Real Academia Española define peligro como “riesgo o contingencia inminente de que suceda algún mal.” El concepto queda suficientemente claro, pero para poder analizarlo desde un punto de vista técnico necesitamos algo más de rigor.

• El daño o consecuencia es la magnitud del perjuicio causado por un escenario accidental (se trata del “mal” en la definición de la Real Academia). En función del tipo de escenario que se esté analizando, el daño puede ser personal, medio ambiental o material.

• La probabilidad es una medida matemática de la mayor o menor verosimilitud que atribuimos a un escenario accidental. Normalmente es un número real comprendido entre cero y uno, ambos incluidos. Así, por ejemplo, un evento prácticamente seguro recibirá una probabilidad próxima a la unidad, mientras que a uno que consideramos prácticamente imposible le asignaremos una probabilidad próxima a cero.

• De una forma matemática estricta, definimos el riesgo como la esperanza matemática de daño. Más simplificadamente, el riesgo es el producto de la probabilidad por el daño:

Riesgo = probabilidad × daño

Queda claro que estas definiciones no quedan limitadas al mundo de la seguridad de procesos ni de la ciberseguridad. Cualquier tipo de evento que pueda causar un daño (financiero, de calidad de producto…) admite el mismo tratamiento. 

En la mayor parte de los casos publicados, el daño es meramente económico. Sin embargo, cabe también preguntarse cuáles podrían ser las consecuencias de un posible ciberataque con finalidad de causar daño a las personas o el medio ambiente. En este sentido, son numerosos los ejemplos de accidentes y cuasi-accidentes perfectamente documentados cuya causa inicial fue un fallo del sistema automático de control. Aunque en su momento estos fallos fueron no provocados, debe considerarse la posibilidad de que en un futuro puedan llegar a serlo.

Respuesta legal y normativa

Obviamente, los legisladores no pueden permanecer ajenos a un riesgo potencial, deben regularlo. Así, el Parlamento Europeo y el Consejo promulgaron el 6 de julio de 2016 la Directiva (UE) 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Esta Directiva requiere a los estados miembros a identificar los servicios críticos que podrían ser víctimas de ciberataques y crear las estructuras adecuadas para hacerles frente. La Directiva fue complementada en 2018 por el Reglamento de Ejecución (UE) 2018/151 de la Comisión, de 30 de enero de 2018, por el que se establecen normas para la aplicación de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo en lo que respecta a la especificación de los elementos que han de tener en cuenta los proveedores de servicios digitales para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información, así como de los parámetros para determinar si un incidente tiene un impacto significativo. En el momento de redactar esta nota (junio de 2018), la Directiva está pendiente de trasposición al ordenamiento jurídico español.

Por otra parte, desde hace ya algunos años diversos organismos han ido publicando normas técnicas para hacer frente al riesgo de ciberataques. En el presente documento analizaremos, aunque sea brevemente, la familia de normas ISA/IEC 62443, que es heredera de la ISA-99. Ambos organismos (la International Electrotechnical Commission y la International Society for Automation) tienen una larga tradición en el ámbito de la automatización y la seguridad. La figura adjunta muestra un resumen esquemático del alcance de esta familia de normas.

Debe destacarse que estas normas muestran un notable paralelismo con la más conocida norma IEC EN 61508, que estandariza la seguridad funcional. Se establece de esta forma un nuevo paralelismo entre la ciberseguridad y la seguridad de procesos. Así, la norma ISA/IEC 62443 define los llamados “Security Levels” (SL), o niveles de robustez del sistema de control automático frente a ciberataques (de la misma forma que la IEC EN 61508 define los “Safety Integrity Levels” o SIL como grados de robustez frente a fallos no provocados).

Conclusiones

El riesgo de sufrir incidentes de proceso debidos a intrusiones malintencionadas en los sistemas de control automático no puede descartarse. De hecho, el riesgo ha ido aumentando en paralelo al aumento de accesibilidad de los sistemas y a la proliferación de agentes hostiles. No obstante, existe una metodología bien establecida para la gestión de riesgos de proceso que puede extenderse fácilmente para hacer frente al riesgo de ciberataques.

Más noticias sobre Bequinor, Dekra
COMPARTIR
OPINE SOBRE ESTA NOTICIA
* Campos obligatorios
Revista PQ le anima a comentar los artículos publicados al tiempo que le solicita hacerlo con ánimo constructivo y desde el sentido común, por lo que se reserva el derecho de no publicar los comentarios que considere inapropiados, que contengan insultos y/o difamaciones.
Actualidad
Protego España organizó un seminario sobre los estándares internacionales aplicables a válvulas de presión/vacío y...
La tecnología Motor Scan de Weg permite la supervisión periódica de los motores de la compañía para maximizar el tiempo de...
“El gas renovable necesita apoyo para poder aportar todo su potencial de contribución a la descarbonización y a la...
Tras el lanzamiento en 2016 de su gama Healthcare para los segmentos del packaging farmacéutico y los dispositivos...
Los medidores de gas GD 300 - GD 500 EX miden los gases técnicos y médicos de DN 15 hasta DN 400. Trabajan según el...
Bequinor ha anunciado cinco nuevos cursos de formación en seguridad industrial on line para el primer trimestre de 2019...
A lo largo de las últimas décadas, la práctica del control industrial ha evolucionado hacia sistemas de mayor...
Un acuerdo entre Feria Valencia y Fira de Barcelona permitirá que los salones de Fira de Barcelona Equiplast, el encuentro...
El XL1 es un convertidor de diseño compacto desarrollado por Tecfluid para medir caudal de líquidos conductivos y...
El pasado mes de octubre ITC Dosing Pumps celebró su 25 aniversario en un acto conmemorativo junto a colaboradores...
  • Lo más visto
  • Lo más comentado
La revista y el boletín a un solo clic
Boletín
Lea gratis la revista y reciba toda la actualidad del sector a través de nuestro boletín.

Síguenos en las redes sociales
Twitter
Facebook
LinkedIn
Empresas destacadas
Esta web utiliza 'cookies' propias y de terceros para ofrecerte una mejor experiencia y servicio Más información
Digital Newspapers © Copyright 2017 - revistapq.com | Todos los derechos reservados | Aviso Legal | Política de privacidad | Política de Cookies | Mapa web