05/12/2018
Revista PQ
Por Arturo Trujillo, director de Consultoría de Seguridad de Procesos de Dekra Process Safety (asociada de Bequinor)
Análisis de la ciberseguridad y seguridad de procesos

A lo largo de las últimas décadas, la práctica del control industrial ha evolucionado hacia sistemas de mayor interactividad y facilidad de utilización. Para ello, la interconectividad de sistemas ha sido clave. Hoy en día, la práctica totalidad de las plantas de procesos disponen de sistemas de control automático que, a menudo, se imbrican en los diversos niveles de digitalización de la compañía: desde el nivel de campo (instrumentos, actuadores, relés…) hasta el más alto nivel de servidores corporativos.

Tal como es una constante en la mayor parte de actividades humanas, estas mejoras han generado un riesgo. En este caso, el de ser víctimas de un ataque malintencionado que altere el funcionamiento previsto del sistema de control automático de la planta y pueda, por tanto, provocar daños materiales, a la calidad del producto o, en el límite, un accidente con daños potenciales a las personas, el medio ambiente y los activos. De esta forma, recientemente se ha desarrollado la nueva disciplina de la ciberseguridad, encaminada a proteger los sistemas informáticos de este tipo de ataques.

A su vez, la seguridad de procesos intenta prevenir o mitigar la ocurrencia de eventos que comporten la pérdida de control de materias peligrosas o fuentes de energía. Por lo tanto, existe un ámbito de interacción entre esta disciplina y la ciberseguridad: la prevención y mitigación de escenarios de riesgos de proceso causados por ciberataques.

Conviene, en primer lugar, introducir algunos conceptos básicos:
• La Real Academia Española define peligro como “riesgo o contingencia inminente de que suceda algún mal.” El concepto queda suficientemente claro, pero para poder analizarlo desde un punto de vista técnico necesitamos algo más de rigor.

• El daño o consecuencia es la magnitud del perjuicio causado por un escenario accidental (se trata del “mal” en la definición de la Real Academia). En función del tipo de escenario que se esté analizando, el daño puede ser personal, medio ambiental o material.

• La probabilidad es una medida matemática de la mayor o menor verosimilitud que atribuimos a un escenario accidental. Normalmente es un número real comprendido entre cero y uno, ambos incluidos. Así, por ejemplo, un evento prácticamente seguro recibirá una probabilidad próxima a la unidad, mientras que a uno que consideramos prácticamente imposible le asignaremos una probabilidad próxima a cero.

• De una forma matemática estricta, definimos el riesgo como la esperanza matemática de daño. Más simplificadamente, el riesgo es el producto de la probabilidad por el daño:

Riesgo = probabilidad × daño

Queda claro que estas definiciones no quedan limitadas al mundo de la seguridad de procesos ni de la ciberseguridad. Cualquier tipo de evento que pueda causar un daño (financiero, de calidad de producto…) admite el mismo tratamiento. 

En la mayor parte de los casos publicados, el daño es meramente económico. Sin embargo, cabe también preguntarse cuáles podrían ser las consecuencias de un posible ciberataque con finalidad de causar daño a las personas o el medio ambiente. En este sentido, son numerosos los ejemplos de accidentes y cuasi-accidentes perfectamente documentados cuya causa inicial fue un fallo del sistema automático de control. Aunque en su momento estos fallos fueron no provocados, debe considerarse la posibilidad de que en un futuro puedan llegar a serlo.

Respuesta legal y normativa

Obviamente, los legisladores no pueden permanecer ajenos a un riesgo potencial, deben regularlo. Así, el Parlamento Europeo y el Consejo promulgaron el 6 de julio de 2016 la Directiva (UE) 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Esta Directiva requiere a los estados miembros a identificar los servicios críticos que podrían ser víctimas de ciberataques y crear las estructuras adecuadas para hacerles frente. La Directiva fue complementada en 2018 por el Reglamento de Ejecución (UE) 2018/151 de la Comisión, de 30 de enero de 2018, por el que se establecen normas para la aplicación de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo en lo que respecta a la especificación de los elementos que han de tener en cuenta los proveedores de servicios digitales para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información, así como de los parámetros para determinar si un incidente tiene un impacto significativo. En el momento de redactar esta nota (junio de 2018), la Directiva está pendiente de trasposición al ordenamiento jurídico español.

Por otra parte, desde hace ya algunos años diversos organismos han ido publicando normas técnicas para hacer frente al riesgo de ciberataques. En el presente documento analizaremos, aunque sea brevemente, la familia de normas ISA/IEC 62443, que es heredera de la ISA-99. Ambos organismos (la International Electrotechnical Commission y la International Society for Automation) tienen una larga tradición en el ámbito de la automatización y la seguridad. La figura adjunta muestra un resumen esquemático del alcance de esta familia de normas.

Debe destacarse que estas normas muestran un notable paralelismo con la más conocida norma IEC EN 61508, que estandariza la seguridad funcional. Se establece de esta forma un nuevo paralelismo entre la ciberseguridad y la seguridad de procesos. Así, la norma ISA/IEC 62443 define los llamados “Security Levels” (SL), o niveles de robustez del sistema de control automático frente a ciberataques (de la misma forma que la IEC EN 61508 define los “Safety Integrity Levels” o SIL como grados de robustez frente a fallos no provocados).

Conclusiones

El riesgo de sufrir incidentes de proceso debidos a intrusiones malintencionadas en los sistemas de control automático no puede descartarse. De hecho, el riesgo ha ido aumentando en paralelo al aumento de accesibilidad de los sistemas y a la proliferación de agentes hostiles. No obstante, existe una metodología bien establecida para la gestión de riesgos de proceso que puede extenderse fácilmente para hacer frente al riesgo de ciberataques.

Más noticias sobre Bequinor, Dekra
COMPARTIR
OPINE SOBRE ESTA NOTICIA
* Campos obligatorios
Revista PQ le anima a comentar los artículos publicados al tiempo que le solicita hacerlo con ánimo constructivo y desde el sentido común, por lo que se reserva el derecho de no publicar los comentarios que considere inapropiados, que contengan insultos y/o difamaciones.
Actualidad
Desde la edición de 2014, el director general del Grupo Roegele preside el comité organizador de Equiplast, aunque su...
Gold Series Camtain GSC2 Filtros de cambio seguro y sistema de descarga de polvo de línea continua.
El sistema Gold Series® Camtain™ se utiliza en una variedad de aplicaciones farmacéuticas que incluyen desde...
Bequinor organiza una jornada el 3 de octubre con el objetivo de ofrecer una visión general sobre la Ley de Responsabilidad Medioambiental.
Bequinor, con el patrocinio de Kepler y la colaboración de la Dirección General de Biodiversidad y Calidad Ambiental del...
Planta de regasificación de Enagás en Huelva.
La planta de regasificación que Enagás tiene en Huelva aplica desde hace años las tecnologías más novedosas a fin de...
La nueva gama de equipos de monitorización de la calidad del aire interior Si-AQ de Sauermann incorpora cuatro instrumentos de mano.
La nueva gama de equipos de monitorización de la calidad del aire interior Si-AQ de Sauermann incorpora cuatro...
En España los niveles de impago e insolvencia en 2018 se mantuvieron bajos y no se espera un aumento sustancial en 2019.
En el periodo 2017 y 2018 la industria química global ha estado caracterizada por la solidez financiera debido a las bajas...
Título de la imagen
La industria química en la región latinoamericana se ha consolidado en las últimas décadas como un área competitiva para...
Bequinor lanza su campaña de formación para el segundo semestre de 2019 con un total de 17 acciones formativas.
Bequinor lanza su campaña de formación para el segundo semestre de 2019 con un total de 17 acciones formativas. El...
El vidrio de borosilicato es inerte con casi todos los productos químicos y permanentemente hermético ante el amoniaco.
Fabricación de plásticos  Segunda Línea de Defensa En la producción de plástico se genera un subproducto, el fosgeno...
Bequinor organiza el curso Comprobación bien hecha del cumplimiento del RD 1215/1997 por una máquina el 5 de noviembre en Madrid.
El RD 1215/1997, como todos los que transponen directivas de la UE sobre seguridad laboral, contiene una serie de...
  • Lo más visto
  • Lo más comentado
Empresas destacadas
La revista y el boletín a un solo clic
Boletín
Lea gratis la revista y reciba toda la actualidad del sector a través de nuestro boletín.

Síguenos en las redes sociales
Twitter
Facebook
LinkedIn
Esta web utiliza 'cookies' propias y de terceros para ofrecerte una mejor experiencia y servicio Más información
Versys Ediciones Técnicas © Copyright 2019 - revistapq.com | Todos los derechos reservados | Aviso Legal | Política de privacidad | Política de Cookies | Mapa web