05/12/2018
Revista PQ
Por Arturo Trujillo, director de Consultoría de Seguridad de Procesos de Dekra Process Safety (asociada de Bequinor)
Análisis de la ciberseguridad y seguridad de procesos

A lo largo de las últimas décadas, la práctica del control industrial ha evolucionado hacia sistemas de mayor interactividad y facilidad de utilización. Para ello, la interconectividad de sistemas ha sido clave. Hoy en día, la práctica totalidad de las plantas de procesos disponen de sistemas de control automático que, a menudo, se imbrican en los diversos niveles de digitalización de la compañía: desde el nivel de campo (instrumentos, actuadores, relés…) hasta el más alto nivel de servidores corporativos.

Tal como es una constante en la mayor parte de actividades humanas, estas mejoras han generado un riesgo. En este caso, el de ser víctimas de un ataque malintencionado que altere el funcionamiento previsto del sistema de control automático de la planta y pueda, por tanto, provocar daños materiales, a la calidad del producto o, en el límite, un accidente con daños potenciales a las personas, el medio ambiente y los activos. De esta forma, recientemente se ha desarrollado la nueva disciplina de la ciberseguridad, encaminada a proteger los sistemas informáticos de este tipo de ataques.

A su vez, la seguridad de procesos intenta prevenir o mitigar la ocurrencia de eventos que comporten la pérdida de control de materias peligrosas o fuentes de energía. Por lo tanto, existe un ámbito de interacción entre esta disciplina y la ciberseguridad: la prevención y mitigación de escenarios de riesgos de proceso causados por ciberataques.

Conviene, en primer lugar, introducir algunos conceptos básicos:
• La Real Academia Española define peligro como “riesgo o contingencia inminente de que suceda algún mal.” El concepto queda suficientemente claro, pero para poder analizarlo desde un punto de vista técnico necesitamos algo más de rigor.

• El daño o consecuencia es la magnitud del perjuicio causado por un escenario accidental (se trata del “mal” en la definición de la Real Academia). En función del tipo de escenario que se esté analizando, el daño puede ser personal, medio ambiental o material.

• La probabilidad es una medida matemática de la mayor o menor verosimilitud que atribuimos a un escenario accidental. Normalmente es un número real comprendido entre cero y uno, ambos incluidos. Así, por ejemplo, un evento prácticamente seguro recibirá una probabilidad próxima a la unidad, mientras que a uno que consideramos prácticamente imposible le asignaremos una probabilidad próxima a cero.

• De una forma matemática estricta, definimos el riesgo como la esperanza matemática de daño. Más simplificadamente, el riesgo es el producto de la probabilidad por el daño:

Riesgo = probabilidad × daño

Queda claro que estas definiciones no quedan limitadas al mundo de la seguridad de procesos ni de la ciberseguridad. Cualquier tipo de evento que pueda causar un daño (financiero, de calidad de producto…) admite el mismo tratamiento. 

En la mayor parte de los casos publicados, el daño es meramente económico. Sin embargo, cabe también preguntarse cuáles podrían ser las consecuencias de un posible ciberataque con finalidad de causar daño a las personas o el medio ambiente. En este sentido, son numerosos los ejemplos de accidentes y cuasi-accidentes perfectamente documentados cuya causa inicial fue un fallo del sistema automático de control. Aunque en su momento estos fallos fueron no provocados, debe considerarse la posibilidad de que en un futuro puedan llegar a serlo.

Respuesta legal y normativa

Obviamente, los legisladores no pueden permanecer ajenos a un riesgo potencial, deben regularlo. Así, el Parlamento Europeo y el Consejo promulgaron el 6 de julio de 2016 la Directiva (UE) 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Esta Directiva requiere a los estados miembros a identificar los servicios críticos que podrían ser víctimas de ciberataques y crear las estructuras adecuadas para hacerles frente. La Directiva fue complementada en 2018 por el Reglamento de Ejecución (UE) 2018/151 de la Comisión, de 30 de enero de 2018, por el que se establecen normas para la aplicación de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo en lo que respecta a la especificación de los elementos que han de tener en cuenta los proveedores de servicios digitales para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información, así como de los parámetros para determinar si un incidente tiene un impacto significativo. En el momento de redactar esta nota (junio de 2018), la Directiva está pendiente de trasposición al ordenamiento jurídico español.

Por otra parte, desde hace ya algunos años diversos organismos han ido publicando normas técnicas para hacer frente al riesgo de ciberataques. En el presente documento analizaremos, aunque sea brevemente, la familia de normas ISA/IEC 62443, que es heredera de la ISA-99. Ambos organismos (la International Electrotechnical Commission y la International Society for Automation) tienen una larga tradición en el ámbito de la automatización y la seguridad. La figura adjunta muestra un resumen esquemático del alcance de esta familia de normas.

Debe destacarse que estas normas muestran un notable paralelismo con la más conocida norma IEC EN 61508, que estandariza la seguridad funcional. Se establece de esta forma un nuevo paralelismo entre la ciberseguridad y la seguridad de procesos. Así, la norma ISA/IEC 62443 define los llamados “Security Levels” (SL), o niveles de robustez del sistema de control automático frente a ciberataques (de la misma forma que la IEC EN 61508 define los “Safety Integrity Levels” o SIL como grados de robustez frente a fallos no provocados).

Conclusiones

El riesgo de sufrir incidentes de proceso debidos a intrusiones malintencionadas en los sistemas de control automático no puede descartarse. De hecho, el riesgo ha ido aumentando en paralelo al aumento de accesibilidad de los sistemas y a la proliferación de agentes hostiles. No obstante, existe una metodología bien establecida para la gestión de riesgos de proceso que puede extenderse fácilmente para hacer frente al riesgo de ciberataques.

Más noticias sobre Bequinor, Dekra
COMPARTIR
OPINE SOBRE ESTA NOTICIA
* Campos obligatorios
Revista PQ le anima a comentar los artículos publicados al tiempo que le solicita hacerlo con ánimo constructivo y desde el sentido común, por lo que se reserva el derecho de no publicar los comentarios que considere inapropiados, que contengan insultos y/o difamaciones.
Actualidad
La desalación en España es, a día de hoy, un recurso imprescindible para resolver los problemas de déficit hídrico que se...
En las siguientes líneas Denios nos ofrece 12 aspectos a tener en cuenta a la hora de gestionar el almacenamiento y...
Más de 8.000 congresistas y visitantes profesionales de las industrias del envase-embalaje, automoción, electrónica...
Dada la dificultad de seleccionar la tecnología de vacío más adecuada para aplicaciones de procesos tecnológicos químicos...
En torno a la temática “El futuro de la transformación del plástico”, que tan vigente está en la actualidad...
La directiva de Tecniberia, la asociación española de empresas de ingeniería, consultoría y servicios tecnológicos, con...
La industria química española alcanzó una cifra de negocios de 65.647 millones de euros en 2018, lo que supone un...
La desalación en España es, a día de hoy, un recurso imprescindible para resolver los problemas de déficit hídrico que se...
JJB Euromangueras fabrica y distribuye una amplia gama de mangueras y racores para las industrias en general y, más...
El Testo 340 es nuevo instrumento de medición desarrollado por la compañía para la puesta en marcha, los trabajos de...
  • Lo más visto
  • Lo más comentado
Empresas destacadas
La revista y el boletín a un solo clic
Boletín
Lea gratis la revista y reciba toda la actualidad del sector a través de nuestro boletín.

Síguenos en las redes sociales
Twitter
Facebook
LinkedIn
Esta web utiliza 'cookies' propias y de terceros para ofrecerte una mejor experiencia y servicio Más información
Versys Ediciones Técnicas © Copyright 2019 - revistapq.com | Todos los derechos reservados | Aviso Legal | Política de privacidad | Política de Cookies | Mapa web