Un sector como el industrial, y concretamente el de fabricación avanzada y máquina-herramienta, que vende ante todo confianza a sus clientes a través de productos de un nivel tecnológico muy elevado, ha de tener muy presente el tema de la ciberseguridad.
Lo analizamos en la presente entrevista con María Penilla, Directora Técnica de ZIUR.
Hoy en día no hay empresa que se pueda permitir no incluir la ciberseguridad como un punto crítico en su plan de gestión; pero en el caso concreto del sector de fabricación avanzada y máquina-herramienta el tema cobra especial importancia, porque, por una parte, es cierto que los propios clientes empiezan a demandar a sus fabricantes que implanten sistemas más seguros y que sean capaces de demostrarlo, teniendo en cuenta que, en muchos casos sus “máquinas” acaban funcionando en sistemas muy críticos. Además, a nivel europeo se están desarrollando nuevas normativas de ciberseguridad que, también, exigen y controlan a estos fabricantes la implantación de medidas, en algunos casos muy exigentes, de ciberseguridad en sus productos y procesos.
Actualmente la protección frente a la cantidad de ciberincidentes que se producen en el ámbito industrial sigue siendo una de las problemáticas que más preocupan. Estos ataques siguen creciendo en cantidad y en profesionalidad, y el sector industrial va a seguir siendo uno de los sectores más afectados, y para el que, además, las consecuencias de un ciber incidente pueden ser catastróficas.
En este sentido es importante que las empresas estén continuamente revisando sus planes de ciberseguridad, para ajustar sus inversiones a la situación real y, desde ZIUR, también intentamos transmitir la importancia de invertir, no solo en la prevención, sino también en la recuperación, definiendo planes de recuperación antes ciberincidentes y, llevando a cabo simulacros de ciberincidentes para poder revisar y entrenar dichos planes.
Como comentaba en el primer punto, a nivel europeo se están desarrollando nuevas regulaciones de ciberseguridad para diferentes sectores, como respuesta a una necesidad del propio mercado. En el caso de la NIS2, es una evolución necesaria de la primera versión de esta Directiva que data del año 2016, y que evoluciona para adaptarse al panorama actual de ciberseguridad, elevando la exigencia, de manera considerable con respecto a esta versión inicial, hasta el punto de que hay muchas empresas, a las que no le aplicaba la NIS1 y que, esta nueva versión si les aplica con nuevas obligaciones.
En el caso del standard IEC62443, se trata de un estándar muy ambicioso, que pretende cubrir toda la vida útil de los sistemas industriales, marcando así lo que podríamos llamar “las buenas prácticas de ciberseguridad en un sistema industrial completo”, y que puede tomarse como marco de referencia para generar confianza en los clientes.
Este nuevo reglamento europeo pretende Regular la ciberseguridad de productos con elementos digitales y, en particular, de productos de software que, hasta ahora no están sujeto a ninguna pieza completa de la regulación de la UE. Se trata de una medida, muy necesaria, para protegernos a todos los ciudadanos, como consumidores de dichos productos y, en su alcance, afecta a muchas de nuestras empresas industriales, y, de hecho, supone para ellas un gran reto a las empresas industriales, ya que les obliga a redefinir sus procesos de gestión y de fabricación, para ser capaces de contemplar la ciberseguridad desde el diseño, y ser capaces de asegurar la ciberseguridad de sus productos durante toda su vida útil.
Desde ZIUR consideramos que este proyecto es de una importancia estratégica para el sector industrial de Gipuzkoa, ya que una actividad de evaluación y certificación de ciberseguridad de productos industriales facilitará al sector industrial posicionarse de forma más competitiva en un mercado global, adelantándose a los requerimientos del propio mercado y de las normativas internacionales, cada vez más exigentes.
El proyecto consta de una primera fase en la que, desde ZIUR, se ha definido una metodología que permite la evaluación y certificación de productos industriales siguiendo los requisitos de seguridad de la norma internacional IEC 62443, y tomando también como referencia el Proyecto de Reglamento de la Comisión Europea, conocido como Cyber Resilience Act, sobre el que comentábamos en la pregunta anterior.
El proyecto tiene cuatro objetivos destacados: analizar la validez de la metodología desarrollada por ZIUR como herramienta futura para la evaluación de ciberseguridad de productos industriales; identificar el grado de cumplimiento y madurez de la ciberseguridad de los productos industriales analizados; estudiar las capacidades de evaluación de productos industriales por parte del tejido empresarial del territorio y, por último, ayudar al sector de máquina-herramienta a conocer la exigencias en materia de ciberseguridad planteadas por su mercado por los diferentes requerimientos normativos.