Entrevista a Heinz-Uwe Gernhard, jefe del grupo de trabajo de Seguridad de la VDMA
¿Ha aumentado la concienciación sobre la seguridad cibernética?
Heinz-Uwe Gernhard, IT Security and Application (C/TED1) en Robert Bosch GmbH: “En el mundo de las redes de hoy, nadie está a salvo de un ataque cibernético. Un cambio de opinión debe tener lugar aquí”. Foto: Bosch.
¿Qué recomienda a los recién llegados en este campo?
Que empiecen a tomar precauciones, tanto técnicas como organizativas. Es un poco como la epidemia anual de gripe. Usted tiene un mayor riesgo de contraerlo sin un trabajo para la gripe. En el mundo interconectado de hoy, nadie está a salvo de los ataques cibernéticos. Tiene que haber un cambio de opinión.
Los ataques cibernéticos van en aumento. ¿Qué medidas deben tomar las empresas que actualmente se encuentran en un proceso de transformación digital de Industria 4?0?
Esta es una tarea para la dirección, clara y sencilla. Los gestores deben identificar los riesgos que conlleva el trabajo en red y, a continuación, definir las medidas adecuadas. En cuanto a la disponibilidad de la tecnología de producción, deben comprender el riesgo de que se produzcan daños considerables. La interconectividad significa que nadie es inmune. Si se sigue la prensa especializada, hay un flujo constante de noticias sobre este tema, como el de un ataque cibernético que prácticamente paraliza la informática de una empresa especializada en tecnología de seguridad y control. La compañía decidió hacer público el incidente. Creo que eso es importante y que es el enfoque correcto, porque todos estamos en el mismo barco.
Sin embargo, la apertura sigue siendo la excepción cuando se trata de ciberataques. ¿Hasta qué punto pueden ayudar en este sentido redes como el Grupo de Trabajo de Seguridad VDMA que usted dirige? ¿Haciendo que los miembros de la red hablen abiertamente entre ellos sobre ataques cibernéticos?
Tomamos un enfoque proactivo al identificar claramente los riesgos y proporcionar asistencia en una amplia gama de temas. Creo que es crucial que trabajemos juntos para garantizar la transparencia a través de las fronteras de las asociaciones. El enlace a la plataforma Industry 4.0 también ofrece un buen punto de partida www.plattform-i40.de
Steffen Zimmermann, jefe del Centro de Competencia de Seguridad Industrial de VDMA: “La TI no sólo hace que las máquinas sean inteligentes e interactivas, sino también más susceptibles a los ataques cibernéticos”. Foto: VDMA.
En muchos casos hay una falta de conciencia. Algunas compañías están empezando a alertar a sus empleados sobre diferentes escenarios de fraude. ¿Qué opina de la nueva palabra de moda ‘resiliencia cibernética’ que ahora está en boca de todos?
Este es el enfoque correcto, porque la conciencia ofrece la mejor protección para este tipo de amenaza. Todo usuario de las tecnologías cibernéticas debe ser ciberespacial.
¿Dónde cree que estamos ahora mismo con la seguridad informática?
Permítanme hacer una comparación con los vehículos de carretera. En 1920, los automovilistas necesitaban un nivel de conciencia de riesgo completamente diferente al de los conductores de hoy en día, ya que los coches exigen mucha menos atención como resultado de todos los sistemas incorporados. Los propios vehículos y la infraestructura hacen que la conducción en la actualidad sea mucho menos arriesgada. Nuestra TI está actualmente al nivel de un coche de los años 20 en cuanto a los riesgos inherentes. Requiere un alto nivel de atención por parte de los usuarios y una amplia gama de conocimientos. La sensibilización es un tema clave en este momento.
¿No es alarmista?
No, no es alarmismo en absoluto. La novela Blackout, de Marc Elsberg, juega a través de varios escenarios. Los aspectos técnicos que incluye no son ficticios, sino que reflejan las realidades actuales. Simplemente los ha empaquetado en una emocionante obra de ficción. El gobierno también está participando en la Ley de seguridad de las tecnologías de la información (Kritis), que se está revisando en la actualidad.
El experto en TI Peter Turczak afirmó que “nunca pondría datos críticos en una nube”. Sin embargo, las empresas necesitan datos para implementar la Industria 4.0 y necesitan almacenarlos de forma segura. ¿Qué pertenece a la nube y qué no?
Mi colega de TI se refiere al requisito central de OT (?) para la disponibilidad. Como ingeniero de comunicaciones, soy muy consciente de la competencia entre el ancho de banda, la potencia de cálculo local y, por supuesto, el coste. Con el ancho de banda adecuado, la nube puede facilitar la provisión de una aplicación centralizada con una gran potencia de cálculo para un gran número de usuarios. Los usuarios deben sopesar el tipo de uso de la nube frente a su voluntad de asumir riesgos, sus requisitos de disponibilidad y sus capacidades técnicas y organizativas. Otra cuestión importante, por supuesto, es cómo garantizar la fiabilidad o confiabilidad del proveedor.
¿Así que es una cuestión de confianza?
Sí, tengo que preguntarme en quién confío para hacer qué. ¿Las medidas técnicas, los contratos y las certificaciones de los proveedores de servicios ofrecen suficiente protección jurídica?
La mayoría de las máquinas-herramienta de Metav 2020 tienen conexión a Internet: ¿Qué deben tener en cuenta los visitantes de la feria?
Esperemos que el enlace no sea a través de una conexión abierta a Internet, sino de confianza, como acabo de mencionar. No sólo pregunte sobre la solución técnica en sí, sino también sobre las capacidades organizativas del proveedor. Desde un punto de vista técnico, las redes VPN privadas basadas en un contrato adecuado son las mejores en este caso.
Los estándares pueden ayudar. ¿Cómo pueden los visitantes de la feria prepararse para sus reuniones?
La ayuda es proporcionada por ISO/IEC 62443. La parte 2-4 contiene los ‘Requisitos del programa de seguridad para los proveedores de servicios del SIGC’ y proporciona un marco para los aspectos clave a la hora de considerar las ofertas. De lo contrario, los reglamentos y las normas, aunque a menudo sean inflexibles, pueden ser útiles y eficaces en este sentido.
VDMA - Ciberseguridad a través de la interacción dirigida
Las tecnologías de la información son un elemento clave en casi todas las plantas de producción actuales. “La TI no sólo hace que las máquinas sean inteligentes e interactivas, sino también más susceptibles a los ataques cibernéticos”, observa Steffen Zimmermann, director del Centro de Competencia de Seguridad Industrial de la VDMA. “Para garantizar una alta disponibilidad de las máquinas y la integridad de los datos a lo largo de todo el ciclo de vida del producto, los proveedores de soluciones de automatización y las máquinas también deben interactuar con el operador de la planta. Los operadores deben ser conscientes de la amenaza constante de un ciberataque”. Esto significa que deben tomar las precauciones básicas para asegurar su propia resiliencia cibernética como medio para reducir el impacto de un ataque cibernético. El Congreso de Ciberseguridad de VDW y VDMA en Metav 2020 el 11 de marzo de 2020, que se centra en la convergencia de los entornos de oficina y producción, presentará el estado actual de la técnica. Los temas incluyen: regulación, mantenimiento a distancia/redes internacionales, piratería informática y medidas básicas para la restauración de redes informáticas.
