Ir directamente al contenido de la página Ir a la navegación principal ir a investigar

Puntos de vista de personalidades destacadas, dirigentes, investigadores y líderes de opinión sobre temas de actualidad o temas clave en materia de transformación digital y transición energética.

Las tecnologías más antiguas están llegando al final de su vida útil y, frente a sistemas cada vez más digitalizados y una ciberdelincuencia cada vez más feroz, las compañías de agua se ven expuestas a riesgos significativos.

La misión de una compañía de agua está clara: garantizar la fiabilidad y la seguridad del suministro de agua de hogares y empresas. Pero en un mundo cada vez más digitalizado, estos principios están en peligro.

El número de ciberataques va en aumento en todo el mundo, y los ciberdelincuentes cada día perfeccionan más sus técnicas. Los servicios relacionados con el agua son un objetivo habitual, así como las fábricas, los transportistas y los proveedores de energía.

El lunes 19 de agosto, South Staffordshire Water, que controla el suministro de agua de aproximadamente 1,6 millones de personas, confirmó haber sido víctima de un ataque de ransomware o secuestro de datos. Aunque parece que el ataque se limitó a la red informática, la banda afirmó tener acceso a la red OT (tecnología operativa) y en particular a los sistemas de vigilancia de los niveles de productos químicos del agua.

Debido a la sequía que actualmente vive el Reino Unido, el personal de los servicios de distribución de agua ya está trabajando bajo presión para poder garantizar un suministro seguro, por lo que no cabe duda de que el ataque les hizo perder un tiempo sumamente valioso.

Durante estos últimos años, han sido también noticia otros ataques contra servicios de distribución de agua en todo el mundo. Así, en abril de 2020 los ciberdelincuentes intentaron incrementar el nivel de cloro en cinco instalaciones de la Autoridad Israelí del Agua, mientras que en febrero de 2021 un pirata informático intentó aumentar más allá de los límites de seguridad establecidos la cantidad de hidróxido de sodio de una red municipal de Florida.

 Múltiples desafíos

Actualmente, siguen siendo muchas las instalaciones que funcionan con tecnologías antiguas, que fueron diseñadas para garantizar la eficiencia más que la seguridad. Pero a medida que las compañías invierten en la digitalización y la automatización, el Internet industrial de las cosas (IIoT) y la hiperconectividad de los sistemas (para el acceso remoto o el análisis) ofrecen mayores “superficies” de ataque. Aunque estas tecnologías sean muy prometedores, especialmente en términos de eficiencia, deben instalarse priorizando la seguridad.

Si bien es cierto que las mentalidades estén cambiando respecto a la ciberseguridad industrial y la protección de las tecnologías operativas, los servicios públicos de agua deben tener en cuenta otros imperativos para hacer frente a los riesgos y asignar sus inversiones, principalmente la actual escasez de personal y de competencias.

Hoy en día, el personal de operaciones a menudo debe enfrentarse al dilema de mantener el sistema en funcionamiento mientras introduce complejos cambios de diseño y actualizaciones, lo que le deja poco tiempo para centrarse en la gestión de los activos y las vulnerabilidades. Algunas entidades están implementando políticas que cumplen de manera superficial con las exigencias de la directiva NIS (Security of Network & Information Systems) de 2018, pero carecen de personal cualificado para aplicarlas y garantizar su mantenimiento.

Ayuda al alcance

Es más fácil garantizar la ciberseguridad de las OT (tecnologías operativas) si se entienden totalmente los procesos y los sistemas de control. Como empresa líder del Reino Unido en automatización (a través de la marca Actemium) y uno de los principales actores en el ámbito de las TIC (a través de Axians), VINCI Energies UK & RoI está en una posición privilegiada para acompañar a las compañías de agua británicas que buscan proteger sus activos y los de sus clientes.

Trabajamos con empresas del sector del agua y el saneamiento para evaluar el impacto de un potencial ciberataque en sus OT e implementar medidas de ciberseguridad de forma progresiva, en función de su presupuesto y su nivel de riesgo.

La ciberseguridad es más fácil de gestionar cuando está integrada en un sistema OT desde la fase de diseño, pero también podemos garantizar la ciberseguridad de los sistemas existentes de tratamiento y suministro de agua de nuestros clientes. Lo más importante es disponer de visibilidad e implementar la vigilancia en las instalaciones para entender qué está sucediendo en la red y qué debe protegerse.

En ambos casos, la solución técnica es solo una parte de la ecuación. A menudo es necesaria la revisión de los procedimientos de la empresa para establecer una gobernanza adecuada y aplicar las políticas necesarias para respaldar los controles técnicos.

 

13/10/2022

Marc Wren

OT Cyber Security Manager en Axians Cloud and Cybersecurity – Reino Unido

Para saber más