La digitalización del sector ferroviario sigue avanzando imparable, a menudo por delante del nivel de preparación de empresas y operadores. Y de la mano de la digitalización, las empresas deben madurar en Ciberseguridad. Como muestra, durante los primeros días de la pandemia por la Covid-19, las conexiones RDP se dispararon un 40% a nivel mundial y las VPN, un 30%. La razón, el gran número de empresas que se vieron obligadas a conectarse a Internet para facilitar el teletrabajo a sus empleados. Muchas sin estar preparadas para ello.
La conectividad, el Internet de las Cosas (IoT) ofrece grandes beneficios, especialmente cuando hacemos que los sistemas OT e IT converjan: operaciones sin disrupciones, una mejor experiencia del pasajero y seguridad en los túneles, eficiencia operacional y una mayor sostenibilidad. Sin embargo, conectar los procesos a la nube, a infraestructuras IT o a sistemas de terceros introduce riesgos. Aquí es donde entra la ciberseguridad, que ya se ha convertido en una parte fundamental del proceso de digitalización. Más aún en un sector tan sensible como es el ferroviario y donde los procesos de liberalización están introduciendo una serie de complejidades organizativas y estructurales que podrían llegar a condicionar la seguridad global del sistema.
¿A qué ciber amenazas se enfrenta el sector ferroviario?
Los ciberataques son una amenaza muy real – en los últimos 5 años las brechas de seguridad han aumentado un 67% – y muy costosa – se estima en 3,8 millones el coste medio de una brecha de seguridad. Los dispositivos IoT, por ejemplo, históricamente no han contemplado la ciberseguridad desde el primer momento y, como consecuencia, un hacker podría comprometer su seguridad en pocos minutos.
Los centros de control y supervisión han permitido un incremento sustancial en la resiliencia y la eficiencia operacional de la red ferroviaria, pero han creado también nodos de muy alta criticidad que deben ser protegidos adecuadamente ya que su indisponibilidad tendría muy graves consecuencias para la operación ferroviaria. En general, la progresiva digitalización de la red ferroviaria de los últimos años motivada por una creciente demanda de datos de cara a su ulterior procesamiento, ha creado también una creciente inquietud en relación a la seguridad de la información y a las consecuencias de un mal uso de la misma.
En este sentido, Schneider Electric ha respondido a este reto teniendo en cuenta la ciberseguridad de sus productos, servicios y soluciones desde la misma fase de diseño. Desarrollando software seguro, siguiendo un proceso certificado y proporcionando servicios de ciberseguridad a sus clientes para que puedan enfrentarse a la digitalización de sus activos de manera segura.
Un presupuesto mal dimensionado – solo el 2% del presupuesto IT se destina a la seguridad – o la mano humana, el eslabón más débil de la tríada tecnología, persona, proceso que integra la ciberseguridad – el 70% de los empleados no entiende la ciberseguridad y el 92% del malware se distribuye vía email – son dos de los grandes facilitadores de los ciberataques.
A lo largo de los años, el sector ferroviario también ha sido víctima de ataques. Unos ataques que, por la criticidad del sector, pueden tener consecuencias muy graves. Ejemplo de ello son una compañía ferroviaria estadounidense que, en 2011, recibió varios ataques que llegaron, incluso, a frenar un tren durante un momento; la fuga de datos que se produjo en 2014 en el metro de Seúl debido a que 60 ordenadores de empleados fueron infectados con malware; los ataques ransomware que recibieron en 2017 varias empresas rusas y alemanas; el ataque de Denegación de Servicio del que fue víctima un operador danés en 2018 y que afectó a los sistemas de venta de billetes y telefónico; el hacker que, en 2019, accedió a los datos de los pasajeros irrumpiendo en la red Wifi de un tren de alta velocidad rusa y finalmente el caso del administrador ferroviario español que en 2020 ocasionó una fuga de información sensible a través de un ataque ransomware.
¿Qué normativa se aplica en el sector?
Como os decíamos en el apartado anterior, las consecuencias de un ataque a un operador ferroviario pueden ser muy graves. Por este motivo, son varias las normativas existentes. En España deberíamos empezar mencionando el Real Decreto 3/2010 de 8 de enero, que regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS); la Ley 8/2011 de 28 de abril, que establece distintas medidas para proteger las infraestructuras críticas, o el Real Decreto 951/2015 de 23 de octubre que modifica el Real Decreto 3/2010 de 8 de enero.
Especialmente relevante es el Real Decreto-ley 10/2018 de 7 de septiembre, de seguridad de las redes y sistemas de información, trasposición de la Directiva NIS. En Europa, hace unos años, se creó una ley por la que todos los países miembros debían identificar sus infraestructuras críticas y evaluar su nivel de seguridad y las amenazas reales y colaborar para poder responder sincronizadamente con el fin último de proteger las infraestructuras críticas para Europa. En esta línea, el documento de Seguridad del CCN “Obligaciones de los prestadores de servicios a las entidades públicas” establece que los proveedores de servicios a las entidades públicas sujetas al Real Decreto 3/2010 de 8 de enero, deben cumplir una serie de condiciones, como, por ejemplo, identificar a una persona de contacto que colabore con la entidad pública en cuestión cuando haya un incidente.
Este es el caso de Schneider Electric como prestadores de servicios a operadores críticos y de servicios esenciales. En este sentido, la compañía está plenamente preparada para responder a este requerimiento del Esquema Nacional de Seguridad. Muestra de ello es el departamento Product Security Office, con personal encargado específicamente de responder a incidentes de forma confidencial. Con nuestras políticas de seguridad, incluyendo Privacy by Design, que consiste en realizar un análisis de riesgos de toda la oferta para comprobar si la compañía maneja datos de carácter confidencial que puedan estar bajo cualquier ley de protección de datos, nacional o europea.
Finalmente, no podemos olvidarnos del Reglamento General de Protección de Datos (GDPR), que contempla una penalización a las empresas de hasta 10 millones de euros o hasta el 2% de su volumen de facturación anual, la que sea mayor.
¿Cómo abordar la seguridad el sector ferroviario?
En lo que respecta a la ciberseguridad, en el sector ferroviario también rigen diferentes estándares y buenas prácticas. Los más relevantes serían los enfocados hacia los sistemas de información, como el conjunto de estándares ISO 2700X, y en los sistemas de control industrial, como el IEC 62443. Este último tiene una visión holística de la seguridad de los sistemas de control industrial e incluye diferentes pautas, por ejemplo, de análisis de riesgos, seguridad en el desarrollo del software, características a nivel de producto, requisitos a nivel de sistema, requisitos a nivel de organización, seguridad en la cadena de suministro, etc.
Sea como sea, todos coinciden en los siguiente:
- Análisis de riesgos de ciberseguridad. Siempre ha ser el primer paso y deben identificarse las amenazas que apliquen a un operador, su impacto y la probabilidad de éstas.
- Empezar por lo básico. Es necesario identificar qué nivel de ciberseguridad ha de cumplirse y definir el camino a seguir para llegar a ese punto teniendo en cuenta el análisis de riesgos inicial. De entrada, si la operadora no la necesita o no está preparada, no debemos ir a una solución de ciberseguridad avanzada o un nivel de seguridad 4.
- Defensa en profundidad o en capas que incluya, como elemento básico, la segmentación de la red. Así, si un atacante consigue acceder a una parte de la operación, las partes críticas quedarán a salvo. Es lo que llamamos Zero-Trust en los Sistemas de Información. En lo que respecta a los Sistemas de Control, todavía no existe esa posibilidad, pero sí que puede realizarse microsegmentación o definir distintos permisos y usuarios para IED, SCADA, IT o proveedores externos.
- Contar con una buena política de vulnerabilidades en productos. Y crear un plan de repuesta a incidentes.
- Apoyarse en los proveedores/vendors.
Dada su enorme criticidad, no es posible pensar en la digitalización del sector ferroviario sin tener en cuenta la ciberseguridad. Hay mucho en juego en una industria que mueve diariamente millones de personas y mercancías. En Schneider Electric lo sabemos y, por eso, la ciberseguridad de extremo a extremo es una parte esencial de nuestra oferta.
Añadir comentario