La ciberseguridad es un tema clave para los sistemas de gestión del agua, cada vez más digitalizados. Si los avances en este sentido son imprescindibles para avanzar en sostenibilidad y eficiencia, eso las hace más vulnerables a ciberataques.
El SSWW reunió a siete expertos en ciberseguridad para responder a la pregunta de si están a salvo nuestras infraestructuras hídricas.
Fuente: iAgua, Pablo González-Cebrián
El primero en intervenir fue Alfonso López Escobar, jefe de seguridad de la información en Emasesa, que planteó que la estrategia de prevención debe cuidar todos los puntos que van desde la captación del agua al momento en que se vierte a la naturaleza después de tratarla.
Un ciberataque puede causar pérdidas económicas, pero también un fraude de suplantación, la interrupción de operaciones, daños al medio ambiente, daños materiales, daños a personas por manejo químico o de seguridad) por poner algunos ejemplos. Pero también puede llevar consigo una pérdida de reputación de la empresa y repercusiones legales.
El enemigo en estos ataques suelen ser grupos cibercriminales, hacktivistas, paraestatales o incluso empleados pagados por este tipo de grupos para que les permita entrar en el programa por una elevada cantidad de dinero. La motivación principal puede ser económica, pero hay otras, según detalló.
Por todo ello explicó que sin medidas de seguridad adecuadas las infraestructuras hídricas están expuestas a riesgos evitables y puso ejemplos de ataques en distintos países. Como medidas señaló que hay que evitar que los sistemas industriales estén conectados directamente a internet, la implementación de la autenticación multifactor, cambiar las contraseñas predeterminadas y realizar copias de seguridad periódicas de los equipos críticos. Poniendo como analogía un submarino, subrayó la necesidad de segmentar las redes para limitar la exposición de los sistemas vitales a redes menos confiables.
Alfonso López Escobar destacó que la ciberseguridad tiene que ser prioritaria en la gestión de infraestructuras esenciales y que implementar medidas preventivas pueden marcar la diferencia entre un servicio resiliente y una crisis grave. Para ello es necesario conocer mucho dónde están las debilidades del sistema y conocer las capacidades del enemigo.
La siguiente ponente fue Lydia González, de Siemens, quien habló de la amenaza cada vez mayor que se produce por la conectividad entre sistemas operativos y de tecnología de la información (OT/IT) en la gestión del agua. En esta línea detalló que que la digitalización y la integración de sistemas industriales han incrementado la exposición a ciberamenazas.
Los retos para las empresas del sector del agua en este contexto pasan por la falta de personal cualificado y la complejidad en la gestión de datos y redes abiertas.
También lo son las nuevas normativas y la globalización en general. Así, citó la normativa NIS2, que afectará al sector, imponiendo nuevos requisitos técnicos y metodológicos, y responsabilizando a la alta dirección de conocer y solventar los riesgos. Esta normativa también incluirá nuevas infraestructuras, como las de agua residual.
Para enfrentar estos desafíos, Siemens ha desarrollado la “Secure Reference Architecture”, que combina comunicación cifrada, gestión de activos y detección de anomalías para proteger los sistemas industriales. Este enfoque es crucial para reducir la vulnerabilidad de las infraestructuras críticas.
Con sus innovaciones, Siemens facilita que infraestructuras críticas, como las de agua, operen de manera segura y eficiente en un entorno digital cada vez más interconectado.
Por su parte, María del Prado Torrecilla, de Lacroix, destacó la importancia de la ciberseguridad en las infraestructuras hídricas bajo la nueva normativa europea, enfocándose en la directiva NIS2 y el Cyber Resilience Act (CRA).
En concreto, la directiva NIS2, cuya transposición se espera en octubre, exige políticas de análisis de riesgos, gestión de incidentes, continuidad de la actividad y seguridad en la cadena de suministro, todo para proteger los sistemas de información y las redes del sector hídrico contra ciberataques.
Además se el Cyber Resilience Act obligará a que todos los productos producidos en la UE cuiden la ciberseguridad desde el diseño.
Todo ello exigirá más concienciación por parte de las empresas y que pongan los medios necesarios porque, de lo contrario, se enfrentan a multas muy cuantiosas.
Torrecilla destacó el trabajo de Lacroix en integrar soluciones de ciberseguridad desde el diseño de sus productos. Esto permite a las operadoras de agua proteger sus sistemas críticos contra ataques cibernéticos. Así, consideró que con estas normativas y la innovación de empresas como Lacroix, el sector del agua en Europa avanza hacia una mayor resiliencia contra las ciberamenazas.
Jairo Alonso Ortiz, Manager de Ciberseguridad OT en SIA, habló de las diferencias entre la Tecnología Operativa (OT) y los sistemas de Tecnología de la Información (IT) a la hora de desarrollar estrategias para garantizar la seguridad en las infraestructuras hídricas.
Con el uso de ambas tecnologías se ha incrementado el riesgo de ciberataques. Así, apuntó que más del 90% de las empresas industriales han sufrido ciberataques en los últimos años, afectando la continuidad operativa.
Para evitarlo, planteó soluciones como evaluaciones OT para inventariar activos, gestionar vulnerabilidades y segmentar redes, destacando la importancia de conocer y proteger los activos. Además, señaló que para proteger a las empresas hay que ser realistas con su nivel de ciberseguridad e ir avanzando paso a paso.
Para concluir, insistió en la necesidad de cumplir con las normativas y promover una cultura de seguridad en las organizaciones, capacitando a administradores y operadores para proteger infraestructuras críticas contra los ciberataques.
La intervención final corrió a cargo de Jesús Feliz, de INCIBE, quien destacó la importancia de proteger las infraestructuras del agua que debido al avance de la digitalización cada vez están más expuestas a los ciberataques.
En esta línea, hizo hincapié en la colaboración público privada a través de INCIBE-CERT, para la detección, prevención y mitigación de incidentes cibernéticos que podrían comprometer servicios esenciales.
Asimismo, ofreció algunos datos, que ponen de relieve la seriedad de estas amenazas, como su incremento en un 24%, con 183.077 sistemas vulnerables.
En lo que se refiere a los sectores esenciales o críticos más afectados por ataques, la peor parte la sufre el sistema financiero, con un 25,42% de los ataques, seguido por el transporte con un 25% o la energía, con un 22%. El agua está por debajo del 5%.
Estos ataques incluyen fraudes, malware, intrusiones y robo de información. INCIBE coordina la gestión de vulnerabilidades y ofrece servicios de alerta temprana para que las organizaciones puedan anticiparse y reaccionar rápidamente ante posibles amenazas.
Jesús Feliz concluyó que normativas europeas como la Directiva NIS 2 y el Cyber Resilience Act buscan aumentar la protección. Obligan a las organizaciones a adoptar medidas estrictas para garantizar la ciberseguridad con el objetivo de alcanzar un entorno digital más seguro y resiliente para proteger las infraestructuras esenciales.
Autora Ana Carlos (Comunicación ACA)
