Sobre la Seguridad Informática y las Empresas proveedoras del servicio de Agua Potable

Para todos es evidente que el servicio de agua potable es esencial y lo requerimos todos los días, por tanto, es un servicio sensible e imprescindible. Pero, en algún momento hemos reflexionado sobre qué pasaría si la infraestructura que soporta la producción y distribución del “líquido vital” deja de trabajar motivado por ataques (ciberataques) o hackers informáticos?.

En entorno general de muchas empresas e industrias de servicios críticos como es el sector del agua está experimentando progresivamente la digitalización y automatización de sus procesos industriales tendientes a reducir los costos de operación así como mejorar la eficiencia.  He mencionado la palabra “progresivamente” puesto que a nivel general, las empresas de éste tipo de servicio tendrán su propia realidad cada una y posiblemente muchas estarán todavía con procesos manuales y analógicos en sus instalaciones, otras, estarán ya con alguna infraestructura digital con sistemas SCADA, y otras, tendrán ya sistemas totalmente digitalizados con comunicaciones en la nube, con soluciones sobre el Internet de las cosas (IoT) y por tanto estarán ya dentro del camino de su Transformación Digital.

Entonces, podemos decir que el desafío al que se enfrenta ahora el sector del agua potable es cómo garantizar que la inversión en tecnologías avanzadas soporten la inversión en la seguridad en general y la seguridad informática (ciberseguridad) en particular.

Durante los días más duros de la pandemia del COVID-19 (2020 – 2021) quedó en evidencia que el invertir en tecnologías de acceso y control remoto permitieron que la producción y distribución de agua no se suspenda. Pero, esta implementación que se desarrolló de manera urgente, no precisamente dejó espacio para una planificación, ejecución y validación de los aspectos de seguridad informática en esos sistemas implementados. Es claro que la adopción de tecnologías automatizadas dependen cada vez más de la conectividad en el Internet, por lo tanto, esto ha ampliado el campo de acción de amenazas informáticas (ciberataques), las cuales de presentarse podrían causar una interrupción generalizada y cuyo impacto será significativo para la población, la región y el país respectivo (daño ambiental y la economía). De hecho a nivel mundial, ya se  han presentado estos ciberataques, pero, no siempre han sido publicados o difundidos masivamente, puesto que sus repercusiones ante la población habrían sido escandalosas y no es menos cierto una gravísima caída de la imagen institucional de la empresa involucrada.

Como se ha mencionado, los dispositivos que están trabajando con IoT, sensores y equipos de automatización, control y monitoreo remoto, acceso y adquisición de datos son más susceptibles a ser atacados porque a menudo no fueron diseñados para considerar temas de seguridad.

Por lo tanto, es esencial que las empresas que prestan servicios de agua potable tengan en cuenta los riesgos de seguridad informática y tomen medidas para proteger sus sistemas e infraestructuras que disponen ya de comunicaciones en las redes de operación y las que estan accesibles desde el Internet, es decir, las empresas de servicios públicos deben proteger sus redes para garantizar la resistencia y el rendimiento de la infraestructura crítica. Las empresas de servicios de agua deben abordar de manera proactiva los riesgos de seguridad informática con un enfoque basado en el riesgo y que va más allá de simplemente tratar de cumplir una norma general o institucional.

Ante este escenario se podrían considerar algunas medidas generales para mejorar la seguridad y que  a continuación se mencionan:

1. Implementación de medidas de autenticación y autorización: Para garantizar que sólo las personas autorizadas puedan acceder a los sistemas y dispositivos críticos. Esto se puede hacer mediante la implementación de contraseñas fuertes, autenticación de dos factores o biometría.

2. Segmentación de redes: Para separar los sistemas críticos, como los sistemas SCADA, de los sistemas no críticos, como los dispositivos IoT que se utilizan para monitorear y controlar la iluminación, la temperatura y otros aspectos no críticos de las instalaciones. Esto ayudará a minimizar el impacto de los posibles ataques.

3. Implementación de firewalls: Es una medida importante para proteger la infraestructura de la red de posibles ataques y se los puede configurar para bloquear todo el tráfico entrante y saliente, excepto aquel que sea necesario para el funcionamiento de los sistemas y dispositivos autorizados.

4. Monitoreo constante de los sistemas y dispositivos: Para detectar y prevenir intrusiones. Esto se puede hacer mediante la implementación de herramientas de monitoreo de seguridad y el análisis de los registros de seguridad.

5. Estrategia de análisis: Los equipos de seguridad informática necesitan una estrategia proactiva para detectar y responder rápidamente a las amenazas en la organización, así entonces, ésta estrategia debería aprovechar una estructura de inteligencia de datos (BI) adecuada y proporcionar a los equipos de seguridad la confianza para crear una imagen precisa y completa de sus operaciones de seguridad informática para tomar mejores decisiones. La recopilación de datos en telemetría para registrar los datos de dispositivos y los procesos a lo largo del tiempo y luego correlacionar los cambios en esos procesos físicos con un evento de seguridad es fundamental para detectar un ataque. Como ejemplos de un evento de seguridad en la red de ámbito industrial podría ser el reconocimiento, cambios en el comportamiento de la red, cambios en el comportamiento del operador o del usuario de ingeniería, malware detectado o fallido, ataques basados en web dirigidos a interfaces hombre-máquina (HMI), etc.

6. Educación y capacitación de los empleados: Los empleados de la organización deben ser educados sobre las mejores prácticas de seguridad y capacitados regularmente para reconocer y responder a las amenazas de seguridad. Esto puede incluir la educación sobre el phishing, la ingeniería social y otras tácticas utilizadas por los ciberdelincuentes para atacar las instalaciones de producción y generación de agua potable.

Al implementar estas medidas generales de seguridad (podrían ser detalladas por los especialistas en seguridad de informática), las empresas que prestan servicios de agua potable podrían minimizar el riesgo de un ataque informático y proteger sus sistemas, infraestructuras y dispositivos IoT críticos, es decir, sus redes para garantizar la resistencia y el rendimiento de la infraestructura crítica.

Por otro lado, es una realidad que el equipo de seguridad informática, tiene recursos de ciberseguridad limitados, lo que dificulta aún más la tarea de proteger las infraestructuras. Esto se contrasta, como se indicó anteriormente, con el diferente grado o nivel de automatización que sobre éstas infraestructuras mantienen las empresas de agua, es decir, unas tendrán instalaciones mecánicas y manuales, otras tendrán un término intermedio, es decir, entre manual y mecánico junto con ciertas instalaciones con SCADA e IoT y, otras estarán ya muy digitalizadas y con  el IoT ya avanzados. Esta diversidad en la realidad de las empresas de agua potable es común en la mayoría de los países, y se debe a factores como la edad de las instalaciones, la disponibilidad de recursos y la inversión en tecnología.

En resumen, al considerar la seguridad en las infraestructuras de las empresas de agua potable y el grado de desarrollo de las mismas de acuerdo a la realidad de cada región, se pueden generar las siguientes conclusiones:

1. Las empresas de agua potable que cuentan con infraestructuras más digitalizadas y conectadas a internet, como los sistemas SCADA e IoT, están expuestas a mayores riesgos de seguridad informática, ya que son más vulnerables a ataques informáticos y ciberataques.

2. Es fundamental que todas las empresas de agua potable, independientemente de su grado de desarrollo tecnológico, adopten medidas de seguridad adecuadas para proteger sus instalaciones y sistemas internos. Esto incluye la implementación de controles de acceso físicos, cámaras de seguridad, capacitación del personal y otras medidas de seguridad pertinentes.

3. Si las empresas de agua potable con infraestructuras mecánicas o manuales que no están conectadas a internet o a una red de comunicaciones, es cierto que no estaría tan expuestas a los mismos riesgos de seguridad que las empresas con infraestructuras más digitalizadas. Sin embargo, aún así es importante que estas empresas adopten medidas de seguridad adecuadas para proteger sus instalaciones físicas y sus sistemas internos.

4. A medida que las empresas de agua potable continúen modernizando y digitalizando sus infraestructuras, es esencial que también mejoren su capacidad para detectar, prevenir y responder a los riesgos de seguridad informática. Esto implica la inversión en herramientas y tecnologías de seguridad informática, la formación y capacitación permanente del personal y la implementación de procesos y políticas de seguridad efectivas.

5. Es importante que las empresas de agua potable en todo el mundo reconozcan la necesidad de mejorar la seguridad de sus infraestructuras y sistemas internos, y trabajen en colaboración con los reguladores y otras partes interesadas para mejorar las prácticas y reducir los riesgos de seguridad informática.

En conclusión, la seguridad en las infraestructuras de las empresas de agua potable es un tema crítico que debe ser abordado con seriedad y atención. Independientemente del grado de desarrollo tecnológico de la infraestructura de una empresa, es fundamental que se tomen medidas adecuadas para proteger sus sistemas internos y mitigar los riesgos de seguridad informática, en base a proyectos que consideren el alcance, objetivos, plazos y montos que estén acorde a cada una de sus respectivas realidades.

Cristóbal Morocho M.

PMP-DASM

(Imágenes tomadas desde Pixabay.com)