Más de una vez hemos oído hablar de la ciberseguridad como un elemento habilitador de la industria, un soporte que aporta valor en la continuidad del negocio. Este pensamiento cada vez se adentra más en nuestra industria, que hasta ahora siempre la ha visto como un gasto obligado más que una inversión para garantizar su misión empresarial.

Sin embargo, esto es difícilmente calculable para cada industria en particular a no ser que se formulen e integren diferentes sistemas de gestión que hasta ahora han caminado por caminos dispares:

  1. El sistema de producción ha sido gestionado mayormente por sistemas MES [Manufacturing Excecution Systems (1)] que definen la eficiencia de producción a través del indicador OEE [Overall Equipment Effectiveness (2)]. Este indicador se subdivide en otros tres: Disponibilidad, que midel la falta de disponibilidad de una máquina, línea o planta; Rendimiento, que mide si una máquina termina su trabajo en tiempo y Calidad que mide si una máquina termina el procesado de piezas en forma.
  2. El sistema de ciberseguridad que se cimenta en la gran mayoría de empresas industriales en los siguientes aspectos fundamentales:
  • Tecnología: La seguridad perimetral con zonas de forzamiento de seguridad (cortafuegos) y seguridad en los puestos (antivirus)
  • Procesos: Inclusión incremental y reactiva de alguna(s) política(s) de ciberseguridad (Contraseñas, actualizaciones, gestión de proveedores, etc.)
  • Personas: Incluyendo y/o transformando personal para la protección de los sistemas y procesos industriales.

Los sistemas de gestión de producción actuales (los sistemas MES), calculan los fallos de producción (o pérdidas de tiempo de producción, dicho de otra forma) que usualmente afectan a máquinas, líneas o plantas enteras. Estos fallos han tenido históricamente un origen operativo o de mantenimiento productivo e incluso de safety funcional: Son pérdidas de tiempo que tienen que ver con paradas y fallos de máquina (eléctricos, mecánicos, de instrumentación), fallos por restricción (dependientes de otros procesos arriba o abajo en la cadena de producción o bien por aspectos logísticos o mantenimiento), esperas (limpieza, cambio de producto, etc.) o fallos no programados más orientados al negocio (baja demanda, huelgas, …)

Bajo este supuesto de fallos, el sistema de producción puede y sabe mejorar los tiempos, y por tanto conoce dónde hay que invertir para ser más eficiente y eventualmente tener un Retorno sobre la Inversión (ROI) sobre aquellos nuevos mecanismos que mejoran los tiempos en las máquinas, líneas y plantas.

¿Qué pasa, entonces, con esos fallos cuyo origen es un ataque cibernético? ¿O cuyo origen es una negligencia en el ámbito lógico de la industria?

Estos sistemas no recogen tal situación y por ello es difícil estimar, por ejemplo, si un fallo de una línea de mecanizado es debido a que el proveedor ha introducido un malware a través de su USB y la máquina se ha visto ralentizada en el procesamiento de la configuración de sus ejes. Este mismo ejemplo, supondría definir cómo este fallo afecta el rendimiento (Performance) del OEE porque la máquina procesa por pieza más tiempo de lo debido (low speed failure).

En RKL hemos realizado un modelo para definir como los ciberincidentes más comunes en la industria tienen un impacto directo sobre los tres parámetros principales del OEE: Disponibilidad, Rendimiento y Calidad (APQ en inglés: Availability, Performance and Quality).

La siguiente tabla refleja el modelo abstracto de tal trabajo. Dicho modelo recoge las incidencias del documento NISTIR sobre ciberincidentes en la industria manufacturera.

tabla nistir rkl integral

Estos incidentes tienen su impacto en la componente de ciberseguridad (Confidencialidad, Integridad y Disponibilidad; CIA en inglés) pero también a su vez en la componente de producción en su distribución APQ.

Este modelo en detalle permite definir cuánto tiempo se ha perdido en una máquina, línea o planta debido a un ataque o negligencia de origen lógico. Por ello, también permite conocer las pertinentes mejoras y en consecuencia definir las inversiones específicas a realizar para poder mejorar la producción.

Eventualmente permite encontrar el RoSI (Return on Security Investment) que no es más que la rentabilidad sobre la inversión en ciberseguridad para mejorar aquel riesgo efectivo que hace aminorar o decrecer la producción.

Entre los servicios de RKL Integral se encuentra la definición de estos parámetros para poder monetizar la seguridad y dirigir la ciberseguridad conjuntamente hacia los objetivos estratégicos de la empresa y por consiguiente, sí que se podrá afirmar al director de la factoría estudiada – de una forma cuantitativa y rigurosa – que la ciberseguridad es un habilitador de la industria, ya que este modelo ayuda a aminorar los tiempos de fallos provocados por ataques impactando en la producción: buscando así, la continuidad del negocio.

Iñaki Eguia.

CTIO
Experto Ciberseguridad ICS / OT

[1] https://es.wikipedia.org/wiki/Manufacturing_Execution_System

[2] https://www.ingenieriaindustrialonline.com/herramientas-para-el-ingeniero-industrial/mantenimiento/eficiencia-general-de-los-equipos-oee/ 

[3] Securing Manufacturing Industrial Control Systems: Behavioral Anomaly Detection https://www.nccoe.nist.gov/sites/default/files/library/mf-ics-nistir-8219.pdf