ENISA ha publicado un informe que servirá como guía de buenas prácticas para coordinar las capacidades de testing de los Sistemas de Control Industrial.
Los ICS están diseñados para soportar procesos industriales en compañías de gas y electricidad, tratamiento de aguas, refinerías y transportes, entre otros sistemas, considerados a menudo como Infraestructuras Críticas. En los últimos años, estos sistemas han pasado de estar aislados como tecnologías operativas (OT) a estar presentes en un marco de arquitectura abierta, interconectados con los sistemas TIC. Este cambio de paradigma ha supuesto que los ICS estén expuestos a las vulnerabilidades que afectan a las redes de comunicaciones y a los equipos informáticos.
Ante este escenario, ENISA propone en este documento, desarrollado junto a destacados técnicos de S21sec, la creación de un modelo de seguridad adaptado a los ICS y que sea respaldado por los actores involucrados en cada uno de los Estados miembros de la UE, y en coordinación con otros planes de acción, como el Programa Europeo para la Protección de las Infraestructuras Críticas (EPCIP). Este estudio se propone servir de modelo organizativo con estrategias y metas comunes, redundando así en unos Sistemas de Control Industrial más seguros, sujetos a unas capacidades de testing de seguridad coordinadas y fiables.
Este informe, para cuya elaboración se ha realizado una exahustiva investigación de campo, una encuesta online a decenas de expertos internacionales y entrevistas en profundidad con 27 expertos de la Unión Europea, de Estados Unidos, Japón, India y Brasil, propone una serie de cuestiones clave y siete recomendaciones para los sectores público y privado.
La cuestión, ahora, según los expertos consultados por ENISA, no es si es conveniente aunar esfuerzos en torno al Testing de Seguridad ICS en Europa, sino hallar la mejor forma de conseguirlo. La necesidad de incrementar la seguridad en las infraestructuras críticas y sus sistemas de control es evidente y definir objetivos, la misión más urgente. El principal activo para coordinar estas iniciativas sería contar con la confianza de todas las partes implicadas, manteniendo su independencia de intereses particulares.