Global Omnium llama a potenciar la ciberseguridad: «Pueden dejar a Valencia sin agua potable»
Tanto la gestora del agua como el Puerto de Valencia reconocen que la DANA tumbó todas las redes de comunicaciones: "Se cayó todo"
Mesa redonda ‘De la alerta a la recuperación: claves para anticipar, actuar y mitigar daños’, en el marco de la jornada ‘Estrategias de Ciberresiliencia: Fortaleciendo la empresa en la era digital’, organizada por la Asociación para el Progreso de la Dirección (APD Zona Comunidad Valenciana).
Comentarios
Arantxa Gamón, responsable de Ciberseguridad OT en Global Omnium, ha advertido sobre los peligros de los ciberataques en una compañía como la suya, que gestiona un servicio tan esencial como el suministro de agua. En este sentido, ha alertado sobre el peligro de los ciberataques: «Si dejo la puerta abierta a que nos alteren el cloro del agua, van a entrar», a lo que ha añadido que estas ofensivas, de no estar bien protegidos, podrían llegar a dejar a una ciudad como Valencia sin agua potable «de la misma manera que si la tubería que entra a la ciudad tiene un reventón» y «no hay autopista para transportar el agua».
Así lo ha manifestado Arantxa Gamón durante la mesa redonda ‘De la alerta a la recuperación: claves para anticipar, actuar y mitigar daños’, en el marco de la jornada ‘Estrategias de Ciberresiliencia: Fortaleciendo la empresa en la era digital’, organizada por la Asociación para el Progreso de la Dirección (APD Zona Comunidad Valenciana).
La charla, moderada por David López, cybersecurity product specialist en Ricoh, y en la que también han participado Rafael Company, director de Seguridad y Protección en la Fundación Valenciaport, del Puerto de Valencia, y Jesús Martín, director de IT en Power Electronics.
Tanto esta mesa redonda como el conjunto de la jornada organizada por APD ha tratado la NIS2, una normativa de ciberseguridad de la Unión Europea que busca fortalecer la seguridad de las redes y los sistemas de información en toda la UE, sustituyendo a la directiva NIS anterior y ampliando su alcance a más sectores.
Sus objetivos principales son aumentar la resiliencia frente a ciberataques, armonizar las medidas de seguridad en todos los Estados miembros y establecer requisitos más estrictos de gestión de riesgos y notificación de incidentes.
En el marco de esta charla, Arantxa Gamón, responsable de Ciberseguridad OT en Global Omnium, ha recordado que esta compañía trabaja con «infraestructura crítica», como es el suministro de agua.
«La NIS2 va más allá, va a que el riesgo está en todos los procesos de la empresa. El primer reto ha sido concienciar y se ha implicado desde el director general hasta los directores de cada área. El mayor reto es que cambiemos culturalmente. La ciberseguridad es como la prevención de riesgos laborales», ha comentado.
Además, ha alertado: «Si dejo la puerta abierta a que nos alteren el cloro del agua, van a entrar. (…) Para nosotros el riesgo es que el agua no sea potable. Si el sistema de OT cae es igual que si las tuberías de entrada a Valencia tienen un reventón. (…) Hay que hacer una gestión de riesgos completo de toda la empresa».
«Los sistemas IT OT como comentabas son críticos y al final hay que llevarlo a cabo de una forma global y una forma mucho más integrada. Por ejemplo, el mundo OT no tiene sentido protegerlo si no es protegido por la seguridad física. Si yo corro el riesgo de que en un depósito me manipulen la operación y me tiren exceso de cloro o lo que sea, realmente si dejo la puerta abierta van a entrar, no falta hacer ningún hackeo, entonces está todo ligado», ha desarrollado.
¿Riesgo sobre el agua potable?
A la pregunta por parte del moderador de si un riesgo puede ser que un ataque logre que el agua no sea potable, Gamón ha respondido: «Claro. Nosotros estamos certificados en la ISO 31000, que es gestión de riesgos, pero gestión de riesgos de la operación, entonces por ejemplo el ámbito OT sí está incluido dentro de esa parte de gestión de riesgos porque si el sistema de telecontrol cae impide la operación del sistema, pero de la misma manera que si la tubería que ha entrado a Valencia tiene un reventón y entonces tengo una fuga y no tengo agua y no tengo mi autopista para transportar el agua«.
Así, ha asegurado que están trabajando en «la mejora de la resiliencia en el ámbito del agua en la ciudad de Valencia». Y, al igual que sus compañeros de mesa, ha coincidido en señalar la riada del 29 de octubre como un punto de inflexión: «Después de la DANA, estamos desplegando redes de comunicaciones propias porque se cayó todo. En el río ya hemos instalado una línea de fibra óptica. Y hemos instalado sistemas de voz tipo walkie a raíz del apagón», ha relatado.
El Puerto de Valencia, otra infraestructura crítica
Por su parte, Rafael Company, de la Fundación Valenciaport, ha explicado que en la cadena de transporte la prioridad es «que nadie se quede atrás». «Muchas de las empresas que están en el puerto sí tienen sistemas integrados de ciberseguridad y muchas otras están empezando a concienciarse. Es cierto que no todos hoy están al mismo nivel«, ha apuntado.
«El puerto, como infraestructura crítica, ha tenido que reforzar todos los controles de ciberseguridad. Se han cambiado los controles, hacemos informes periódicos, auditorías, se evalúan posibles riesgos y cómo mitigarlos… Estamos zonificando el puerto para aislar cada zona y que no pongan en riesgo toda la red y hemos implantado sistemas de acceso táctil y de reconocimiento facial», ha desarrollado.
Además, ha explicado: «Estamos analizando todas las cámaras del puerto para ver cómo están cumpliendo con la ciberseguridad. Queremos identificar si todo el hardware del puerto está a la altura». Además, ha reconocido también que, con la DANA, el Puerto de Valencia sufrió problemas con la red de comunicaciones.
