El auge de la digitalización abarca ya a todos los sectores empresariales y el ferrocarril no iba a ser menos. Son muchos los beneficios que trae consigo esta modernización, aunque no hay que perder de vista los nuevos desafíos en términos de seguridad y de nueva regulación a los que se tienen que enfrentar las compañías.
Los sistemas de control de tráfico ferroviario, considerados infraestructuras críticas, deben estar protegidos frente a todo tipo de amenazas cibernéticas. El ferrocarril, a pesar de ser uno de los medios de transporte más seguros "debe estar protegido y tenemos que tener la capacidad de gestionar y responder ante amenazas y ataques, para ser capaces siempre de volver al estado seguro y además poder reproducir lo ocurrido para aprender" explicó el Director de Customer Services de Siemens Mobility España, Fernando Espliego, durante el observatorio de La ciberseguridad en el ferrocarril organizado por elEconomista.es de la mano de Siemens Mobility. Además, también destacó que, desde Siemens Mobility, "antes de que fuera norma, nosotros ya nos pusimos manos a la obra. Podemos decir que llevamos casi una década hablando de ciberseguridad. Hay que ganar transparencia".
Este evento contó también con la participación de la Directora General de Seguridad, Procesos y Sistemas Corporativos de Adif, Esther Mateo; el CISO/DPO de Renfe y LogiRAIL, Francisco Lázaro; la Subdirectora de Coordinación Ejecutiva de Transformación Digital e IA de Ineco, Luisa Calvo y el Técnico de Ciberseguridad para Transporte y Espacio de INCIBE, Alejandro Prieto.
Nueva regulación
Desde el sector del ferrocarril también destacaron la importancia de irse ajustando y actualizando los productos de cara a las nuevas normativas que llegan desde la Unión Europea. "Hay unas reglas que hay que cumplir y nos van a ayudar a tener un lenguaje común entre los proveedores, la Administración Pública, los ciudadanos y las empresas", comentó Prieto. Aunque uno de los retos que tienen las empresas del ferrocarril en este sentido es que "hay diferentes formas de entender la normativa y eso dificulta toda la situación", matizó durante el acto Lázaro. Y agregó que "se trabaja por consenso aunque, a veces, no todos vamos a las mismas velocidades".
Otro de los aspectos que se debatió es la importancia de la formación. "No podemos proteger lo que no conocemos. Es necesario ser conscientes de lo que tenemos entre manos", puntualizó Espliego. Las empresas ya están implementando cursos y programas para formar a sus trabajadores en materia de ciberseguridad. "Todo el personal que llega a la compañía pasa por unas jornadas de bienvenida, donde se explica cómo es la empresa y se da una formación sobre ciberseguridad. Además, existen cursos de formación sobre esta materia y sobre protección de los datos con varias horas lectivas. A nivel más práctico, también tenemos talleres que buscan la concienciación de los trabajadores", aseveró el responsable de seguridad de la información de Renfe.
Formación continua
En palabras de la Subdirectora de Coordinación Ejecutiva de Transformación Digital e IA de Ineco, Luisa Calvo, "es imposible ir por delante de la ciberseguridad, por eso es importante crear campañas de comunicación y de formación dentro de las empresas y que sean obligatorias para los trabajadores que se incorporan". En general, las plantillas deben estar preparadas ante cualquier posible situación de riesgo y saber cómo actuar en caso de un ciberataque. "Hay que enseñar a sospechar, para que los trabajadores estén alerta ante comportamientos que no son normales y así puedan avisar a los profesionales de ciberseguridad. Nos tomamos muy en serio la educación en las nuevas tecnologías. De hecho, el año pasado formamos a más de 117.000 personas", reflexionó el responsable de Ciberseguridad para Transporte y Espacio de INCIBE.
Pero la formación no debe reducirse solo a la plantilla, sino que debe venir acompañada por un cambio en la mentalidad de la sociedad. "La sociedad también tiene que hacer un ejercicio de entender que, puede que llegue el día, que una parte del software represente un riesgo y que hay que paralizar el tren y hasta que no se actualice no es seguro continuar la marcha", resaltó Lázaro.
Fernando Espliego, Director Customer Services de Siemens Mobility España: "Lo primero que debemos hacer es un análisis de riesgos para saber en qué punto estamos"
Los activos que componen las instalaciones de seguridad ferroviaria son, en su mayoría, sistemas diseñados mucho antes de la existencia de las normativas vigentes de ciberseguridad, por tanto, lo primero es analizar el nivel de riesgo de estos. Los nuevos proyectos licitados con directivas de ciberseguridad ya implementan las protecciones adecuadas hasta el punto de poder actualizarse automáticamente, pero existe una gran base instalada que hace necesario ese análisis de riesgos para poder plantear actualizaciones y que estas puedan llegar a ser desplegadas automáticamente, explicó el Director de Customer Services de Siemens Mobility España, Fernando Espliego, quien añadió, que "el gran reto para el cumplimiento de las nuevas directivas de seguridad está en el mantenimiento durante la operación, ya que habrá que conjugar está con las actualizaciones, y que al tratarse de sistemas de seguridad habrá que tener establecidos procedimientos de validación y certificación mucho más flexibles e igual de robustos que los actuales".
"La ciberseguridad ya está tan integrada en el día a día de la empresa como la prevención laboral" aseveró Espliego. En este contexto, Siemens Mobility ha desarrollado una familia de productos denominada CoreShield, que cuenta con productos de protección, monitorización, auditoría y despliegue automático de versiones". La ciberseguridad además debe estar implementada en toda la cadena de suministro, ya que "por muy ciberseguro que sea todo lo que hagamos en las instalaciones de nuestros clientes y dentro de Siemens, si por un ciberataque un proveedor quedara incapacitado, podríamos sufrir un desabastecimiento y paralizarse un proyecto", alegó Espliego.
Esther Mateo Directora General de Seguridad, Procesos y Sistemas Corporativos de Adif: "Hay que perder el miedo a la observabilidad porque no ver no es una opción"
El sector del ferrocarril tiene muchos retos por delante y, para ello, es importante que se pierda "el miedo a la observabilidad, porque no ver no es una opción", resaltó Esther Mateo, Directora General de Seguridad, Procesos y Sistemas Corporativos de Adif. La ejecutiva agregó que "la ciberseguridad es un problema que nos atañe y nos une a todos, como ha sido la pandemia. Por ello es importante mejorar en términos de confidencialidad, y que cuando haya un ciberataque se comunique cuanto antes. Tenemos que remar todos en la misma dirección". Ante esto, la responsable última de los datos del Administrador de Infraestructuras Ferroviarias destacó el rol que juegan los departamentos de comunicación a la hora de tranquilizar al resto de empresas cuando hay ciberataques.
Los trenes están considerados el medio de transporte más seguro; sin embargo, "esto no significa que no haya riesgos; pero tenemos que convivir con ellos", comentó Mateo. La directiva consideró que los trenes son una infraestructura crítica para la nación y cuando se produce un ciberataque a uno, el objetivo real es dañar la imagen del país. "Se busca un ataque geopolítico", puntualizó Mateo. En lo que respecta a formación, la responsable de los procesos internos aseveró que "la gente joven requiere otra forma de formación por su forma de aprender. Por eso, hay que adaptar los perfiles y cómo les enseñamos. Por ejemplo, a los más mayores tratamos de concienciarles y hacerles ver que no solo hay riesgo si tienen redes sociales, sino que pueden ser atacados por todas partes. En nuestro caso, les demostramos cómo pueden proteger también a su familia".
Francisco Lázaro CISO/DPO de Renfe y LogiRAIL: El año pasado, se incrementaron en un 173% los ataques cibernéticos a la cadena de suministros"
"Todas las grandes empresas tienen un volumen similar de ciberataques, pero aquí es donde entra en juego la capacidad de cada uno de hacerles frente", comentó el CISO/DPO de Renfe y LogiRAIL, Francisco Lázaro. Y agregó que "hay que estar en guardia no solo porque sea una cuestión profesional, sino también porque es un asunto personal. En nuestro caso, tenemos los mejores productos y los mejores profesionales para hacer frente a estas situaciones e incluso la alta dirección también está implicada en todos estos procesos". Lázaro aprovechó la ocasión para recordar que "el año pasado, se incrementaron en un 173% los ataques cibernéticos a la cadena de suministros". Ante esto, el responsable de seguridad de la operadora ferroviaria resaltó el potencial del sbom, entendida como una guía sobre la trazabilidad de los componentes del software. Y agregó que en Renfe revisan "5.000 licitaciones al año para ver dónde hay que implementar la ciberseguridad".
Luisa Calvo Subdirectora de Coordinación Ejecutiva de Transformación Digital e IA de Ineco : "Estamos en un ciclo constante: nacer, observar, aplicar, revisar y vuelta a empezar"
La ciberseguridad y el auge de las nuevas tecnologías suponen una actualización constante. Así lo denotó la Subdirectora de Coordinación Ejecutiva de Transformación Digital e IA de Ineco, Luisa Calvo:"el proceso es un ciclo constante donde nace, se observa, se ve qué se puede aplicar, se revisa si hay nuevos frentes y vuelta a empezar", explicó respecto a la protección en las organizaciones. Entre las iniciativas que ha ido tomando la ingeniería pública, Calvo destacó la creación de "un comité de seguridad con perspectiva interna, para mirarnos a nosotros mismos, y luego con otra externa, para poder implementar en todos los proyectos que colaboramos.Con esto, se logra que el conocimiento se retroalimente y se expanda".En palabras de la ejecutiva de Ineco, "hay que proteger todas las capas y estar preparados. Y, en caso de que todo falle, es necesario realizar un examen post mortem, porque gracias a los errores se aprende y logramos información para situaciones futuras", explicó, poniendo en valor la fase de análisis.
Alejandro Prieto Técnico de Ciberseguridad para Transporte y Espacio de INCIBE : "Se han creado grupos colaborativos de trabajo para compartir información como dicta la UE"
Hasta el Insitituto Nacional de Ciberseguridad (INCIBE) se tiene que blindar frente a los ataques cibernéticos. "Hemos creado grupos de trabajo colaborativos como dictan desde la Unión Europea. En estos grupos se comparte información sobre temas de seguridad, siempre desde un punto de vista confidencial", comentó Alejandro Prieto, Técnico de Ciberseguridad para Transporte y Espacio de INCIBE. En relación con la llegada de la nueva normativa europea, Prieto destacó que "los datos hay que protegerlos y por eso estas regulaciones son tan potentes". Y añadió que "muchas veces las grandes empresas no saben qué datos se están guardando y cuáles no, y no conocen la repercusión que puede tener el que se los roben". Ahora bien, lo que más preocupa al INCIBE, es la cadena de suministros, que "debe ir adaptándose poco a poco", dijo Prieto.
En general, hay que elevar el nivel de ciberseguridad de las empresas, señalando en particular a las pymes. "Llevamos a cabo una labor pedagógica con las empresas de nuestro país. Al final, somos un sector estratégico que nos permite acercarnos al tejido empresarial y enseñarles nuevos métodos de tecnología que vienen desde Europa", puntualizó Prieto. Uno de los grandes retos que están por delante es "enseñar a sospechar tanto a los trabajadores, para ver qué es normal y qué no. Así si a cualquiera le suena raro, puede avisar a los profesionales de seguridad", aseveró el ingeniero informático, que agregó que "un fabricante que detecta una vulnerabilidad, es una de las cosas más necesarias".
Además, Prieto señaló que la colaboración entre los actores de la cadena cada vez es más participativa, algo que favorece a todo el sector, e invitó a todas las empresas a sumarse a estos espacios de colaboración.
