Gran parte de la atención del público en materia de seguridad cibernética se ha centrado en lo que se considera una infraestructura crítica — petróleo y gas, suministro de agua, generación de energía, etc. Un ataque cibernético a una empresa de alimentos y bebidas puede que no genere el tipo de desastre explosivo que podría crearse en una instalación energética, pero existen todavía muchas razones para tomar en serio esas amenazas.
"Los alimentos y las bebidas no reciben suficiente atención" cuando se trata de la seguridad cibernética, comentó Dave Weinstein, jefe de seguridad del proveedor de seguridad cibernética Claroty, en una entrevista reciente. “La gente mala puede hacer mucho daño si le apunta a ese sector”.
Un punto de quiebre para los productores de alimentos y bebidas se produjo hace unos dos años y medio cuando el ataque de secuestro de datos NotPetya incluyó entre los afectados al fabricante mundial de alimentos Mondelēz International. No porque Mondelēz fuera un objetivo. Este ataque -como otro muy similar, el WannaCry que lo antecedió— no discriminó por industria. La intención era simplemente causar estragos, dondequiera que aterrizara. Otras compañías de alimentos "se dieron cuenta de que no tenían que ser un objetivo. Podrían ser solo daños colaterales", dijo Weinstein. "Las cosas no necesariamente estallan, pero se pierde la perspectiva y es necesario cerrar las plantas".
Kellogg, por ejemplo, entendió el mensaje. Contar con máquinas y dispositivos más conectados, análisis avanzados, acceso remoto, intercambio de datos inalámbricos y control descentralizado de la planta es tener un conjunto de desarrollos tecnológicos que pueden proporcionar al fabricante multinacional de alimentos operaciones más eficientes, más productivas y más ágiles. Pero estas tecnologías también aumentan el riesgo de ciberataques, ampliando el campo de exposición
2017 fue un momento crucial, reconoció Jim Tassell, arquitecto principal de seguridad informática de Kellogg. Al referirse a los ataques de secuestro de datos y de virus —de los cuales Mondelēz estimó que las pérdidas alcanzarían los 150 millones de dólares; y frente a los cuales otras empresas como Merck, FedEx y Maersk también experimentaron importantes trastornos y pérdidas— Tassell reconoció que estas empresas no fueron un objetivo específico, pero que, no obstante, se enfrentaron a importantes daños. Kellogg no quería estar en uno de esos titulares, dijo, por lo que necesitaba averiguar cuál debería ser su próximo paso.
En el Foro de Alimentos y Bebidas de la Feria de Automatización de 2019, Tassell describió el camino de Kellogg para gestionar sus riesgos de seguridad cibernética. La evaluación de la vulnerabilidad de la empresa fue particularmente difícil dado que tiene alrededor de 50 plantas de fabricación en todo el mundo, incluyendo las adquisiciones de los últimos años, que complican la gama de sistemas de fabricación con los que trabaja el fabricante de alimentos.
Kellogg acudió a Deloitte como consultor de auditoría para tener una mejor idea de la situación de sus operaciones "La informática era un desafío, por tener plantas en todo el mundo", dijo Tassell. "No contaba con una lista de dispositivos y no entendía las vulnerabilidades".
Mientras que Deloitte evaluaba los diversos sitios para identificar las brechas, Kellogg tomó medidas inmediatas comunicando y ejecutando una estrategia de segmentación. La segmentación entre los sitios, dispuesta en un modelo de centro y radios, contenía el riesgo para un solo sitio; las vulnerabilidades de un sitio estaban contenidas para ese sitio. segmentación dentro del sitio, por su parte, mitigaba el riesgo colocando la seguridad entre la fabricación y la parte comercial de la empresa, restringiendo las posibles vulnerabilidades a la red informática (TI) o a la red operativa (OT).
Las implicaciones de esta estrategia de segmentación son importantes. "No usamos palabras como asegurar o prevenir", dijo Tassell. "Hablamos de contención".
En 2018, Kellogg se enfrentó a varios desafíos. Carecían de cualquier tipo de estrategia de ciberseguridad en la red operativa. No había una detección formal ni respuesta a incidentes para la red operativa. Se enfrentaban a una mayor sensación de seguridad debido a un evento catalizador que había instado a los altos ejecutivos a moverse con rapidez. Y el área de TI necesitaba asociarse con los ingenieros para aumentar la seguridad de la red operativa.
Este último punto era clave. Era necesario crear una relación entre TI y la Operaciones para hacer que cualquier tipo de estrategia de seguridad cibernética funcionara. En la seguridad de TI, por solo seis meses, Tassell fue puesto a cargo de liderar la organización de seguridad cibernética para la red operativa. Como él lo veía, tenía que asegurar una red que no podía tocar. "Las relaciones eran tensas entre ingeniería y las plantas porque habíamos tenido interrupciones", dijo. "No se trataba de tecnología; no se trataba de seguridad. Se trataba de relaciones".
