27 de octubre de 2022
Agosto de 2022 pasará a la historia como una fecha histórica para la industria de los elevadores y las escaleras eléctricas. Fue el mes en el que los fabricantes de todo el mundo pudieron descargar la norma ISO 8102-20 y saber que, si construían según las especificaciones indicadas en el documento, la ciberseguridad de sus productos se tendría en cuenta desde el principio.
La norma ISO 8102-20 recopila tres años de trabajo de múltiples organismos de la industria, expertos y fabricantes individuales en 34 páginas que cambian el juego. KONE no estuvo solo en el camino - tres miembros senior del equipo estaban en el grupo de trabajo, y el experto líder de KONE Ari Kattainen lo convocó.
"No soy originalmente un experto en ciberseguridad, estoy más alineado con el lado de la seguridad funcional de lo que hacemos", dice Kattainen, "así que estar involucrado en la creación de esta nueva norma de ciberseguridad fue increíblemente interesante. Mi principal objetivo era reunir a los distintos expertos del grupo de trabajo de forma eficaz para que hubiera un ambiente y un diálogo realmente buenos."
Beneficios para los clientes, los usuarios finales y el medio ambiente
Adherirse a la nueva norma ISO -ahora una prioridad de KONE- no sólo es una forma de demostrar a los clientes que sus sistemas contarán con la mejor ciberseguridad en su categoría durante muchos años, sino que también significa que los usuarios finales pueden disfrutar de un servicio eficiente y sin problemas.
"La ciberseguridad es como una base", dice Kattainen. "Significa que podemos tener con seguridad productos que están conectados con el mundo exterior. Y sin esta conexión con el mundo exterior, el flujo de personas no es tan eficiente".
La protección de la ciberseguridad que aporta la nueva norma garantizará que cuando se realicen conexiones para actualizar los sistemas a distancia, se minimice el riesgo de interferencias externas. "No se está abriendo un portal para que alguien entre y piratee el sistema e intente interrumpirlo de alguna manera", afirma Kevin Brinkman, Director Senior de America's National Elevator Industry, Inc. (NEII).
Esto viene con implicaciones ambientales positivas, también. Los sistemas seguros se pueden actualizar de forma remota y permiten a KONE reducir el número de veces que un ingeniero tiene que visitar un ascensor o escalera mecánica para su mantenimiento.
Lo que resultó especialmente interesante para Kattainen -así como para sus colegas del grupo de trabajo de KONE, Jussi Valkiainen, Jefa de Seguridad de Productos y Aplicaciones, y Mika Katara, Gerente de Seguridad de IoT- fue ver no sólo lo qué se requería para la nueva norma, sino por qué se requería. "Eso realmente lleva las cosas al siguiente nivel", menciona.
Comprender el papel de las normas en la ciberseguridad
Es el crecimiento de las ciudades inteligentes y la interconectividad, señala Valkiainen, lo que ha impulsado la necesidad de una nueva norma internacional de ciberseguridad en elevadores, escaleras eléctricas y pasillos eléctricos.
"Hace unos cinco o seis años", explica, "la digitalización y la conectividad empezaron a aparecer en nuestro sector y muchos de los fabricantes se dieron cuenta de que al introducir la conectividad también estábamos introduciendo el riesgo de ciberseguridad. Necesitábamos una forma de protegernos contra eso".
¿Pero qué costo? Kattainen, por su parte, puede enumerar los peores escenarios, amenazas que el grupo de trabajo tuvo que prever al hacer un "juego de guerra" contra el que debían protegerse.
Estos ataques van desde un hacker que ataca el teléfono de la alarma de un elevador hasta un ataque de denegación de servicio, en el que un "actor malo" podría inutilizar las cabinas de los elevadores y exigir un rescate.
La nueva norma ayuda a los fabricantes a protegerse contra estos riesgos y, por tanto, a evitar el daño a la reputación que podría producirse si un fallo de seguridad da lugar a una publicidad negativa, señala Kattainen.
Los competidores del sector se reúnen para dar prioridad a la seguridad de los productos
La nueva norma apunta claramente a una industria que se está tomando muy en serio la ciberseguridad.
"Había normas de ciberseguridad para otros sectores, pero ninguna específica para la singularidad del sector de los elevadores", afirma Kevin Brinkman, del NEII. "Pensamos que una norma ayudaría a ello, así que el NEII creó primero un conjunto de directrices como punto de partida y luego nos pusimos en contacto con la Organización Internacional de Normalización, la Asociación Europea de Elevadores y la CEA – Asociación China de Elevadores – entre otras."
ISO apoyó la idea de una nueva norma internacional, y el grupo de trabajo se creó para explorarla. "Ari hizo un gran trabajo como convocante", señala Brinkman, "y se aseguró de que se tuvieran en cuenta los comentarios y las ideas de todas las partes relevantes".
"Contamos con un grupo de expertos muy bueno y pudimos avanzar de manera oportuna", dice Brinkman. "Tuvimos una nueva norma en menos de tres años, lo cual es bastante inusual. Puede que los participantes fueran competidores, pero cuando se trata de la seguridad y de asegurarse de que los productos que sacan al mercado van a proporcionar un producto fiable y seguro para el cliente y el mecánico que tiene que trabajar en ellos, estamos hablando con la misma voz."
La norma IEC 62443 existente ofrece un arranque en marcha
Al crear la nueva norma, el grupo de trabajo no ha tenido que empezar desde cero: una existente IEC Standard proporcionó una base sólida sobre la cual construir.
"No queríamos reinventar la rueda", dice Valkiainen. "Muy pronto decidimos que nos remitiríamos a la norma de ciberseguridad para sistemas de control industrial IEC 62443 y básicamente derivaríamos de ella los requisitos para los sistemas de control de los elevadores y las escaleras eléctricas".
KONE ya estaba profundamente familiarizado con la norma IEC 62443, habiendo desarrollado sus elevadores de clase DX de acuerdo con sus requisitos. De hecho, KONE ha recibido recientemente un nivel superior de certificación para la norma IEC 62443-4-1, pasando del "nivel de madurez" ML2 al ML3.
Esto significa, dice Valkiainen, que KONE tiene ahora una prueba documentada de haber llevado a cabo todos los pasos en el proceso de desarrollo que la IEC 62443-4-1 estipula. Es un ejemplo más del compromiso de KONE con ciberseguridad de clase mundial.