Ciberseguridad, desafíos y soluciones para la industria
No cabe duda de que la transformación digital está provocando un cambio significativo en los sistemas de producción industrial, en los que la integración de los sistemas es cada vez más amplia, se manejan grandes volúmenes de datos y la adopción de estándares abiertos se está extendiendo cada vez más.
No cabe duda de que la transformación digital está provocando un cambio significativo en los sistemas de producción industrial, en los que la integración de los sistemas es cada vez más amplia, se manejan grandes volúmenes de datos y la adopción de estándares abiertos se está extendiendo cada vez más. La gran cantidad de oportunidades y beneficios, tanto en la fabricación discreta como en las industrias de proceso, prometida por esta transformación, ha llevado a los expertos a hablar de una nueva revolución industrial a la que han denominado “Industria 4.0”.
Sin embargo, esta nueva tendencia tiene un lado no tan agradable, y que es muy importante: una mayor vulnerabilidad a los ataques cibernéticos. La integración horizontalvertical de los sistemas de control, el aumento de los volúmenes de datos y los estándares universales hacen que sea mucho más fácil para los atacantes y el malware acceder a estos sistemas. Los estudios e incidentes muestran que las redes de OT y las áreas de producción no sólo son reconocidas como objetivos lucrativos para los
ataques, sino que las personas que hay detrás de estos ataques son cada vez más agresivas en sus tácticas. Se utilizan herramientas cada vez más efectivas y se aplican más recursos a los ataques.
La realidad de hoy es que los sistemas industriales también enfrentan ataques implementados profesionalmente por organizaciones criminales, que hacen de esta labor un gran negocio: la “guerra cibernética” ya está sobre nosotros. La situación de amenaza cambiante que se nos presenta exige un replanteamiento fundamental de la seguridad de la información, la protección del acceso y todo el proceso de establecimiento de conceptos de seguridad industrial. Los atacantes están mejorando su arsenal y nunca ha sido más importante para los proveedores y operadores de sistemas de automatización y producción asumir esta amenaza a la que se enfrentan.
Afortunadamente, es totalmente posible montar una protección efectiva. Si bien la seguridad al 100% está fuera de discusión, existen maneras y medios para reducir el riesgo a un nivel de protección
aceptable. De este modo, poner bajo control el riesgo requiere un concepto de seguridad integral que tenga en cuenta las diferentes características y naturaleza de los ataques, y que, además, sea motor de una fuerte cooperación entre las distintas partes involucradas: operadores de sistemas de automatización, integradores, fabricantes de máquinas y proveedores.
Las medidas organizativas y técnicas deben coordinarse cuidadosamente mediante la aplicación de un concepto de seguridad integral basado en las personas, los procesos y las tecnologías al unísono para lograr el nivel de protección necesario.
El desafío de los sistemas de control de automatización industrial
Los sistemas de control de automatización industrial, o IACS en sus siglas en inglés, están migrando cada vez más, en numerosos sectores de la industria, de las comunicaciones en serie a las comunicaciones basadas en el Protocolo de Internet (IP) a medida que las redes de Tecnología Operacional (OT) se integran con las redes de Tecnología de la Información (IT) para mejorar el rendimiento, la fiabilidad, la eficiencia y otras ventajas operativas.
Sin embargo, la convergencia de las redes de OT y de IT ha introducido nuevos desafíos y amenazas para los IACS. Debido a que los IACS monitorizan y controlan los procesos físicos en el mundo real, tienen requisitos de respuesta más estrictos respecto al determinismo y la transferencia de datos en tiempo real. El determinismo describe un parámetro conocido y medible para la velocidad y fiabilidad de las señales en la red industrial; por lo tanto, los IACS requieren una baja latencia en el tiempo de respuesta y una variación mínima en ese tiempo de respuesta (también conocido como “jitter”). Como resultado, las redes de OT tienen diferentes consideraciones de calidad de servicio (QOS) si las comparamos con las redes de IT, en función del sector específico de la industria en el que nos encontremos.
Tradicionalmente, los IACS eran sistemas aislados y, por lo tanto, protegidos de amenazas basadas en la red. La tendencia de las redes basadas en serie a las redes basadas en IP ha introducido posibles vulnerabilidades y amenazas comunes a los IACS en los sectores de fabricación o infraestructura crítica, como la energía, el transporte, la gestión del agua y el control de tráfico avanzado. Los IACS en estos sectores son cada vez más vulnerables a los ataques de ciberseguridad con impactos potencialmente devastadores para las organizaciones, las empresas y la seguridad pública.
Una proporción significativa de las plantas industriales y los IACS que están en funcionamiento hoy en día se diseñaron antes de existir la necesidad de implantación de medidas de seguridad comunes a las redes de IT. Entre otras cosas, estas medidas incluyen políticas de acceso a sistemas y controles para hacerlas cumplir, procedimientos de autorización y autenticación o políticas para facilitar la gestión de cambios, y registros de actividad o auditoría que apoyan las investigaciones forenses en violaciones de seguridad.
Impactos potenciales
Un fallo en la red de IT de una empresa puede tener un impacto adverso en las operaciones comerciales diarias. Ejemplos de esto incluyen el robo cibernético de propiedad intelectual o información del cliente, o la desactivación del sitio web público de una empresa. En contraste, la violación de un IACS puede interrumpir la producción, dañar los activos físicos e incluso a empleados y público por igual. Estos impactos potenciales se magnifican cuando el objetivo es una infraestructura crítica.
Según presentaba CNPIC (Centro Nacional para la Protección de las Infraestructuras y Ciberseguridad, http://www.cnpic.es) en un reciente congreso celebrado en noviembre de 2018, el número de incidentes detectados en los operadores de servicios esenciales está aumentando en los últimos años y es altamente probable que se amplíen todavía más siguiendo una progresión exponencial. En el año 2014, fueron 63 los incidentes detectados en infraestructuras críticas mientras que encontramos 479 en 2016, 885 en 2017 y 3.710 en los primeros 9 meses de 2018 (sin tener datos oficiales del total del año 2018). Si analizamos sólo los datos del año 2018, un 60% de los incidentes se produjeron en el sector transporte, seguido de un 27% en el sector aguas y un 6% en el sector de la energía. En el sector financiero fueron detectados un 5% de los incidentes, posicionándose en cuarto lugar en el ranking sectorial. De esta estadística se des
prende que los 3 principales sectores donde se han detectado incidentes son sectores en los precisamente existen IACS.
Igual de preocupantes son las conclusiones que arrojó un estudio realizado en 2016 por la consultora tecnológica estadounidense Booz Allen Hamilton, en el que se citaron datos disponibles públicamente para 314 organizaciones en todo el mundo, en las que el 34% de los operadores de IACS informaron más de dos violaciones de sus sistemas en los últimos 12 meses (el 44% no pudo identificar la fuente). Otros datos acerca de un sector específico, el sector energético, se publicaron en un artículo de la revista US News & World Report e indicaron que 150 compañías de energía y servicios públicos informaron de un acceso no deseado exitoso de sus redes en los últimos 12 meses. Casi la mitad informaron de que dichos ataques habían aumentado recientemente, y más del 80% esperaba que al año siguiente se produjeran daños físicos a las instalaciones.
Muchos expertos en la materia argumentan que estas amenazas deben abordarse con sentido común y con metodologías conocidas: si los ataques cibernéticos pueden afectar al negocio, es una cuestión de cuándo va a ocurrir, y no de si puede ocurrir o no.
Según un informe de tendencias realizado por Mandiant (firma estadounidense de ciberseguridad perteneciente a Fireeye), los hackers o el malware permanecen sin ser detectados durante un promedio de 101 días, se necesitan unos días más para resolver dicho ataque, y el 38% de las empresas afectadas tuvo que ser notificado de un incumplimiento por parte de una organización externa.
Claramente, eliminar todas las amenazas puede no ser factible, dado que el error humano puede ser un factor importante y que los ataques maliciosos son cada vez más sofisticados y frecuentes. Sin embargo, las estrategias efectivas, respaldadas por medidas de seguridad probadas, pueden prevenir la mayoría de los errores humanos, detectar, aislar y mitigar los ataques malintencionados y sus impactos, y proporcionar resistencia a los IACS.
Los ejecutivos y gerentes responsables de los IACS dicen a menudo que su mayor frustración es la falta de conocimiento preciso de lo que reside en sus redes. Expresan inquietudes similares sobre las violaciones accidentales o intencionales de su red, así como el cumplimiento requerido por los organismos reguladores.
Afortunadamente, las estrategias bien establecidas, las tecnologías probadas y un asesor de confianza con amplia experiencia en la creación, operación y protección de IACS pueden abordar estas y otras inquietudes.
IEC 62443 - Defensa en profundidad como solución integral
A nivel conceptual, los expertos en la materia señalan la diferencia significativa entre el cumplimiento y la seguridad. El cumplimiento de las regulaciones puede definirse como conforme a un conjunto de reglas o estándares, sujeto a una auditoría basada en la consulta e inspección realizada por un tercero o autoridad.
En contraste, la seguridad se define como la implementación de medidas y controles técnicos, físicos y administrativos, para proporcionar confidencialidad, integridad y disponibilidad. En este contexto, las medidas administrativas también pueden abordar los aspectos de responsabilidad y garantía.
Por lo tanto, el cumplimiento no es igual a la seguridad. El cumplimiento es simplemente una instantánea de cómo su programa de seguridad cumple con un conjunto específico de requisitos de seguridad establecidos por los reguladores en un momento dado en el tiempo. La seguridad es un concepto mucho más amplio y requiere ir más allá del cumplimiento y su lista de verificación de acciones y medidas hacia un enfoque más integral.
El concepto de “defensa en profundidad”, definido en el estándar de ciberseguridad industrial IEC 62443, es una de las mejores prácticas de la industria que involucra múltiples capas de protección que detectan, previenen y mitigan los errores humanos o las intrusiones maliciosas. La defensa en profundidad para proteger los IACS depende de la tendencia de un ataque a perder impulso con el tiempo; puede proteger contra ataques comunes o mal comportamiento humano, pero también puede retrasar los ataques dirigidos y sofisticados para ganar tiempo y mitigar la amenaza. Una analogía útil son las múltiples medidas que la mayoría de las personas utilizan para proteger sus hogares. Cerrar las puertas es un primer paso, pero ese enfoque único y mecánico a menudo resulta insuficiente para detener a un ladrón. La seguridad en el hogar se ve reforzada por múltiples capas de protección que retardan una intrusión el tiempo suficiente para detectarla y detenerla. Las luces de detección de movimiento,
el ladrido de un perro y el sistema de alarma de la casa que alerta a las autoridades de una infracción contribuyen a abordar diversas amenazas y mitigar el riesgo.
En un IACS, un enfoque de defensa en profundidad requiere seguridad de la planta (por ejemplo, protección de acceso físico, procesos y directrices, monitorización de seguridad), seguridad de red (por ejemplo, protección de celdas, protección de red perimetral, firewalls, VPN) e integridad del sistema (por ejemplo, fortalecimiento del sistema, gestión de parches, detección de ataques, autenticación y protección de acceso para abordar los múltiples vectores de ataque de ese sistema).
Aunque la mayoría de las compañías implementan medidas contra uno o más de estos vectores, muy pocas las abordan adecuadamente en una estrategia holística. En otras palabras, las medidas individuales, como contraseñas o firewalls, por sí solas no son efectivas contra las amenazas de ciberseguridad de hoy. En cambio, al emplear procedimientos y tecnologías establecidos en cada uno de estos niveles, la defensa en profundidad puede minimizar el tiempo de inactividad o el daño potencial de los ataques cibernéticos.
El papel de un asesor de confianza
Pocas empresas son capaces de caminar solas en materia de ciberseguridad, debido a la amplia experiencia que se requiere para aplicar todas las medidas de seguridad de defensa en profundidad. Un asesor de confianza debe comenzar por escuchar y evaluar los enfoques existentes de la empresa en materia de ciberseguridad antes de abordar las posibles soluciones a las lagunas existentes en esos enfoques.
El diseño e implementación de soluciones en cada capa del enfoque de defensa en profundidad generalmente requiere un asesor de confianza con una larga experiencia en el dominio de IACS y experiencia en tecnologías operativas, así como conocimiento en el sector específico de la industria en la que se esté trabajando. Esa experiencia y dominio deben complementarse con un buen conocimiento de seguridad, soluciones de software robustas y hardware fiable y de solidez industrial para respaldarlas.
Los principales sectores de la industria que deben abordar las amenazas cibernéticas para los IACS subrayan la importancia de seleccionar un asesor de confianza con la experiencia y la cartera de soluciones necesaria para implementar las estrategias de defensa en profundidad en los IACS. Esa lista incluye el sector de fabricación discreta, sector de alimentación y bebidas, sector farmacéutico, gestión de aguas, sector eléctrico, sector de energías renovables, sector ferroviario y sistemas de transporte inteligentes para el control del tráfico urbano, entre otros.
En un mercado abarrotado de “soluciones”, no es suficiente con recurrir a los proveedores habituales (IT), que, si bien aportan soluciones robustas y eficientes, en muchas ocasiones no se adaptan a los requerimientos de las tecnologías operativas (OT) en juego para proteger las redes industriales y los IACS. Además, no sería aconsejable simplemente comprar y conectar hardware sin una estrategia de ciberseguridad holística y soluciones de software para ejecutar en ese hardware. En su lugar, un proveedor de soluciones y un asesor fiable en ciberseguridad deberían tener un largo historial en la fabricación, implementación, solución de problemas y protección de tecnologías operativas que se ejecutan en IACS en los sectores pertinentes de la industria.