Acceso remoto seguro a instalaciones industriales
Conectividad y seguridad
La era de la digitalización y las nuevas tendencias que acompañan a la Industria 4.0 ofrecen una enorme cantidad de oportunidades que nos pueden ayudar a mejorar nuestros procesos productivos. Como consecuencia de la mayor conectividad de nuestras fábricas, es posible lograr ser más ágiles y competitivos, al mismo tiempo que se genera gran transparencia y trazabilidad de los procesos y se aumenta la calidad y personalización de los productos fabricados.
Este aumento de la conectividad conlleva que, en muchos casos, sea necesario conectar nuestras instalaciones a través de redes públicas, por ejemplo, Internet. Con esta nueva situación aparecen ciertos riesgos de los que debemos ser conscientes y sobre los que debemos adoptar medidas de protección que nos ayuden a mitigar las amenazas, y poder así estar tranquilos de que nuestras instalaciones no se verán afectadas.
Es por esto que, sea cual sea el tipo de industria del que se esté
hablando, la ciberseguridad se ha convertido en un requisito fundamental en la nueva Industria conectada, y que hay que tener especialmente presente al permitir accesos externos a nuestras instalaciones. Para ayudar con este reto, existen diferentes organismos nacionales e internacionales que se dedican a elaborar recomendaciones y mantener informada a la sociedad sobre las vulnerabilidades conocidas. En España, alguno de los más representativos son INCIBE (Instituto Nacional de Ciberseguridad, https://www.incibe.es/) y
CNPIC (Centro Nacional para la Protección de las Infraestructuras y Ciberseguridad, http://www. cnpic.es).
De la misma manera, existe una serie de estándares donde se definen guías de buenas prácticas y aspectos importantes a tener en cuenta en los sistemas industriales. Una de las principales normas de referencia es la IEC 62443, que define el importante concepto de Defensa en Profundidad (“Defense in depth”).
Este concepto defiende la acción conjunta de diferentes medidas de
protección para lograr el máximo nivel de seguridad posible en nuestros sistemas industriales. Para ello, divide la ciberseguridad en tres niveles principales:
La seguridad de planta: recoge medidas para evitar el acceso físico de personal no autorizado a las instalaciones y equipos de control industrial, así como las políticas de seguridad integral de la organización.
La seguridad de red: parte crítica que se centra en la protección de las redes industriales mediante la segmentación de red, implementación de cortafuegos y accesos externos seguros.
La integridad del sistema: centrada en aumentar la seguridad global del sistema a través de medidas adicionales como la gestión de usuarios y los sistemas de detección de amenazas.
Siguiendo este concepto, algunos de los principales proveedores de tecnología industrial se han comprometido con sus clientes, ayudándoles durante todo el ciclo de vida de las aplicaciones de ciberseguridad industrial. El objetivo prioritario es conseguir una alta disponibilidad en los procesos industriales y reducir el riesgo de amenazas (http://www.siemens. com/industrialsecurity).
Soluciones para acceso remoto seguro
Uno de los puntos críticos de la defensa en profundidad descrito en los estándares consiste en el acceso a las redes privadas de los sistemas de control industrial desde redes externas. Estos accesos deben realizarse siempre de manera segura y controlada, mediante el uso de tecnología VPN (Virtual Private Network), que permite autenticar los puntos finales de conexión, evitando accesos no autorizados y encriptando los datos de comunicación para que no puedan ser modificados o interceptados en puntos intermedios. Todo ello teniendo en cuenta las necesidades de los usuarios industriales en cuanto a sencillez, flexibilidad y escalabilidad.
Para cumplir con estos requisitos, Siemens, por ejemplo, ofrece a sus clientes el sistema de acceso remoto SINEMA Remote Connect, que consiste en una solución integral para la conexión remota segura a máquinas e instalaciones. (Figura 1).
Esta plataforma de gestión de conexiones remotas se basa en un sistema de tipo cliente-servidor en el que se provee de un acceso remoto seguro a plantas y máquinas con el objetivo de realizar un mantenimiento apropiado y seguro, a la vez que se optimizan los recursos y los costes asociados del mismo.
SINEMA Remote Connect provee de una gestión cómoda y segura de conexiones VPN entre centros de control, personal de mantenimiento y máquinas instaladas, mediante tecnología estándar SSL (Secure Sockets Layer). Además, la comunicación entre los participantes es independiente del protocolo empleado o el fabricante de la máquina, consiguiendo incluso el acceso directamente a redes Profibus/mpi.
Sin necesidad de una conexión directa entre el técnico y la instalación, ambos establecen una conexión independiente contra el servidor de SINEMA Remote Connect donde se identificarán mediante el intercambio de certificados y se dará acceso solo a las máquinas a las que el usuario tenga permiso de acceso. Todo esto de manera sencilla, rápida y auto-configurada, como requieren los usuarios industriales cuyos requisitos y preocupaciones son diferentes a accesos típicos en entornos IT.
La conexión a SINEMA Remote Connect puede ser establecida mediante diversos medios físicos,
como conexiones ADSL, redes privadas o redes de telefonía móvil. Siemens ofrece una amplia variedad de porfolio para cubrir cualquiera que sea nuestra necesidad, gracias a las familias de firewall industriales SCALANCE SC600, SCALANCE S615 y los router industriales SCALANCE M800. (Figura 2, figura 3).
Para el acceso de usuarios a estas máquinas, se dispone del SINEMA Remote Connect Client, software que permite, a golpe de click, el acceso a varias máquinas simultáneamente, incluso aquellas con un direccionamiento IP idéntico. Esto resulta muy ventajoso en el caso de las máquinas en serie. (Figura 4).
SINEMA Remote Connect permite al mismo tiempo crear una infraestructura privada donde pueden alojarse servidores adicionales que almacenen los principales softwares de ingeniería necesarios, como puede ser TIA Portal, la herramienta de ingeniería para sistemas de automatización SIMATIC S7. De esta manera, desde cualquier lugar y desde cualquier dispositivo, podremos tener acceso a nuestros proyectos y herramientas de ingeniería en todo momento. (Figura 5).
Algunas de las ventajas principales del sistema son:
Gestión centralizada de todas las conexiones VPN
Sencilla gestión de usuarios y control de acceso a distintas máquinas
Comunicación basada en IP, independiente del protocolo
Sencilla integración de los router de Siemens con la opción de auto configuración
Conexión Wa máquinas con idéntica numeración IP Operativo en entorno virtualizado Opción de licenciamiento offline Soporte de los últimos estándares de encriptación TLS 1.2
Solución industrial adaptada a nuevas necesidades
El mercado industrial demanda un cada vez mayor número de funcionalidades en este tipo de soluciones para cubrir todas las necesidades que pueden aparecer en entornos OT. Es por ello que los proveedores comenzarán a incluir importantes novedades, como la funcionalidad DDA (Dedicated Device Access), que permitirá el acceso de usuarios específicos solo a determinadas subredes remotas de los equipos finales de las VPN (como los Scalance S615 o Scalance M800,
por ejemplo). Todo ello sin necesidad de configuración alguna en estos dispositivos VPN, sino que será gestionado desde el servidor web de manera centralizada y muy sencilla. Esto ayudará a reducir incidentes de operación y a realizar una conexión remota incluso más rápida y cómoda para el usuario.