La importancia de la ciberseguridad en la Industria 4.0
El perímetro a proteger en el ámbito de la Industria 4.0 es cada vez más difuso y requiere una gestión continua
Por Juan Caubet, Director de la Unidad de IT&OT Security de Eurecat; Oscar Lage, Responsable de Ciberseguridad y Blockchain de Tecnalia; Carlos Pérez, Responsable de Educación e Investigación en Universal Robots; Jan Puig, Director comercial y marketing en PILZ, y Xavier Nieto, Market Porduct Manager, Industria 4.0 en SICK AG.
La Industria 4.0 está caracterizada por una alta digitalización de los sistemas y los procesos industriales, así como por la interconexión de los productos, las cadenas de valor y los modelos de negocio. Algunas de las motivaciones que están impulsando este cambio son una mejor integración y gestión de las cadenas de valor, tanto verticales como horizontales, lo cual incrementará la productividad de las empresas; la interconexión de productos y servicios, ofreciendo una mayor competitividad a las compañías e ingresos adicionales, y la creación de nuevos modelos de negocio, a menudo disruptivos, basados en tecnologías digitales y personalizadas, que aportarán un valor añadido al cliente.
Sin embargo, no todo son buenas noticias en cuanto a digitalizar e interconectar la industria. Los sistemas industriales han esquivado parcialmente las amenazas de la ciberseguridad hasta el momento, pero para poder evolucionar deben asumirse nuevos retos e intentar minimizar los riesgos intrínsecos de los nuevos recursos tecnológicos que se adoptan.
El hecho de conectar las infraestructuras IT (Information Technologies) con las infraestructuras OT (Operational Technologies), o incluso empezar a conectar directamente a Internet sistemas de control industrial (PLCs, brazos robóticos, robots móviles, contadores, sensores, etc.), ya hace que debamos cambiar la forma en la que entendíamos hasta hace pocos días la ciberseguridad en estos entornos. Hemos pasado de un modelo de seguridad basado en el aislamiento de los sistemas productivos y su ofuscación, a un modelo donde el perímetro a proteger es cada vez más difuso. Sin embargo, muchas empresas no son del todo conscientes de esta situación.
Mitos de la ciberseguridad industrial
Las infraestructuras OT se construyeron para estar disponibles el mayor tiempo posible, para ser fiables y seguras para los trabajadores. Durante décadas, las puertas y los candados fueron sus principales mecanismos de protección. La ciberseguridad ni siquiera se consideraba una preocupación en ese momento y se limitaban simplemente a aislar la red operacional del resto de redes corporativas. De ahí que muchas empresas desarrollaran algunas creencias sobre la ciberseguridad industrial, que durante años han servido para justificar la política de no realizar acciones para mejorar la ciberseguridad. Algunos de estos mitos son:
– Las redes OT están absolutamente aisladas de Internet y de las redes corporativas; por lo tanto, no hay riesgo para la ciberseguridad.
– Las redes OT utilizan solo sistemas y protocolos propietarios, y los atacantes no los conocen en profundidad.
– Los sistemas de control industrial están protegidos contra ciberataques porque hay un firewall entre la red OT y las otras redes.
– La comunicación en serie (no enrutable) entre un centro de control y los sitios remotos proporciona inmunidad contra los ciberataques.
– ¿Por qué alguien se va a molestar en atacar una red industrial?
– Mucha gente cree que los atacantes solo se mueven por dinero, por tanto, no tienen mucho que ganar atacando a infraestructuras industriales.
– En caso de ataque a las redes IT, la maquinaria puede funcionar de forma aislada e independiente, ya que está conectada a la red OT, y por lo tanto el riesgo de caída de la producción es muy bajo.
Sin embargo, la realidad es otra, y sí que existen amenazas que pueden afectar a las infraestructuras IT y OT y paralizar la producción. Por poner un ejemplo, un operario de línea podría introducir una memoria USB que estuviera infectada con un software malicioso (malware) en un ordenador de la planta de producción y, de este modo, habilitar acceso externo a un ciberdelincuente, producir una parada del sistema o secuestrar digitalmente la planta. Lo mismo puede ocurrir abriendo archivos adjuntos de emails de remitentes desconocidos o que suplanten identidades para simular ser fiables.
Hemos pasado de un modelo de seguridad basado en el aislamiento de los sistemas productivos y su ofuscación, a un modelo donde el perímetro a proteger es cada vez más difuso.
En los últimos años se han ido incrementando los ciberataques a infraestructuras industriales. Un ciberataque producido en 2017 le costó a la empresa naviera Maersk más de 200 millones de Euros. En 2019, la empresa industrial belga Asco, fabricante de componentes para la industria aeronáutica, sufrió una interrupción grave en todas sus plantas en Bélgica, Alemania, Canadá y Estados Unidos a causa de un ciberataque. También en 2019, el fabricante de aluminio Norsk Hydro sufrió pérdidas de más de 40 millones de dólares por la interrupción de sus fábricas durante una semana a causa de un ciberataque. En 2020, un ciberataque le costó a la empresa ISS, con sede en Dinamarca, más de 50 millones de euros. Y con la incorporación de nuevos dispositivos IoT e IIoT, y el aumento de la conectividad en la industria, estos riesgos aumentarán en gran medida al tener más infraestructura expuesta.
Más dispositivos conectados, más superficie de ataque
El número de dispositivos conectados a nivel mundial crece cada año, y según un reciente informe, se espera que en el periodo 2020-2024 se duplique su número, pasando de los actuales 30.000 millones de dispositivos, a más de 62.000 millones. Pero, así como crece el número de dispositivos conectados a Internet, también lo hace el número de amenazas. Por lo tanto, no solo la industria se va a beneficiar de esta nueva revolución, sino que, lamentablemente, también lo van a hacer los cibercriminales mediante la perpetración de ataques, ya sea mediante el secuestro de datos, el robo de información sensible o la denegación de servicios, entre otros.
Los atacantes disponen de herramientas y técnicas en constante desarrollo, en una carrera permanente contra los proveedores de sistemas de protección. Entre dichas herramientas existen algunas dedicadas
exclusivamente a listar dispositivos accesibles desde Internet, algunas tan sencillas y académicas como Shodan.io, pero otras mucho más complejas y que además permiten buscar dispositivos tanto en IPv4 como IPv6 (muchas empresas olvidan sistemáticamente cerrar estas direcciones). Y esto unido a que muchos dispositivos IoT o IIoT carecen de mecanismos de ciberseguridad que les permitan protegerse de las amenazas existentes: utilizan contraseñas débiles, interfaces inseguras o servicios de red inseguros con puertos abiertos que exponen el dispositivo. Además, la variedad de tecnologías de transmisión en entornos como el IoT tampoco ayuda al establecimiento de protocolos de protección estandarizados.
Se estima que en 2024 habrá 62.000 millones de dispositivos conectados en el mundo
La lucha tecnológica entre los ciberdelincuentes y los
profesionales de la ciberseguridad es una lucha desigual por la naturaleza
moral radicalmente opuesta de los contendientes. Eso hace que la concienciación
de las empresas sea vital para que los desarrolladores de productos y sistemas
de protección puedan implementar soluciones un paso por delante de las amenazas.
¿Son las empresas tan constantes en la protección como lo son los
ciberdelincuentes en sus ataques?
Acciones para reducir la exposición de las
infraestructuras OT
Uno de los
errores más habituales en las redes industriales es la configuración de redes
planas en las que están incluidos todos los dispositivos de la empresa, sin
ningún tipo de segmentación de la red que separe los equipos por niveles de
criticidad o funcionalidad. Esta práctica tan extendida permite que cualquier malware
pueda propagarse por todos los equipos de la red empresarial. Por lo que
uno de los primeros
ámbitos en los que se debe trabajar es precisamente en la segmentación de las
redes que forman la infraestructura, y evitar así que cualquier malware
que pueda entrar a través de un puesto de trabajo se extienda por la red de
operaciones sin ningún tipo de impedimento.
En cuanto a las comunicaciones remotas, ningún dispositivo
industrial debería ser visible directamente desde Internet. Cualquier conexión
directa con nuestra infraestructura OT debería ser supervisada y controlada a
través de una red VPN (Virtual Private Network), o similares. Además, es muy
recomendable que dicha conexión remota se habilite en base a tickets, y a poder
ser durante periodos limitados de tiempo.
También es
recomendable incorporar sistemas IDS (Intrusion Detection Systems) e IPS
(Intrusion Prevention System) en los sistemas de control industrial de
cara a alertar y bloquear cualquier intento de ataque o amenaza, así como
sistemas SIEM (Security Information and Event Management) que desde un
punto centralizado nos permitan correlar eventos provenientes de los anteriores
sistemas, mostrar alertas y analizar el histórico de datos. En definitiva,
tener una visión del estado de la infraestructura.
Algunos fabricantes de dispositivos industriales
como RTUs, PLCs o robots colaborativos ofrecen varias funcionalidades
relacionadas con la ciberseguridad en el interfaz de programación, pudiendo
deshabilitar comunicaciones remotas, restringir el acceso a subredes,
deshabilitar accesos entrantes de manera selectiva o administrar certificados y
contraseñas de usuario. De este modo, pequeñas y medianas empresas, que suelen
tener menos recursos informáticos y conocimientos en ciberseguridad, pueden
combinar este tipo de configuraciones de dispositivos industriales (endpoints)
con las medidas a implementar en la red.
Otras
recomendaciones para reducir los riesgos de ciberseguridad en entornos de
Industria 4.0 también pueden ser: minimizar la apertura de puertos y realizar
un mantenimiento de las reglas asociadas, actualizar el software y el firmware
de los equipos, mantener los antivirus actualizados, etc.
Gestión del riesgo, gestión de la ciberseguridad
Cuando se habla de ciberseguridad se suele hacer referencia
a ataques/amenazas y a sistemas/medidas de protección, pero la realidad es que
la ciberseguridad es un proceso continuo en el tiempo, o debería serlo. Este
proceso nos permite conocer el estado actual de una infraestructura en materia
de ciberseguridad, identificar nuevas vulnerabilidades y aplicar contramedidas
de forma recurrente.
Nadie puede proteger aquello que realmente no conoce cómo
está, por eso la evaluación de la ciberseguridad debe ser un proceso continuo,
o al menos repetido periódicamente, que puede aportar mejoras más allá de la
protección de un dispositivo, sistema o infraestructura.
Es importante destacar que conocer el estado de la red, los
dispositivos o los sistemas que conforman una infraestructura, puede permitir
la detección de pérdidas de disponibilidad, bajadas de rendimiento o
degradación de la calidad de los procesos productivos, beneficios que van más
allá de la ciberseguridad.
La gestión de los riesgos de ciberseguridad se debe
planificar más allá de la consideración de las prestaciones de los equipos
conectados. Debe formar parte de una política de uso y ciclo de vida adaptada a
las amenazas existentes, considerando el mantenimiento preventivo y
procedimiento activo de actualizaciones de seguridad, así como test periódicos
de vulnerabilidades del sistema. Existen diferentes normativas, métodos y
herramientas que ayudan a desarrollar un Sistema de Gestión de Ciberseguridad
Industrial (SGCI) que permita al operador de la infraestructura realizar un
tratamiento eficaz y continuo de los riesgos sobre la disponibilidad,
integridad y confidencialidad de las operaciones y la información gestionada por
los sistemas de automatización y control industrial.
El eslabón más débil, el trabajador
Más allá de la tecnología y los procesos, múltiples
investigaciones indican que más del 50% de los incidentes de ciberseguridad
vienen precedidos, o se deben, a errores humanos, lo cual eleva la figura del
trabajador al escalón más alto de preocupación que debe tener una empresa. Los
trabajadores que tienen acceso a tecnología e información son la primera línea
de defensa de cualquier organización, por lo tanto, es imperativo establecer también
un plan de acción en esta línea.
La formación y concienciación en ciberseguridad son acciones
muy necesarias y cada vez más implantadas por las empresas, que quieren formar
a sus trabajadores en los elementos básicos de ciberseguridad y riesgos a la
hora de manejar elementos tanto de software como de hardware. Sin embargo, esto
no suele ser suficiente. Idealmente, dicha formación debería ir acompañada de
la definición de unas políticas de seguridad, conforme a la estrategia general
de seguridad de la empresa, que informen a los trabajadores que tienen acceso a
la tecnología e información de la organización de las reglas que deben seguir con
el objetivo de proteger los activos de esta última.
Marco normativo y soporte de la Administración
Pública
De cara a afrontar la ciberseguridad de sus infraestructuras
industriales, las empresas cuentan con el soporte de la Administración, de
iniciativas privadas, así como de diferentes normativas internacionales. La
Administración, a través del INCIBE (Instituto Nacional de Ciberseguridad), el CNPIC
y otras entidades/CERTs de ámbito local, ofrece guías y soporte en caso de
incidentes. Iniciativas privadas como el Centro
de Ciberseguridad Industrial (CCI) o la Plataforma Tecnológica
Española de Seguridad Industrial (PESI) también ofrecen guías y servicios
para ayudar a las empresas a establecer buenas prácticas de ciberseguridad y SGCIs.
A su vez, las organizaciones industriales encuentran en
normas como la IEC 62443, que es la principal norma con foco en la
automatización industrial en este momento, un conjunto de estándares que le
permitirán evolucionar la seguridad de componentes de control y automatización
industrial. Esta norma está dividida en cuatro apartados principales y se basa principalmente
en la estrategia de defensa en profundidad.
El proceso de acercamiento sistemático a la seguridad de la
IEC 62443 obligará a la empresa a realizar ejercicios tan interesantes como identificar
las zonas, conductos y canales de su infraestructura, e identificar el nivel de
protección deseado de cada zona y conducto para finalmente evaluar el nivel de
protección alcanzado, lo que permitirá establecer un diálogo interno de mejora
continua y con los proveedores de su infraestructura.
Conclusiones
Después de todo, es importante que todas las
empresas sean conscientes de que han de tomar medidas para evitar los ataques,
dirigidos o no, de cibercriminales donde la mayoría de las veces su motivación
será económica. Desde el sensor hasta el sistema en el Cloud, todas las
partes de la integración vertical de los datos deberían pasar mantenimientos
periódicos (entre 3 meses y 6 meses) y auditorías. Detectar una intrusión en el
sistema es el último eslabón, pero hay una serie de pasos previos que nos pueden
permitir reducir los riesgos de forma significativa.
La Industria 4.0
es una realidad para muchas empresas. La evolución a Industria 4.0 junto con la
digitalización es un paso que dar para toda empresa industrial que no lo haya
dado todavía. Tarde o temprano, todas las compañías se verán obligadas a
mantener el nivel de competitividad respecto a las corporaciones que ya hayan
evolucionado digitalmente, y pudiendo aumentar la oferta de productos y
servicios.
Tecnologías emergentes como el Data Mining
o la Inteligencia Artificial (IA) ofrecerán muchas oportunidades de
optimización de procesos y mantenimiento predictivo, entre otras. Estas
tecnologías requieren de sistemas interconectados para conseguir su máximo
provecho y ahí es cuando deberemos tener en cuenta la gestión de la
ciberseguridad. Pero sin duda, los beneficios son muy grandes y los riesgos
asociados a la ciberseguridad son controlables.
(c) AER Grupo de Trabajo Innovación – 2021
