¬°Hub de contenido!
Acceso a contenido educativo gratis.
Comience a aprender

Lecciones de ciberseguridad desde el √°rea de seguridad

Expertos han abogado durante mucho tiempo por alineación de la seguridad cibernética y seguridad para garantizar superposición de protecciones. Varios métodos, desde capas de protección hasta mecanismos analíticos, brindan orientación sobre cómo lograrlo.

Lecciones de ciberseguridad desde el área de seguridad

Por James R. Koelsch

La seguridad cibernética debe estar profundamente arraigada en las operaciones de manufactura, al igual que la seguridad en general. Es por eso que muchos defensores de la seguridad cibernética han propuesto durante mucho tiempo que los profesionales de la automatización exploten algunas de las similitudes entre la seguridad cibernética y la seguridad. La idea es adaptar las mejores prácticas de seguridad para defenderse contra los ciberataques.

"Hay décadas de experiencia en la aplicación de estándares de seguridad y mejores prácticas", explica Luis Duran, gerente global de productos para sistemas de seguridad de ABB. "Y esa experiencia puede ser beneficiosa para establecer nuevas mejores prácticas para tratar un problema diferente como la ciberseguridad".

"Las prácticas de seguridad ya son más entendidas y arraigadas que las de seguridad cibernética", agrega Alexandre Peixoto, gerente de producto de seguridad cibernética DeltaV en Emerson Automation Solutions. "Entonces, las comparaciones de seguridad ayudan mucho con la aceptación de la seguridad cibernética".

Estas comparaciones son posibles porque las dos disciplinas son similares en aspectos importantes. Fundamentalmente, ambos est√°n dirigidos a gestionar riesgos que nunca desaparecen por completo. As√≠ como el descuido o las circunstancias imprevistas pueden frustrar las pr√°cticas de seguridad bien dise√Īadas, un esfuerzo concertado realizado por un atacante experto eventualmente superar√° incluso las mejores defensas cibern√©ticas.

La estrategia de seguridad general desde este punto de vista es mitigar el riesgo erigiendo varias capas de defensa, cada una dirigida a evitar que ocurran incidentes o que contengan da√Īos si eventualmente se rompen las defensas. "Una postura de ciberseguridad efectiva para los sistemas de control industrial se basa en una t√°ctica de defensa en profundidad, que es muy similar al an√°lisis de capas de protecci√≥n para los sistemas de seguridad", dice Peixoto.

Esto significa que, al igual que con la seguridad, la ciberseguridad debe dise√Īarse desde el principio en redes de control. "Con demasiada frecuencia las organizaciones de fabricaci√≥n agregan defensas de ciberseguridad m√°s tarde", observa Peixoto. "Es m√°s costoso y rara vez es tan efectivo como incorporar la ciberseguridad en el proyecto".

La implementaci√≥n de la seguridad y la ciberseguridad, adem√°s, debe ir m√°s all√° de las soluciones t√©cnicas. "Ambos tambi√©n requieren un cambio de comportamiento y cultural", explica Peixoto. "Una comprensi√≥n profundamente arraigada del ¬īpor qu√©¬ī y el ¬īc√≥mo¬ī entre todos en la empresa, desde la gerencia hasta el personal de la planta, es fundamental para impulsar un cambio de comportamiento significativo en la ciberseguridad".

Por lo tanto, los fabricantes deben apoyar esta estrategia mediante el desarrollo de políticas y procedimientos y la realización de capacitación periódica, como lo hacen para sus programas de seguridad. "Es primordial que el propietario del activo tenga políticas y procedimientos definidos y aplicados para que los de índole operativa sean claros y conocidos por todos en la planta", enfatiza Peixoto.

Sin embargo, tanto para la seguridad como para la ciberseguridad, la mitigación de riesgos no es realmente un destino al que se llega. En cambio, Duran en ABB lo llama un viaje, uno que requiere vigilancia continua, preparación y acción adecuada para cada etapa del ciclo de vida de cada activo. "Los usuarios deben reevaluar periódicamente las prácticas establecidas y determinar si están trabajando o no", dice.

Lecciones de ciberseguridad desde el área de seguridadLlamado Ciberseguridad, el método de cuatro pasos diagramado aquí describe cómo analizar la ciberseguridad de las operaciones de manufactura. Los investigadores del MIT desarrollaron este método adaptando un modelo para analizar accidentes para aplicarlo a los ataques cibernéticos en sistemas ciberfísicos. Cortesía del MIT.Similar pero diferente

A pesar de estas similitudes, la idea de utilizar la seguridad como modelo de ciberseguridad en la automatizaci√≥n industrial a√ļn no se ha implementado ampliamente en la industria. Las razones tienden a girar en torno a algunas diferencias cruciales entre las dos disciplinas.

Primero, la falta de regulaciones que obliguen a la ciberseguridad. Mientras que los organismos reguladores han exigido y aplicado varias normas de seguridad en la industria durante décadas, las normas de ciberseguridad para la automatización industrial no solo son relativamente nuevas, sino que también tienden a ser voluntarias. Por lo tanto, su adopción ha dependido principalmente de la organización de fabricación y su percepción del riesgo de no implementarlas.

Recientemente, sin embargo, el Dr. Alexander Horch, vicepresidente de investigación y desarrollo y gestión de productos del Grupo Hima, ha notado una tendencia positiva. "Las empresas en la industria de procesos reconocen cada vez más la importancia de los estándares de seguridad para la seguridad y la viabilidad económica de sus plantas", dice. Los principales estándares que sigue la industria de procesos son IEC 61508 e IEC 61511 para seguridad, y el estándar de seguridad cibernética IEC 62443.

Horch cree que cumplir con estos est√°ndares es tan importante para defenderse contra los ataques cibern√©ticos como lo ha sido para mejorar la seguridad. "Por seguridad, ha funcionado brillantemente durante 50 a√Īos", dice. ‚ÄúSin embargo, por seguridad, el est√°ndar es necesario, pero no suficiente. Dado que la amenaza cambia constantemente, la seguridad tambi√©n debe verificarse constantemente, no solo por su funci√≥n, sino tambi√©n por su eficacia ".

Este panorama en constante cambio es quiz√°s la forma m√°s crucial en la que la ciberseguridad difiere de la seguridad como tal. "En seguridad, nos esforzamos por comprender el proceso f√≠sico y c√≥mo varias fallas en la operaci√≥n o dise√Īo podr√≠an crear condiciones peligrosas", explica Duran en ABB. ‚ÄúLuego, dise√Īamos mitigaciones. Por lo general, no esperamos que se materialicen nuevos modos de falla.

Con la ciberseguridad, la situaci√≥n es diferente. "Tenemos que lidiar con intenciones maliciosas, lo cual es muy impredecible", dice Donovan Tindill, un experto en ciberseguridad de Honeywell Connected Enterprise. "Se trata m√°s de la naturaleza de la amenaza. ¬ŅCu√°les son las capacidades y motivaciones de los atacantes y c√≥mo se comparan con la ciberseguridad para proteger el sistema de control?

Adem√°s de estos factores, las estrategias utilizadas por los atacantes tambi√©n evolucionan constantemente, lo que dificulta la predicci√≥n de la probabilidad de √©xito o fracaso de cualquier ataque. En consecuencia, los dise√Īadores de procesos y seguridad generalmente no pueden confiar en un conjunto de estad√≠sticas similares a los datos sobre fallas de equipos que est√°n disponibles para la ingenier√≠a de seguridad.

Otro factor que contribuye a la imprevisibilidad de los ataques cibern√©ticos es la evoluci√≥n constante de la tecnolog√≠a. "Cada vez que se inventa una nueva tecnolog√≠a, como la computaci√≥n en la nube, los dispositivos m√≥viles y la computaci√≥n cu√°ntica, presenta un nuevo conjunto de desaf√≠os de ciberseguridad", se√Īala Tindill. Se deben desarrollar e integrar nuevos controles para la protecci√≥n y detecci√≥n en los procesos y la tecnolog√≠a del negocio

La imprevisibilidad de los ataques cibern√©ticos significa que los dise√Īadores realmente se protegen contra los diferentes tipos de error. "La seguridad funcional se ocupa esencialmente de errores aleatorios, mientras que los ataques de seguridad tienen m√°s probabilidades de ser errores sistem√°ticos debido a debilidades", dice Horch.

Estas diferencias fundamentales conducen a diferentes estrategias de implementación. "La seguridad generalmente se realiza una vez, y la efectividad de las medidas tomadas se verifica regularmente", dice. "La seguridad debe hacerse constantemente, porque el riesgo cambia constantemente".

"Debe seguir evaluando el panorama de amenazas, as√≠ como los indicadores de sondeo", agrega Duran en ABB. ‚ÄúEsto significa monitoreo activo de firewalls perimetrales y redes del sistema. Tambi√©n significa una participaci√≥n activa con la comunidad de ciberseguridad del sistema de control industrial para compartir informaci√≥n y aprender sobre las tendencias para que pueda prepararse y adaptarse‚ÄĚ.

Lecciones de ciberseguridad desde el √°rea de seguridadEl profesor Stuart Madnick (izquierda) y el estudiante graduado Shaharyar Khan, trabajando con el profesor James Kirtley (no se muestra), encontraron varias vulnerabilidades cuando aplicaron el m√©todo de seguridad cibern√©tica del MIT en esta peque√Īa planta de energ√≠a. La planta es susceptible a los ataques cibern√©ticos porque utiliza software, en lugar de dispositivos mec√°nicos, para evitar que las turbinas excedan sus l√≠mites de control. Cr√©dito de la foto: Stuart Darsch

Un nuevo enfoque

Teniendo en cuenta estas diferencias clave, los investigadores contin√ļan aprovechando las similitudes entre seguridad y ciberseguridad para aplicar las lecciones aprendidas. Un resultado de esta b√ļsqueda ha sido la seguridad cibern√©tica, un m√©todo anal√≠tico de arriba hacia abajo desarrollado en el Instituto de Tecnolog√≠a de Massachusetts (MIT). Este m√©todo es una adaptaci√≥n de un modelo desarrollado por Nancy Levering en el MIT hace15 a√Īos para analizar accidentes de todo tipo.

Este nuevo m√©todo de seguridad cibern√©tica tiene cuatro pasos, seg√ļn Stuart Madnick, profesor del MIT y director fundador de Ciberseguridad en el Consorcio Sloan del MIT. El primer paso es identificar exactamente qu√© debe protegerse en el proceso. La idea es identificar p√©rdidas inaceptables y los riesgos clave que podr√≠an conducir a ellas.

Desafortunadamente, este ejercicio no es uno que la mayor√≠a de las compa√Ī√≠as hacen regularmente. "Cuando preguntas cu√°les son las funciones m√°s importantes en tu negocio, la mayor√≠a de los ejecutivos tropiezan, tratando de pensar con claridad", informa Madnick. "Y si te dan una respuesta, a menudo cambian de opini√≥n en retrospectiva". En consecuencia, enfatiza la necesidad de tomarse el tiempo por adelantado para identificar cuidadosamente lo que necesita ser protegido.

Una vez que una empresa realiza este ejercicio, el segundo paso en el m√©todo de seguridad cibern√©tica del MIT es desarrollar un modelo de qui√©n o qu√© controla las actividades que ocurren en cada funci√≥n. Esta jerarqu√≠a de control debe incluir cada influencia, ya sea mec√°nica, computarizada o humana. ¬ŅQui√©n o qu√© determina el estado de la actividad en cuesti√≥n? Entonces, ¬Ņqui√©n o qu√© controla ese controlador? Y las preguntas contin√ļan recursivamente en cada nivel de supervisi√≥n m√°s alto en la jerarqu√≠a de control, hasta el conjunto ejecutivo e incluso m√°s all√° de los organismos reguladores externos.

Los ingenieros pueden usar esta informaci√≥n para ejecutar el tercer paso, que es identificar acciones de control que podr√≠an ser inseguras, perjudiciales o da√Īinas. Aqu√≠, Madnick dice que la clave es pensar en lo que podr√≠a hacer el proceso, en lugar de lo que se supone que debe hacer. Por ejemplo, ¬Ņqu√© suceder√≠a si una se√Īal de sensor corrupta impidiera que un controlador tomara medidas correctivas o hiciera que actuara en el momento equivocado? ¬ŅQu√© problemas se causar√≠an al cambiar una se√Īal en un variador de velocidad para hacer que el motor funcione hacia atr√°s?

El cuarto y √ļltimo paso es plantear la hip√≥tesis de c√≥mo los controladores podr√≠an interactuar para emitir comandos inseguros, dadas las acciones maliciosas de un atacante. Los analistas ahora pueden identificar nuevos requisitos que evitar√≠an los peores resultados posibles mencionados en el paso uno.

Para ayudar con este tipo de estudios, algunas compa√Ī√≠as est√°n contratando expertos externos para realizar auditor√≠as de seguridad peri√≥dicas y pruebas de amenazas. "Esto equivale a emplear proactivamente hackers para encontrar vulnerabilidades potenciales que podr√≠an ser explotadas por otros hackers", dice Horch.

Realizar simulacros regulares

Adem√°s de utilizar un an√°lisis de arriba hacia abajo para identificar los riesgos, otra mejor pr√°ctica que la ciberseguridad puede tomar prestada de los programas de seguridad es realizar simulacros regularmente. El objetivo aqu√≠ no es tanto capacitar a los trabajadores para cada tipo de ataque posible, sino establecer la mentalidad necesaria. "La mayor√≠a de los ingenieros no estudiaron ciberseguridad en la universidad, especialmente si fueron a la universidad hace m√°s de diez a√Īos", se√Īala Madnick. "Entonces, no est√° en sus mentes".

Se√Īala el ataque que un contratista descontento lanz√≥ contra la autoridad de aguas de Maroochy Shire en Australia en el a√Īo 2000. Cuando comenzaron a ocurrir la serie de derrames de aguas residuales y otros problemas, el personal simplemente asumi√≥ que los incidentes se debieron a una suerte de mala suerte. "Ni siquiera consideraron la posibilidad de haber estado bajo un ciberataque durante tres meses", dice Madnick. "Desafortunadamente, esa situaci√≥n sigue siendo cierta en muchas instalaciones de fabricaci√≥n".

Los simulacros regulares de incidentes cibernéticos pueden cambiar eso al sensibilizar al personal para que considere esta posibilidad mucho antes. "En un incidente de ciberseguridad, el tiempo que lleva detectar el comportamiento o el compromiso sospechoso del sistema y responder tiene una relación directa con la gravedad del impacto", dice Tindill.

Los simulacros tambi√©n son una buena forma de capacitar al personal de operaciones. Los simulacros no solo son una oportunidad para practicar la respuesta a los ataques, sino que tambi√©n son efectivos en la transferencia de conocimientos a personal menos experimentado. "Su persona de mayor rango puede no estar presente cuando ocurre un incidente cibern√©tico", se√Īala Tindill.

Adem√°s de los simulacros, tambi√©n aboga por otras medidas comunes en las iniciativas de seguridad, tales como seminarios educativos, recordatorios, campa√Īas de concientizaci√≥n, controles de cumplimiento y el estudio de los datos recopilados de informes basados ‚Äč‚Äčen el comportamiento y cerca de fallas.