Por James R. Koelsch
La seguridad cibernética debe estar profundamente arraigada en las operaciones de manufactura, al igual que la seguridad en general. Es por eso que muchos defensores de la seguridad cibernética han propuesto durante mucho tiempo que los profesionales de la automatización exploten algunas de las similitudes entre la seguridad cibernética y la seguridad. La idea es adaptar las mejores prácticas de seguridad para defenderse contra los ciberataques.
"Hay décadas de experiencia en la aplicación de estándares de seguridad y mejores prácticas", explica Luis Duran, gerente global de productos para sistemas de seguridad de ABB. "Y esa experiencia puede ser beneficiosa para establecer nuevas mejores prácticas para tratar un problema diferente como la ciberseguridad".
"Las prácticas de seguridad ya son más entendidas y arraigadas que las de seguridad cibernética", agrega Alexandre Peixoto, gerente de producto de seguridad cibernética DeltaV en Emerson Automation Solutions. "Entonces, las comparaciones de seguridad ayudan mucho con la aceptación de la seguridad cibernética".
Estas comparaciones son posibles porque las dos disciplinas son similares en aspectos importantes. Fundamentalmente, ambos están dirigidos a gestionar riesgos que nunca desaparecen por completo. Así como el descuido o las circunstancias imprevistas pueden frustrar las prácticas de seguridad bien diseñadas, un esfuerzo concertado realizado por un atacante experto eventualmente superará incluso las mejores defensas cibernéticas.
La estrategia de seguridad general desde este punto de vista es mitigar el riesgo erigiendo varias capas de defensa, cada una dirigida a evitar que ocurran incidentes o que contengan daños si eventualmente se rompen las defensas. "Una postura de ciberseguridad efectiva para los sistemas de control industrial se basa en una táctica de defensa en profundidad, que es muy similar al análisis de capas de protección para los sistemas de seguridad", dice Peixoto.
Esto significa que, al igual que con la seguridad, la ciberseguridad debe diseñarse desde el principio en redes de control. "Con demasiada frecuencia las organizaciones de fabricación agregan defensas de ciberseguridad más tarde", observa Peixoto. "Es más costoso y rara vez es tan efectivo como incorporar la ciberseguridad en el proyecto".
La implementación de la seguridad y la ciberseguridad, además, debe ir más allá de las soluciones técnicas. "Ambos también requieren un cambio de comportamiento y cultural", explica Peixoto. "Una comprensión profundamente arraigada del ´por qué´ y el ´cómo´ entre todos en la empresa, desde la gerencia hasta el personal de la planta, es fundamental para impulsar un cambio de comportamiento significativo en la ciberseguridad".
Por lo tanto, los fabricantes deben apoyar esta estrategia mediante el desarrollo de políticas y procedimientos y la realización de capacitación periódica, como lo hacen para sus programas de seguridad. "Es primordial que el propietario del activo tenga políticas y procedimientos definidos y aplicados para que los de índole operativa sean claros y conocidos por todos en la planta", enfatiza Peixoto.
Sin embargo, tanto para la seguridad como para la ciberseguridad, la mitigación de riesgos no es realmente un destino al que se llega. En cambio, Duran en ABB lo llama un viaje, uno que requiere vigilancia continua, preparación y acción adecuada para cada etapa del ciclo de vida de cada activo. "Los usuarios deben reevaluar periódicamente las prácticas establecidas y determinar si están trabajando o no", dice.
Llamado Ciberseguridad, el método de cuatro pasos diagramado aquí describe cómo analizar la ciberseguridad de las operaciones de manufactura. Los investigadores del MIT desarrollaron este método adaptando un modelo para analizar accidentes para aplicarlo a los ataques cibernéticos en sistemas ciberfísicos. Cortesía del MIT.
A pesar de estas similitudes, la idea de utilizar la seguridad como modelo de ciberseguridad en la automatización industrial aún no se ha implementado ampliamente en la industria. Las razones tienden a girar en torno a algunas diferencias cruciales entre las dos disciplinas.
Primero, la falta de regulaciones que obliguen a la ciberseguridad. Mientras que los organismos reguladores han exigido y aplicado varias normas de seguridad en la industria durante décadas, las normas de ciberseguridad para la automatización industrial no solo son relativamente nuevas, sino que también tienden a ser voluntarias. Por lo tanto, su adopción ha dependido principalmente de la organización de fabricación y su percepción del riesgo de no implementarlas.
Recientemente, sin embargo, el Dr. Alexander Horch, vicepresidente de investigación y desarrollo y gestión de productos del Grupo Hima, ha notado una tendencia positiva. "Las empresas en la industria de procesos reconocen cada vez más la importancia de los estándares de seguridad para la seguridad y la viabilidad económica de sus plantas", dice. Los principales estándares que sigue la industria de procesos son IEC 61508 e IEC 61511 para seguridad, y el estándar de seguridad cibernética IEC 62443.
Horch cree que cumplir con estos estándares es tan importante para defenderse contra los ataques cibernéticos como lo ha sido para mejorar la seguridad. "Por seguridad, ha funcionado brillantemente durante 50 años", dice. “Sin embargo, por seguridad, el estándar es necesario, pero no suficiente. Dado que la amenaza cambia constantemente, la seguridad también debe verificarse constantemente, no solo por su función, sino también por su eficacia ".
Este panorama en constante cambio es quizás la forma más crucial en la que la ciberseguridad difiere de la seguridad como tal. "En seguridad, nos esforzamos por comprender el proceso físico y cómo varias fallas en la operación o diseño podrían crear condiciones peligrosas", explica Duran en ABB. “Luego, diseñamos mitigaciones. Por lo general, no esperamos que se materialicen nuevos modos de falla.
Con la ciberseguridad, la situación es diferente. "Tenemos que lidiar con intenciones maliciosas, lo cual es muy impredecible", dice Donovan Tindill, un experto en ciberseguridad de Honeywell Connected Enterprise. "Se trata más de la naturaleza de la amenaza. ¿Cuáles son las capacidades y motivaciones de los atacantes y cómo se comparan con la ciberseguridad para proteger el sistema de control?
Además de estos factores, las estrategias utilizadas por los atacantes también evolucionan constantemente, lo que dificulta la predicción de la probabilidad de éxito o fracaso de cualquier ataque. En consecuencia, los diseñadores de procesos y seguridad generalmente no pueden confiar en un conjunto de estadísticas similares a los datos sobre fallas de equipos que están disponibles para la ingeniería de seguridad.
Otro factor que contribuye a la imprevisibilidad de los ataques cibernéticos es la evolución constante de la tecnología. "Cada vez que se inventa una nueva tecnología, como la computación en la nube, los dispositivos móviles y la computación cuántica, presenta un nuevo conjunto de desafíos de ciberseguridad", señala Tindill. Se deben desarrollar e integrar nuevos controles para la protección y detección en los procesos y la tecnología del negocio
La imprevisibilidad de los ataques cibernéticos significa que los diseñadores realmente se protegen contra los diferentes tipos de error. "La seguridad funcional se ocupa esencialmente de errores aleatorios, mientras que los ataques de seguridad tienen más probabilidades de ser errores sistemáticos debido a debilidades", dice Horch.
Estas diferencias fundamentales conducen a diferentes estrategias de implementación. "La seguridad generalmente se realiza una vez, y la efectividad de las medidas tomadas se verifica regularmente", dice. "La seguridad debe hacerse constantemente, porque el riesgo cambia constantemente".
"Debe seguir evaluando el panorama de amenazas, así como los indicadores de sondeo", agrega Duran en ABB. “Esto significa monitoreo activo de firewalls perimetrales y redes del sistema. También significa una participación activa con la comunidad de ciberseguridad del sistema de control industrial para compartir información y aprender sobre las tendencias para que pueda prepararse y adaptarse”.
El profesor Stuart Madnick (izquierda) y el estudiante graduado Shaharyar Khan, trabajando con el profesor James Kirtley (no se muestra), encontraron varias vulnerabilidades cuando aplicaron el método de seguridad cibernética del MIT en esta pequeña planta de energía. La planta es susceptible a los ataques cibernéticos porque utiliza software, en lugar de dispositivos mecánicos, para evitar que las turbinas excedan sus límites de control. Crédito de la foto: Stuart Darsch
Un nuevo enfoque
Teniendo en cuenta estas diferencias clave, los investigadores continúan aprovechando las similitudes entre seguridad y ciberseguridad para aplicar las lecciones aprendidas. Un resultado de esta búsqueda ha sido la seguridad cibernética, un método analítico de arriba hacia abajo desarrollado en el Instituto de Tecnología de Massachusetts (MIT). Este método es una adaptación de un modelo desarrollado por Nancy Levering en el MIT hace15 años para analizar accidentes de todo tipo.
Este nuevo método de seguridad cibernética tiene cuatro pasos, según Stuart Madnick, profesor del MIT y director fundador de Ciberseguridad en el Consorcio Sloan del MIT. El primer paso es identificar exactamente qué debe protegerse en el proceso. La idea es identificar pérdidas inaceptables y los riesgos clave que podrían conducir a ellas.
Desafortunadamente, este ejercicio no es uno que la mayoría de las compañías hacen regularmente. "Cuando preguntas cuáles son las funciones más importantes en tu negocio, la mayoría de los ejecutivos tropiezan, tratando de pensar con claridad", informa Madnick. "Y si te dan una respuesta, a menudo cambian de opinión en retrospectiva". En consecuencia, enfatiza la necesidad de tomarse el tiempo por adelantado para identificar cuidadosamente lo que necesita ser protegido.
Una vez que una empresa realiza este ejercicio, el segundo paso en el método de seguridad cibernética del MIT es desarrollar un modelo de quién o qué controla las actividades que ocurren en cada función. Esta jerarquía de control debe incluir cada influencia, ya sea mecánica, computarizada o humana. ¿Quién o qué determina el estado de la actividad en cuestión? Entonces, ¿quién o qué controla ese controlador? Y las preguntas continúan recursivamente en cada nivel de supervisión más alto en la jerarquía de control, hasta el conjunto ejecutivo e incluso más allá de los organismos reguladores externos.
Los ingenieros pueden usar esta información para ejecutar el tercer paso, que es identificar acciones de control que podrían ser inseguras, perjudiciales o dañinas. Aquí, Madnick dice que la clave es pensar en lo que podría hacer el proceso, en lugar de lo que se supone que debe hacer. Por ejemplo, ¿qué sucedería si una señal de sensor corrupta impidiera que un controlador tomara medidas correctivas o hiciera que actuara en el momento equivocado? ¿Qué problemas se causarían al cambiar una señal en un variador de velocidad para hacer que el motor funcione hacia atrás?
El cuarto y último paso es plantear la hipótesis de cómo los controladores podrían interactuar para emitir comandos inseguros, dadas las acciones maliciosas de un atacante. Los analistas ahora pueden identificar nuevos requisitos que evitarían los peores resultados posibles mencionados en el paso uno.
Para ayudar con este tipo de estudios, algunas compañías están contratando expertos externos para realizar auditorías de seguridad periódicas y pruebas de amenazas. "Esto equivale a emplear proactivamente hackers para encontrar vulnerabilidades potenciales que podrían ser explotadas por otros hackers", dice Horch.
Realizar simulacros regulares
Además de utilizar un análisis de arriba hacia abajo para identificar los riesgos, otra mejor práctica que la ciberseguridad puede tomar prestada de los programas de seguridad es realizar simulacros regularmente. El objetivo aquí no es tanto capacitar a los trabajadores para cada tipo de ataque posible, sino establecer la mentalidad necesaria. "La mayoría de los ingenieros no estudiaron ciberseguridad en la universidad, especialmente si fueron a la universidad hace más de diez años", señala Madnick. "Entonces, no está en sus mentes".
Señala el ataque que un contratista descontento lanzó contra la autoridad de aguas de Maroochy Shire en Australia en el año 2000. Cuando comenzaron a ocurrir la serie de derrames de aguas residuales y otros problemas, el personal simplemente asumió que los incidentes se debieron a una suerte de mala suerte. "Ni siquiera consideraron la posibilidad de haber estado bajo un ciberataque durante tres meses", dice Madnick. "Desafortunadamente, esa situación sigue siendo cierta en muchas instalaciones de fabricación".
Los simulacros regulares de incidentes cibernéticos pueden cambiar eso al sensibilizar al personal para que considere esta posibilidad mucho antes. "En un incidente de ciberseguridad, el tiempo que lleva detectar el comportamiento o el compromiso sospechoso del sistema y responder tiene una relación directa con la gravedad del impacto", dice Tindill.
Los simulacros también son una buena forma de capacitar al personal de operaciones. Los simulacros no solo son una oportunidad para practicar la respuesta a los ataques, sino que también son efectivos en la transferencia de conocimientos a personal menos experimentado. "Su persona de mayor rango puede no estar presente cuando ocurre un incidente cibernético", señala Tindill.
Además de los simulacros, también aboga por otras medidas comunes en las iniciativas de seguridad, tales como seminarios educativos, recordatorios, campañas de concientización, controles de cumplimiento y el estudio de los datos recopilados de informes basados en el comportamiento y cerca de fallas.
