Por David Miller
La industria 4.0 y la Internet industrial de las cosas (IIoT) han abierto vastos horizontes de nuevas eficiencias de producción para fabricantes de todo tipo a través de la adquisición y el análisis de datos. Sin embargo, la adopción de estas tecnologías puede ser un arma de doble filo si no se implementa correctamente. A medida que el software y los dispositivos hasta el nivel del sensor se transforman cada vez más en posibles puertas de enlace de red, pueden aparecer vulnerabilidades de ciberseguridad nunca antes vistas.
Cada vez más empresas están conectando sistemas de control industrial (ICS, por sus siglas en inglés) previamente aislados al nivel empresarial para permitir todo, desde análisis de datos de nivel superior y acceso remoto hasta simulaciones de gemelos digitales. Con el COVID-19 expandiendo la necesidad de conexión remota, se espera que esta tendencia se acelere.
Estas crecientes conexiones son parte de la razón por la que la última década ha sido testigo de una explosión de preocupaciones de ciberseguridad, con el mundo testigo de amenazas a todos los sectores imaginables de la industria, desde el petróleo y el gas y la fabricación en general hasta la infraestructura eléctrica crítica.
Los atacantes detrás de estas incursiones van desde delincuentes organizados que intentan robar propiedad intelectual o información personal con fines de extorsión; hackers activos que pretenden destruir activos críticos y causar caos para atraer la atención del público; empleados actuales y anteriores descontentos; e incluso actores extranjeros respaldados por el Estado que participan en actividades de espionaje con fines políticos. Y aunque los ataques a infraestructura crítica como la red eléctrica o las instalaciones de tratamiento de aguas residuales son más comunes, la amenaza para los fabricantes también es real.
A pesar de que los líderes de la industria como Kellogg's están invirtiendo más recursos para proteger su red y sus activos y compartir sus conocimientos, aún queda mucha incertidumbre. Según una encuesta de Deloitte de 2019 a más de 4.200 profesionales, cuando se les preguntó qué tan seguros estaban de que los productos conectados, los dispositivos u otras "cosas" de su organización eran seguros, solo el 18% dijo que se sentía muy seguro, mientras que el 51% dijo que tenían algo de confianza, el 23% dijo que no estaba seguro y el 8% dijo que no tenía ninguna confianza.
Para aquellas organizaciones que caen en las últimas categorías, Ilan Shaya, CEO de ICS Security, una compañía que desarrolla medidas de seguridad para sistemas de control industrial, recientemente compartió sus "10 mandamientos" de ciberseguridad durante la Ignition Community Conference de Inductive Automation.
Los "10 mandamientos" de seguridad cibernética de Ilan Shaya llegan en un momento en que el aumento del acceso remoto, la proliferación de sensores y las redes de planta a empresa están creando preocupaciones sin precedentes sobre la seguridad de los activos de las empresas.
Mandamiento 2: Además de determinar el nivel de riesgo que presenta cada conexión y tomar medidas para protegerla, Shaya recomendó que los operadores se pregunten si cada conexión es realmente necesaria para minimizar las vulnerabilidades potenciales siempre que sea posible. Debido a que cada conexión también crea un riesgo de seguridad asociado, las redes SCADA deben aislarse del nivel empresarial tanto como sea posible. En los casos en los que exista una necesidad real de que los ICS se integren con la red empresarial, se debe utilizar una zona desmilitarizada (DMZ) o un almacén de datos. Además, las conexiones restantes deben someterse a pruebas de penetración y análisis de vulnerabilidad.
Mandamiento 3: Debido a que los sistemas pueden estar expuestos a ataques por los servicios de red predeterminados, Shaya enfatizó que, además de limitar los puntos de acceso, los servicios de red innecesarios también deben eliminarse o desactivarse cuando sea posible. “Los servidores y clientes SCADA no necesitan ninguna aplicación o software, sino la interfaz hombre-máquina (HMI) y sus controladores y bases de datos de lenguaje de consulta estructurado (SQL)”, dijo. "Por lo tanto, no es necesario que se ejecute ningún servicio, excepto el servicio HMI".
Mandamiento 4: Depender de protocolos patentados o valores predeterminados de fábrica también puede ser peligroso, dijo Shaya. Por ejemplo, aunque Modbus se usa a menudo para conectar controladores lógicos programables (PLC) de diferentes proveedores, hacerlo puede aumentar los riesgos de seguridad. En su lugar, Shaya recomendó usar protocolos abiertos como Profinet u OPC UA. Además, señaló que los usuarios finales deben exigir a su proveedor que revele cualquier puerta trasera que pueda permitir que su equipo interactúe con el sistema SCADA.
Mandamiento 5: En lugar de dar por sentada la seguridad, los propietarios de sistemas SCADA deben insistir en que el proveedor de su sistema implemente funciones de seguridad en forma de parches o actualizaciones de productos. Shaya ha observado que muchos sistemas no tienen ninguna medida de seguridad por defecto. Sin embargo, como algunos dispositivos SCADA más nuevos ahora incluyen funciones de seguridad básicas, los usuarios finales deben preguntar a su proveedor si pueden comprar un dispositivo o una licencia con funciones de seguridad adicionales.
Mandamiento 6: Se deben establecer fuertes controles y medidas de autenticación sobre cualquier medio que pueda funcionar como una puerta trasera en una red SCADA. Con más dispositivos móviles que se utilizan para monitorear los procesos de la planta, los puntos de acceso inalámbricos están aumentando. Según Shaya, si se van a utilizar estos dispositivos inalámbricos, se deben tomar precauciones de seguridad adicionales. De hecho, recomendó no usar una red inalámbrica a menos que sea absolutamente necesario. Si se requiere una red inalámbrica, el acceso entrante debe desactivarse siempre que sea posible, ya que no todas las redes y dispositivos de control industrial requieren tráfico entrante y saliente.
Mandamiento 7: Se deben realizar auditorías completas en todas las redes SCADA para eliminar los caminos de menor resistencia para los piratas informáticos y otros actores mal intencionados. Una vez que se identifican los problemas a través de una auditoría, se debe volver a probar todo el sistema para garantizar que se resuelvan. Shaya también recomendó documentar cuidadosamente cada punto de falla a través de documentos como hojas de cálculo de Microsoft Excel y diagramas de Microsoft Visio para facilitar la visualización, organización y accesibilidad para todas las partes interesadas.
Mandamiento 8: Debido a que cualquier sistema SCADA puede presentar un objetivo para los piratas informáticos, también se deben realizar evaluaciones de seguridad de sitios físicos y remotos. Con el acceso remoto que abarca áreas cada vez más grandes, es posible que incluso un pequeño conmutador no administrado en un sitio distante pueda ser aprovechado para obtener acceso a un sistema. El consejo de Shaya: realice una encuesta de seguridad física además de las auditorías de red, cree un inventario de todos los puntos de acceso y elimine los puntos únicos de falla. Los puntos de acceso a la red en vivo en sitios remotos y sin vigilancia nunca deben permitirse simplemente por conveniencia.
Mandamiento 9: La dirección debe establecer procesos de gestión de la configuración claros y eficaces tanto para el hardware como para el software. “Los cambios en el hardware o software pueden introducir fácilmente vulnerabilidades que socavan la seguridad de la red”, dijo Shaya.
Mandamiento 10: Si bien el objetivo es siempre prevenir las brechas de seguridad, en el caso de que ocurra, es fundamental que las empresas tengan planes preparados con anticipación para manejarla. Deben existir copias de seguridad del sistema y los planes de recuperación ante desastres deben incluir la posibilidad de un ciberataque. Según Shaya, gran parte del enfoque de una organización para esto puede depender de cuánto tiempo su sistema puede permanecer fuera de línea. Por ejemplo, si un tiempo de inactividad es aceptable, tener a mano repuestos y servidores puede ser una solución viable. Sin embargo, en el caso de que un sistema no se pueda apagar ni siquiera por un breve momento, los servidores redundantes que pueden funcionar localmente ya deberían estar en su lugar para que los operadores puedan responder de inmediato a una crisis sin inactividad.
