Por Beth Stackpole
Desde el comienzo de la pandemia del COVID-19, todos nos hemos dado cuenta de los problemas de la cadena de suministro que enfrenta la industria de alimentos y bebidas y cualquier otra industria. Entre la gran escasez de productos de la era de la pandemia estuvo el caso del queso crema, que desapareció de los estantes minoristas el año pasado justo a tiempo para frenar la preparación de la tarta de queso y muchas otras delicias navideñas.
Resulta que esta escasez de queso crema no fue el producto de los problemas típicos de la cadena de suministro vistos por la industria. En cambio, un ataque de ransomware destruyó los sistemas y operaciones centrales durante varios días en octubre de 2021 en Schreiber Foods. Schreiber no solo estaba en el anzuelo por un rescate de $ 2.5 millones, sino que el ataque causó estragos en la temporada alta de producción para el gran productor de queso con sede en Wisconsin. No pudo hacer negocios como de costumbre durante días, una interrupción que se extendió a los pequeños agricultores, cooperativas y empresas que compran ingredientes de Schreiber.
Las empresas del sector de alimentos y bebidas están intensificando los esfuerzos de ciberseguridad en la planta frente a la escalada de ataques.Foto cortesía de Rockwell Automation
La ráfaga de ataques en el sector provocó una advertencia oficial de septiembre de 2021 de la División Cibernética del FBI alertando a las empresas de alimentos, bebidas y agricultura sobre la creciente amenaza, especialmente a medida que la adopción de tecnologías inteligentes y aplicaciones de Internet industrial de las cosas (IIoT) aumenta el potencial de ataque. Las empresas más grandes son el objetivo debido a su capacidad para pagar demandas de rescate más altas, advirtió la alerta. Pero las entidades más pequeñas no son inmunes porque generalmente se las considera objetivos fáciles, especialmente aquellas en la etapa inicial de la transformación digital que no son tan expertas en tecnología ni versadas en las mejores prácticas de ciberseguridad.
“Los actores de amenazas cibernéticas explotan las vulnerabilidades de la red para filtrar datos y cifrar sistemas en un sector que depende cada vez más de tecnologías inteligentes, sistemas de control industrial y de automatización basados en Internet”, se lee en el informe. “Los ataques de ransomware dirigidos al sector de alimentos y agricultura interrumpen las operaciones, causan pérdidas financieras e impactan negativamente en la cadena de suministro de alimentos. Las empresas también pueden experimentar la pérdida de información patentada e información de identificación personal (PII) y pueden sufrir daños en la reputación como resultado de un ataque de ransomware”.
Un panorama cambiante
El número cada vez mayor de ataques cibernéticos en la industria de alimentos y bebidas se produce inmediatamente después de que los actores de amenazas se dirijan a otros sectores de infraestructura crítica, muchos de los cuales están migrando de entornos cerrados (a menudo denominados jardines amurallados) a redes de dispositivos conectados, equipos, y sistemas como parte de los esfuerzos para transformar digitalmente las operaciones. Aprovechando tecnologías como la nube, IIoT, análisis avanzado e inteligencia artificial (IA) y aprendizaje automático (ML), los fabricantes en este espacio tienen como objetivo aprovechar terabytes de datos recopilados y almacenados durante mucho tiempo en equipos y sistemas industriales en conocimientos que obtendrán eficiencias, fomento de la innovación y optimización de nuevos procesos de negocio. La mayoría comparte un objetivo común: aumentar la calidad, mejorar el rendimiento y el tiempo de actividad de la planta y permitir el mantenimiento predictivo.
La pandemia mundial también provocó cambios importantes en las operaciones de fabricación que aumentaron los riesgos de ciberseguridad, ya que se utilizaron capacidades de acceso remoto para acomodar al personal que no podía estar físicamente en la planta. “Lo que se aceleró con COVID-19 fue el acceso remoto, ya que no todos podían estar en las instalaciones”, dice Marilidia Clotteau, gerente de marketing de alimentos y bebidas para el segmento de bienes de consumo empacados del proveedor de automatización Schneider Electric. “Antes todo estaba en la planta. Pero cuando comienza a tener una combinación de dispositivos locales, en la nube y conectados, existen más vulnerabilidades potenciales. Es necesario que haya una revisión constante y la implementación de barreras para garantizar que la casa esté bien mantenida, administrada y segura”.
Si bien muchos en el sector de alimentos y bebidas están hambrientos de aplicaciones de la Industria 4.0 para lograr una ventaja competitiva, a menudo, sus entornos de producción existentes no están listos para digerir las nuevas tecnologías de manera segura. La mayoría de los sistemas de control industrial, desde controladores lógicos programables (PLC) simples hasta control de supervisión y adquisición de datos (SCADA) y sistemas de control distribuido (DCS) más complejos, así como las redes industriales, se diseñaron décadas antes de que la ciberseguridad fuera una preocupación importante. Como resultado, muchos carecen de los controles básicos de encriptación, autenticación y autorización junto con las capacidades de administración de activos automatizadas que son un elemento básico de las plataformas de TI empresariales. Además, la sopa de letras de los protocolos propietarios empleados por los equipos industriales, el panorama de los sistemas en silos y la falta de herramientas de monitoreo de nivel empresarial hacen que sea mucho más difícil proteger las redes y los activos de OT en comparación con sus contrapartes de TI empresarial.
“La mayoría de las verticales industriales y de control no se desarrollaron con la ciberseguridad como primer principio, y las plantas dependían de la empresa para proteger las operaciones”, señala Mike Lester, director de estrategia, gobernanza y arquitectura de ciberseguridad de Emerson Automation Solutions. “Ahora hay un espectro de capacidades y posturas de seguridad con las que tiene que lidiar, pero no ha sido el enfoque principal en esta industria. Eso ha sido seguridad y control, y ahora está la cuestión de la ciberseguridad”.
Si bien existen regulaciones federales y estatales que rigen la seguridad de las plantas y los equipos, aún no se extienden a los protocolos de seguridad cibernética, según el coronel John T. Hoffman, investigador principal del Instituto de Defensa y Protección de Alimentos (FPDI, por su sigla en inglés) con sede en la Universidad de Minnesota, y establecido por el Departamento de Seguridad Nacional de Estados Unidos para llevar a cabo programas de investigación, innovación y educación para reducir la interrupción del sistema alimentario. De hecho, algunas reglas de la Administración de Drogas y Alimentos de Estados Unidos (FDA), específicamente los procesos de aprobación relacionados con el cambio de dispositivos o sensores, son lo suficientemente engorrosas como para disuadir la actualización a tecnología más nueva y más segura, sostiene.
“La mentalidad en el mundo de OT es: si no está roto, no lo arregles. Y el resultado son dispositivos OT heredados dispersos a través de la producción de alimentos conectados en muchos casos de formas totalmente ilógicas”, dice Hoffman. La consolidación en la industria ha hecho que sea aún más difícil para la administración de OT y TI tener visibilidad de exactamente qué equipo hay en la planta, y mucho menos tener una comprensión completa de las posibles vulnerabilidades.
 | Lea cómo la ciberseguridad está entre las preocupaciones prioritarias de la industria en 2022. |
La cantidad de dispositivos instalados en las plantas de alimentos y bebidas no solo es un orden de magnitud mayor que en otras industrias, sino que el equipo es mucho más personalizado y variado. “Existen muchos dispositivos únicos en el mundo de los alimentos, por ejemplo, un dispositivo que corta las hojuelas de maíz en un producto terminado”, explica Hoffman. “Ese cortador puede ser exclusivo de la empresa, ha estado en uso durante 25 años y nadie quiere arreglar algo que no está roto”.
Una hoja de ruta para la ciberseguridad
Es posible que los equipos obsoletos aún estén funcionalmente operativos, pero tienen un gran déficit en lo que respecta a los controles de seguridad modernos, lo que significa que se requiere acción. Si bien la escalada de ataques ha puesto las preocupaciones de seguridad cibernética en el radar de los altos ejecutivos de las empresas de alimentos y bebidas, así como en otros sectores, todavía no es una preocupación principal para muchos. En su perspectiva de la industria para 2021, la firma de impuestos, auditoría y asesoría Mazars USA encontró que la seguridad cibernética se clasificó sorprendentemente baja como una de las principales preocupaciones para las empresas, con solo el 10% de los encuestados informando que estaban "muy preocupados" por las amenazas, entre 2019 y 2021.
Sin embargo, hay un mandato cada vez mayor para avanzar, y el primer paso es embarcarse en una evaluación de seguridad, ya sea por su cuenta o, más probablemente, con un socio calificado, para evaluar el estado actual de la infraestructura OT de la organización y definir objetivos claros de ciberseguridad. La implementación de un firewall de control y la segmentación de la red para garantizar zonas seguras debe ser una parte central de la hoja de ruta de ciberseguridad en evolución, junto con procesos estándar para la copia de seguridad periódica de los datos, incluido el espacio de aire y el almacenamiento de copias de seguridad protegidas con contraseña fuera de línea.
Un elemento central de la guía de seguridad cibernética del FBI para los fabricantes en este sector es crear un plan de recuperación para mantener y retener múltiples copias de datos confidenciales o de propiedad y servidores en una ubicación segura, segmentada y físicamente separada, una estrategia que también es fundamental para la resiliencia empresarial y continuidad. La instalación regular de actualizaciones de software, incluidos los parches para los sistemas operativos y el firmware, debe codificarse en las mejores prácticas de seguridad cibernética y el mantenimiento del sistema, dice la alerta del FBI.
En términos de la pila de tecnología, las salvaguardas de seguridad cibernética siguen siendo relativamente consistentes entre TI y OT y, de hecho, deben coordinarse como parte de un plan de seguridad holístico. La mayoría de los expertos sugieren seguir el marco de seguridad cibernética del Instituto Nacional de Estándares y Tecnología (NIST, por su sigla en inglés), un conjunto de estándares de la industria y mejores prácticas para ayudar a las organizaciones a administrar y mitigar los riesgos de seguridad cibernética. Tecnologías como el inventario y la identificación de activos, la segmentación de la red, la protección de puntos finales, la planificación de respuesta a incidentes, las capacidades de acceso remoto seguro y la detección de amenazas en tiempo real son pilares clave de una hoja de ruta de seguridad moderna.
A más largo plazo, los expertos esperan que las capacidades avanzadas, como la autenticación multifactor y el uso de IA y aprendizaje automático, también se conviertan en elementos centrales de las defensas de la planta. "Debería esperar ver un mayor uso de la IA en torno a la acción del usuario, de modo que si un operador realiza un cambio que está fuera del rango, el sistema automáticamente marcaría algo así como una posible operación no autorizada", señala Brian Fenn, director de operaciones de Avanceon, un Empresa de gestión de servicios TI e integradora de sistemas.
Más allá de las sinergias, también existen diferencias clave en los requisitos de seguridad de TI/TO. Históricamente, la seguridad de TI empresarial se ha centrado en la confidencialidad, la integridad y la disponibilidad, pero el orden se invierte cuando se ve a través de la lente de las prioridades de OT. “A la planta no le importa necesariamente la confidencialidad siempre que las operaciones sean seguras y sigan produciendo”, dice Lester de Emerson.
Específicamente, existe el problema del tiempo de respuesta a incidentes, un área en la que existen marcadas diferencias entre lo que constituye un tiempo de inactividad aceptable para los sistemas de TI en comparación con los sistemas OT. "Si soy un consultor responsable del acuerdo de nivel de servicio (SLA) de una gran infraestructura de TI de alimentos y bebidas, el correo electrónico podría estar inactivo durante ocho a 10 horas los fines de semana y no es demasiado crítico en términos de importancia monetaria", explica Brian Deken, gerente comercial de servicios conectados de Rockwell Automation. “Sin embargo, si estoy una hora abajo en el piso de la planta, podrían ser cientos de miles de dólares. Necesita algún tipo de sistema de respuesta automatizado como parte de la detección de amenazas en tiempo real para tener una respuesta y recuperación de incidentes más rápida”.
Cerrar la brecha entre TI y TO
Tradicionalmente, los esfuerzos de seguridad relacionados con OT y la tecnología de planta han estado fuera del alcance de TI y del director de seguridad de la información (CISO) de la empresa, si es que existe. Incluso si existe algo de coordinación, no ha habido mucho en el camino de una hoja de ruta formal y compartida. Esa brecha entre TO/TI debe cerrarse para salvaguardar adecuadamente los activos de la planta a medida que se sincronizan con las aplicaciones empresariales y potencialmente con las plataformas en la nube como parte de la transformación digital en curso.
Si bien la responsabilidad de la seguridad de OT variará según la empresa de alimentos y bebidas, es importante que TI y OT trabajen juntos en las iniciativas de ciberseguridad. “Cuanto mejor manejen la convergencia, mejor lo harán aquí”, dice Fenn. “Está tratando de tomar principios y conceptos del espacio de TI y asegurarse de que se apliquen de una manera desde el punto de vista de OT que mantendrá las cosas en funcionamiento y estables y no causará otros problemas en el futuro”.
Por ejemplo, los sistemas OT, que generalmente están más aislados y tienen ciclos de vida de décadas, exigen estabilidad desde el punto de vista de la producción, por lo que no se pueden administrar y actualizar de la misma manera que los sistemas de TI, donde puede enviar automáticamente un antivirus o actualización de aplicaciones, explica Fenn. Como solución alternativa, sugiere configurar un entorno de desarrollo y prueba donde OT y TI puedan trabajar a través de parches de aplicaciones y actualizaciones de antivirus para mantener los sistemas seguros sin tener que desconectar los sistemas de producción de misión crítica como parte del proceso.
“Si necesita desmantelar un sistema heredado para parchearlo, cada momento que se cae es una pérdida de dinero”, dice Guilad Regev, vicepresidente senior de éxito global del cliente de Claroty, que comercializa una plataforma de ciberseguridad industrial que incluye detección continua de amenazas y soluciones de acceso remoto seguro, entre otras capacidades. “Si crea redes de segmentación y rediseño, tiene en cuenta todos los pros y los contras”.
Mejores prácticas de ciberseguridad
Con las tecnologías fundamentales implementadas, las empresas de alimentos y bebidas pueden comenzar a ejecutar una hoja de ruta de seguridad cibernética que garantizará las protecciones adecuadas. Seguir estas mejores prácticas garantizará los mejores resultados:
Llevar a cabo una evaluación de riesgos completa. Es importante comprender lo que sucede en las redes y cómo está todo interconectado, pero también es fundamental realizar una inmersión profunda similar en el panorama cambiante desde la perspectiva de los controles y comprender completamente todos los posibles vectores de amenazas. “Identifique todos los escenarios por gravedad”, dice Sree Hameed, gerente de marketing de la industria, productos de consumo de Aveva. Dirija los controles a las máquinas con la mayor gravedad y la mayor probabilidad de incumplimiento, por ejemplo, los sistemas y las máquinas que rigen las recetas, que causarían los niveles más altos de daño si se violaran, explica.
Realice comprobaciones periódicas de mantenimiento preventivo de activos de OT. Verifique periódicamente con los proveedores para determinar cuándo se lanzarán las actualizaciones y controle regularmente los archivos de registro para detectar anomalías. De esa manera, puede detectar algo en poco tiempo cuando comienza a salir mal.
Invertir en concienciación y formación sobre ciberseguridad. No es suficiente que los profesionales de la empresa y el personal clave de la planta entiendan lo que está en juego en caso de una violación de la seguridad cibernética: la organización en general debe compartir la responsabilidad y estar versada en un plan de acción para la mitigación de riesgos. Realizar capacitaciones de concientización sobre seguridad cibernética un par de veces al año y exigir la certificación puede contribuir en gran medida a desarrollar competencias de seguridad cibernética en toda la organización. “Integre la capacitación en el desempeño de los empleados para fomentar una cultura de ciberseguridad en la organización”, dice Clotteau.
Aborde la brecha de información con nuevos talentos. Los ingenieros industriales en el sector de alimentos y bebidas comprenden los protocolos únicos, los sistemas patentados y los requisitos de tiempo de actividad de OT, pero no están familiarizados con las tecnologías comunes de ciberseguridad. Al mismo tiempo, TI obtiene seguridad cibernética, pero no tiene un conocimiento real de las operaciones de la planta. Para complicar las cosas, persiste la desconfianza entre los grupos. “Las empresas necesitan preparar algunos unicornios”, dice Hoffman de la FPDI. “Ser un especialista en seguridad de TI en un mundo OT, eso es un desafío. Las universidades pueden ayudar, pero no existe en este momento”.
