¬°Hub de contenido!
Acceso a contenido educativo gratis.

Gestión del riesgo de acceso remoto SCADA

Cómo el uso de redes privadas virtuales, la autenticación multifactor, las comunicaciones en serie y los dispositivos de acceso remoto dedicados reducen el riesgo de ver datos SCADA a través de Internet.

Scada Image 6202987405663
Fuente de la imagen: www.tiga.us

Uno de los mayores beneficios de Ethernet en la planta es la capacidad de conectarse de forma remota a los sistemas de aquella. Pero junto con los beneficios del acceso remoto viene el mayor riesgo de ataques cibernéticos.

A pesar de esto, cada vez más fabricantes creen que vale la pena administrar los riesgos para impulsar sus operaciones hacia el futuro y facilitar el proceso de acceso y uso compartido de datos entre sitios para una mejor toma de decisiones, así como para reducir el costo de la solución de problemas y reparaciones en el sitio: mucho de lo cual ahora se puede lograr de forma remota.

Teniendo en cuenta que un logro inicial clave de la Industria 4.0 es el acceso remoto a los sistemas SCADA (control de supervisión y adquisición), hablamos con Ben Manlongat de Outbound Technologies, un integrador de sistemas de automatización industrial para obtener más información sobre cómo los fabricantes pueden gestionar mejor los riesgos asociados con acceso remoto SCADA.

Protegiéndose contra los mayores riesgos

M√°s all√° de las preocupaciones obvias de que un pirata inform√°tico tome el control de cualquier aspecto de sus operaciones de producci√≥n, Manlongat dice que tambi√©n es importante considerar el impacto de que un extra√Īo obtenga acceso a sus datos SCADA.

‚ÄúSi alguien interceptara sus datos, ¬Ņc√≥mo podr√≠a eso afectar su negocio?‚ÄĚ pregunta Manlongat. ‚ÄúTienes que pensar en c√≥mo podr√≠as salir perjudicado si tu competidor obtuviera esa informaci√≥n. Y no piense que debido a que todo [en su sistema SCADA] es de solo lectura, todo es seguro. Si un puerto COM (comunicaciones) est√° abierto, un pirata inform√°tico podr√≠a obtener acceso a cualquier computadora port√°til en la red para acceder al puerto COM del dispositivo y luego comenzar a realizar cambios en la programaci√≥n. Y una vez que se realizan esos cambios de programaci√≥n, el pirata inform√°tico puede tomar el control de su sistema. Es fundamental asegurarse de que los puertos COM de sus dispositivos est√©n protegidos y de que no existan etiquetas de dispositivos disponibles predefinidas por el fabricante para su uso en el control de estos‚ÄĚ.

Los principales aspectos externos a considerar sobre la seguridad de acceso remoto SCADA incluyen:

¬∑        ¬ŅTiene una conexi√≥n VPN (red privada virtual) a la planta o a la red de su oficina? Si es as√≠, Manlongat recomienda utilizar la autenticaci√≥n multifactor (MFA) para que obtener su contrase√Īa no sea suficiente para acceder al sistema; un hacker tambi√©n necesitar√≠a su tel√©fono inteligente y su contrase√Īa. MFA env√≠a un c√≥digo clave especial al dispositivo m√≥vil del usuario aprobado que puede cambiar cada pocos minutos.

¬∑         ¬ŅEst√° encriptada la conexi√≥n a la red de su planta?

¬∑         ¬ŅHay alg√ļn software de terceros involucrado? En este caso, Manlongat se√Īala que ha habido grandes filtraciones de software de terceros, donde el sitio de fabricaci√≥n en s√≠ no fue pirateado directamente, pero el software de terceros se vio comprometido. En algunos de estos casos, se filtraron contrase√Īas, lo que permiti√≥ a los piratas inform√°ticos obtener acceso a la red de la empresa a trav√©s de ese software de terceros.

Los riesgos internos incluyen:

¬∑         Tener la red de su planta conectada directamente a la red de la oficina (por ejemplo, sin el uso de una DMZ).

¬∑         Seguridad del Wi-Fi utilizado en la planta y en la oficina (ver punto anterior).

¬∑         ¬ŅSus dispositivos √ļnicamente transmiten etiquetas de solo lectura? Si las etiquetas de lectura y escritura est√°n disponibles, los piratas inform√°ticos podr√≠an controlar m√°s f√°cilmente partes de sus operaciones.

¬∑         ¬ŅHay puertos de programaci√≥n de dispositivos disponibles en la red?

¬∑         ¬ŅEst√° la l√≥gica de seguridad programada en sus controladores para prevenir cualquier problema significativo?

¬ŅEs posible tener una protecci√≥n real?

Dado el nivel cada vez mayor de riesgo para los sistemas de control industrial, le preguntamos a Manlongat si era posible proteger verdaderamente un sistema SCADA que se ha conectado en red para acceso remoto.

‚ÄúLa respuesta r√°pida es s√≠, porque existen diferentes formas de configurar una red de planta conectada a Internet para acceso remoto y visualizaci√≥n de solo lectura‚ÄĚ, dice.

Seg√ļn Manlongat, si est√° buscando un acceso remoto de solo lectura sin posibilidad de control remoto: 1) No se conecte directamente a los controladores que realizan operaciones; 2) usar una VPN para conectar la planta a Internet para establecer una conexi√≥n privada y encriptada, con el tr√°fico encriptado en la VPN. Con esta configuraci√≥n, incluso si alguien pudiera acceder al tr√°fico de la red, no podr√≠a leerlo ni entenderlo; y 3) usar MFA para que, adem√°s de los requisitos de nombre de usuario y contrase√Īa, tambi√©n necesite el tel√©fono inteligente u otro dispositivo m√≥vil de la persona autorizada.

Si est√° buscando hacer acceso remoto de solo lectura y enviar datos a la nube para an√°lisis de inteligencia artificial/aprendizaje autom√°tico, Manlongat ofrece dos recomendaciones:

¬∑         Utilice un dispositivo (p. ej., un servidor o una computadora perimetral) en la planta que solo reciba datos del equipo de su planta. Este es el dispositivo al que se conectar√≠a de forma remota. ‚ÄúEste dispositivo no tendr√≠a la capacidad de realizar ninguna operaci√≥n de control porque no est√° conectado a nada para realizar ning√ļn control‚ÄĚ, dice. ‚ÄúEs solo leer informaci√≥n del piso de la planta; lo conectar√° a la VPN para enviar datos a la nube‚ÄĚ.


   Vea m√°s sobre IIoT en este video sobre los retos de las marcas en Latinoam√©rica en la adopci√≥n de Industria 4.0

¬∑         Use una conexi√≥n en serie con la computadora o el servidor perimetral. Una conexi√≥n en serie entre un dispositivo de recopilaci√≥n de datos y un controlador es "mucho menos riesgosa que una conexi√≥n Ethernet que podr√≠a proporcionar acceso al puerto COM de un controlador", afirma Manlongat.