Gestión del riesgo de acceso remoto SCADA

Cómo el uso de redes privadas virtuales, la autenticación multifactor, las comunicaciones en serie y los dispositivos de acceso remoto dedicados reducen el riesgo de ver datos SCADA a través de Internet.

Uno de los mayores beneficios de Ethernet en la planta es la capacidad de conectarse de forma remota a los sistemas de aquella. Pero junto con los beneficios del acceso remoto viene el mayor riesgo de ataques cibernéticos.

A pesar de esto, cada vez más fabricantes creen que vale la pena administrar los riesgos para impulsar sus operaciones hacia el futuro y facilitar el proceso de acceso y uso compartido de datos entre sitios para una mejor toma de decisiones, así como para reducir el costo de la solución de problemas y reparaciones en el sitio: mucho de lo cual ahora se puede lograr de forma remota.

Teniendo en cuenta que un logro inicial clave de la Industria 4.0 es el acceso remoto a los sistemas SCADA (control de supervisión y adquisición), hablamos con Ben Manlongat de Outbound Technologies, un integrador de sistemas de automatización industrial para obtener más información sobre cómo los fabricantes pueden gestionar mejor los riesgos asociados con acceso remoto SCADA.

Protegiéndose contra los mayores riesgos

Más allá de las preocupaciones obvias de que un pirata informático tome el control de cualquier aspecto de sus operaciones de producción, Manlongat dice que también es importante considerar el impacto de que un extraño obtenga acceso a sus datos SCADA.

“Si alguien interceptara sus datos, ¿cómo podría eso afectar su negocio?” pregunta Manlongat. “Tienes que pensar en cómo podrías salir perjudicado si tu competidor obtuviera esa información. Y no piense que debido a que todo [en su sistema SCADA] es de solo lectura, todo es seguro. Si un puerto COM (comunicaciones) está abierto, un pirata informático podría obtener acceso a cualquier computadora portátil en la red para acceder al puerto COM del dispositivo y luego comenzar a realizar cambios en la programación. Y una vez que se realizan esos cambios de programación, el pirata informático puede tomar el control de su sistema. Es fundamental asegurarse de que los puertos COM de sus dispositivos estén protegidos y de que no existan etiquetas de dispositivos disponibles predefinidas por el fabricante para su uso en el control de estos”.

Los principales aspectos externos a considerar sobre la seguridad de acceso remoto SCADA incluyen:

·        ¿Tiene una conexión VPN (red privada virtual) a la planta o a la red de su oficina? Si es así, Manlongat recomienda utilizar la autenticación multifactor (MFA) para que obtener su contraseña no sea suficiente para acceder al sistema; un hacker también necesitaría su teléfono inteligente y su contraseña. MFA envía un código clave especial al dispositivo móvil del usuario aprobado que puede cambiar cada pocos minutos.

·         ¿Está encriptada la conexión a la red de su planta?

·         ¿Hay algún software de terceros involucrado? En este caso, Manlongat señala que ha habido grandes filtraciones de software de terceros, donde el sitio de fabricación en sí no fue pirateado directamente, pero el software de terceros se vio comprometido. En algunos de estos casos, se filtraron contraseñas, lo que permitió a los piratas informáticos obtener acceso a la red de la empresa a través de ese software de terceros.

Los riesgos internos incluyen:

·         Tener la red de su planta conectada directamente a la red de la oficina (por ejemplo, sin el uso de una DMZ).

·         Seguridad del Wi-Fi utilizado en la planta y en la oficina (ver punto anterior).

·         ¿Sus dispositivos únicamente transmiten etiquetas de solo lectura? Si las etiquetas de lectura y escritura están disponibles, los piratas informáticos podrían controlar más fácilmente partes de sus operaciones.

·         ¿Hay puertos de programación de dispositivos disponibles en la red?

·         ¿Está la lógica de seguridad programada en sus controladores para prevenir cualquier problema significativo?

¿Es posible tener una protección real?

Dado el nivel cada vez mayor de riesgo para los sistemas de control industrial, le preguntamos a Manlongat si era posible proteger verdaderamente un sistema SCADA que se ha conectado en red para acceso remoto.

“La respuesta rápida es sí, porque existen diferentes formas de configurar una red de planta conectada a Internet para acceso remoto y visualización de solo lectura”, dice.

Según Manlongat, si está buscando un acceso remoto de solo lectura sin posibilidad de control remoto: 1) No se conecte directamente a los controladores que realizan operaciones; 2) usar una VPN para conectar la planta a Internet para establecer una conexión privada y encriptada, con el tráfico encriptado en la VPN. Con esta configuración, incluso si alguien pudiera acceder al tráfico de la red, no podría leerlo ni entenderlo; y 3) usar MFA para que, además de los requisitos de nombre de usuario y contraseña, también necesite el teléfono inteligente u otro dispositivo móvil de la persona autorizada.

Si está buscando hacer acceso remoto de solo lectura y enviar datos a la nube para análisis de inteligencia artificial/aprendizaje automático, Manlongat ofrece dos recomendaciones:

·         Utilice un dispositivo (p. ej., un servidor o una computadora perimetral) en la planta que solo reciba datos del equipo de su planta. Este es el dispositivo al que se conectaría de forma remota. “Este dispositivo no tendría la capacidad de realizar ninguna operación de control porque no está conectado a nada para realizar ningún control”, dice. “Es solo leer información del piso de la planta; lo conectará a la VPN para enviar datos a la nube”.


   Vea más sobre IIoT en este video sobre los retos de las marcas en Latinoamérica en la adopción de Industria 4.0

·         Use una conexión en serie con la computadora o el servidor perimetral. Una conexión en serie entre un dispositivo de recopilación de datos y un controlador es "mucho menos riesgosa que una conexión Ethernet que podría proporcionar acceso al puerto COM de un controlador", afirma Manlongat.

Compañías en este artículo
Más en Internet Industrial de las Cosas (IIoT)