Desde la Primera Revolución Industrial del siglo XVIII hasta la actualidad, se han producido importantes cambios en la industria. La Industria 1.0 introdujo la energía de vapor y la mecanización de la producción, mientras que la Industria 4.0 ha aplicado las tecnologías de la información y comunicación en los procesos productivos. Estas etapas tienen dos cosas en común: han transformado de forma significativa la cadena de producción y se ha aumentado la complejidad necesaria para llevarlos a cabo.
Durante la evolución de la industria, también han evolucionado las necesidades de conectividad y medidas de seguridad. Originalmente, estos se diseñaban e implementaban con la única función de producir un determinado producto, centrándose únicamente en esa tarea. No requerían de conectividad más allá de los elementos de control que pertenecían a su mismo proceso productivo, por lo que se suele decir que se encontraban en entornos aislados.
En la actualidad, han aparecido multitud de tecnologías que han impulsado la convergencia entre los entornos OT e IT. Tecnologías que buscan maximizar la eficiencia de los procesos productivos y prevenir problemas en la calidad del producto, entre otras. Esto ha provocado que aquellos entornos aislados y centrados en la producción se hayan visto expuestos a entornos potencialmente inseguros donde residen riesgos y amenazas que no habían sido contempladas inicialmente y que pueden comprometer la seguridad del proceso productivo, llegando a impactar en la pérdida de vidas humanas y daños al medioambiente.
La hiperconectividad de estos entornos los ha convertido en objetivos atractivos para los ciberdelincuentes, debido a la relativa facilidad de explotación y el gran impacto que puede suponer un ataque exitoso en estos sistemas. Las infraestructuras críticas -como las redes eléctricas, los sistemas de transporte y las plantas industriales- dependen en gran medida de los sistemas OT para su correcto funcionamiento, por lo que cualquier fallo o manipulación malintencionada podría tener graves consecuencias para la seguridad pública y la economía. Además, los ciberdelincuentes pueden aprovecharse de la falta de concienciación y formación en seguridad cibernética de los usuarios de los sistemas OT para acceder a ellos y llevar a cabo sus ataques con relativa impunidad. Por tanto, es crucial prestar atención a la ciberseguridad en los entornos OT y la adopción de medidas para detectar, prevenir y mitigar los riesgos asociados a los ciberataques.
En España actualmente existe la Ley de Protección de Infraestructuras Críticas (Ley PIC 8/2011), que se complementa con el Real Decreto 704/2011 y que documenta cuales son los 12 sectores estratégicos a los que pueden pertenecer este tipo de estructuras. Además, las define como “aquellas infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”.
Por ejemplo, ¿qué ocurriría si se atacasen los sistemas de control industrial presentes en las subestaciones eléctricas de una determinada área geográfica? Esto perturbaría la distribución de electricidad en esa área, dejando sin luz a miles de personas e infraestructuras. Esto mismo ocurrió en Kiev en el año 2016, dejando sin luz a una parte de la ciudad durante 1 hora, debido a un ciberataque dirigido a la red eléctrica de la ciudad utilizando el malware Industroyer.
Los argumentos expuestos anteriormente demuestran la necesidad de aplicar medidas de seguridad necesarias sobre los entornos industriales, empezando por las propias redes de comunicaciones, debido a su papel fundamental: estas permiten a los sistemas de control comunicarse entre ellos para prevenir posibles ataques y, en caso de sufrir uno, tener la capacidad de detectarlo y dar una respuesta efectiva.
Hasta ahora y dada la naturaleza de estos entornos aislados, la principal estrategia de seguridad con la que se contaba era la seguridad por oscuridad. Esta se basa en mantener ocultos los detalles y el funcionamiento interno de un sistema o proceso de seguridad para dificultar la tarea de los atacantes. Sin embargo, ya se ha demostrado que no es una opción efectiva y no funciona para aquellos entornos que se encuentren expuestos, por lo que hay que utilizar soluciones alternativas.
El gran desconocimiento del mundo OT, su funcionamiento, sus sistemas, sus necesidades, protocolos, etc. está haciendo que esas soluciones alternativas pasen por aplicar medidas de seguridad propias de entornos IT. Estas medidas no solo son ineficaces, pues las características y necesidades de los entornos IT y OT son completamente diferentes, sino que además, pueden suponer un riesgo al afectar negativamente al funcionamiento de los procesos productivos.
Entonces, si no se puede confiar en que la naturaleza opaca de los entornos OT ni las medidas propias de los entornos IT protejan los entornos industriales. ¿Cómo se debe proceder?
El primer paso es conocer más acerca de los entornos industriales para poder elaborar una estrategia y un modelo organizacional que permita hacer frente al reto de proteger los entornos OT. Definir un plan estratégico de ciberseguridad, conocer las regulaciones y leyes aplicables, la gestión de riesgos de seguridad, la gestión de riesgos en terceros o mejorar la formación del personal en ciberseguridad son cosas que ayudarán a tomar el control del entorno industrial homogeneizando la seguridad en los diferentes sites, mejorando el rendimiento y reduciendo los riesgos e incluso los costes.
Una vez que se han entendido las necesidades de los entornos industriales y se ha elaborado una estrategia, se puede empezar a proteger el entorno OT. Para ello se recomienda elaborar un inventario completo de todos los activos ya que no se puede proteger aquello que no se conoce. Para este fin, existen soluciones de monitorización industrial que escanean la red de forma pasiva, sin interferir ni producir retardos en la red, que son capaces de identificar los diferentes activos que están conectados a la red.
Otro aspecto importante de la seguridad industrial, una vez que ya se tiene un inventario completo de los activos y se conocen los flujos de comunicación entre ellos, es la mejora de la seguridad en la red. Para ello se deberá diseñar una arquitectura de referencia que separe la red IT de la red OT y que defina una DMZ industrial que actúe como intermediaria entre ambas. Como apoyo para el desarrollo de esta arquitectura se podría utilizar diferentes estándares pensados para entornos industriales como el modelo Purdue o la ISA 95.
Al tratarse de entornos pensados con unos ciclos de vida de más de 20 años es común la existencia de equipos legacy, equipos obsoletos que se han quedado sin soporte, que trabajan con software con vulnerabilidades conocidas y para el que ha dejado de haber actualizaciones. Por esta razón la seguridad de los dispositivos finales o end-points cobra especial relevancia en estos entornos siendo necesarias la elaboración de guías de bastionado y el despliegue de soluciones antimalware desarrolladas específicamente para entornos OT.
Otros aspectos en los que se deben centrar los esfuerzos para mejorar la protección de los entornos industriales son la gestión de identidades y la seguridad desde el diseño. La gestión de identidades abarca la identificación de los diferentes actores internos o externos que deben acceder al sistema, el despliegue de soluciones que permitan el acceso remoto seguro y la aplicación de políticas que se alineen con las guías de bastionado y permitan aplicar el principio del mínimo privilegio. La seguridad desde el diseño implica poner el foco en la ciberseguridad desde el primer contacto con el fabricante definiendo unos requisitos mínimos de seguridad que estén alineados con las mejores prácticas de la industria, como el IEC 62443, y comprobando que estos requisitos mínimos se cumplen revisando los productos o el software en un entorno de pruebas físico o en un gemelo digital.
A medida que la estrategia para proteger el entorno industrial se vaya aplicando se irán desplegando diferentes tecnologías que monitorizarán el entorno industrial, detectarán amenazas y generarán alertas. La integración de las diferentes tecnologías en un SIEM y contar con un servicio SOC 24x7 con capacidades IT y OT permitirá gestionar las alertas de forma centralizada, la creación de casos de uso específicos, en aquellos entornos con mayor madurez, la automatización de las acciones de respuesta.
Por último, es importante desarrollar planes de respuesta ante incidentes que contengan las acciones que se deberán llevar a cabo ante un incidente con el objetivo de identificar la amenaza, responder de forma adecuada y recuperar la normalidad de las operaciones. Además, este plan de respuesta ante incidentes deberá permitir el análisis de lo ocurrido y la recopilación información para evitar que se repita en el futuro.
Autores:
Marc Ramiro, senior delivery consultant
Sergio Gutierrez, senior
Raúl Montalvo, consultor