may 28, 2020
Ciberseguridad para la planta de ensamble de hoy
Al tener plantas de ensamble más conectadas, aumenta la importancia de la ciberseguridad.
Por John Sprovieri, ASSEMBLY Magazine,15 de mayo de 2020
Pulse aquí para leer el artículo completo.
12 de mayo de 2017. Hackers lanzaron un ciberataque de “ransomware” que eventualmente infectaría 300,000 máquinas en 150 países durante un periodo de tres días. El ransomware, conocido como WannaCry, congeló computadoras y bloqueó el acceso a archivos. Se forzó a víctimas a pagar rescate de $300 para recuperar sus datos. Los países más afectados por el ransomware fueron Rusia, Taiwan, Ucrania e India, pero el ataque también incidió en compañías de EE. UU., notablemente FedEx. Entre las víctimas se tuvieron universidades, compañías petroleras, proveedores de telecom y sistemas de trenes.
El virus atacó computadoras que ejecutaban versiones más antiguas del software de Microsoft que no se habían actualizado recientemente. Microsoft liberó parches en abril y de nuevo, durante el ataque para resolver una vulnerabilidad que permitía que el gusano se diseminara por las redes. Las computadoras en fabricantes y hospitales, que pueden resultar difíciles de parchar sin interrumpir las operaciones, fueron particularmente vulnerables. Efectivamente, el ciberataque detuvo o paró la producción en cinco plantas de ensamble manejadas por Renault-Nissan, incluyendo la inmensa fábrica del fabricante automotriz en Sunderland, R. U.
La firma de modelado de ciber-riesgo Cyence estima las pérdidas económicas del ciberataque en monto tan alto como de $4 millardos.
Un mes después, el 27 de junio de 2017 se dio un segundo ciberataque mayor de ransomware a nivel mundial. En ransomware, conocido como “NotPetya”, se dirigió inicialmente a instituciones en Ucrania –los expertos creen que fue un ataque de motivación política, originado en Rusia–, pero eventualmente se diseminó a Francia, Alemania, Italia, Polonia, Reino Unido y los Estados Unidos.
Inicialmente, el ataque se enfiló hacia compañías de energía, la red eléctrica, estaciones de autobuses, estaciones de combustible, aeropuertos y bancos. Pero, tal y como antes, igualmente resultaron afectados los fabricantes, incluyendo la compañía farmacéutica Merck & Co., la compañía de bienes de consumidor Reckitt Benckiser, la compañía de cuidado personal Beiersdorf, la compañía de alimentos Mondelez International.
Una evaluación de la Casa Blanca colocó el total de daños causados por NotPetya en más de $10 millardos, haciéndolo el ciberataque más destructivo de todos los tiempos.
Los ataques WannaCry y NotPetya enfatizan la importancia de la ciberseguridad hoy incluso para instalaciones, tales como plantas de ensamblaje, que parecieran ser objetivos menos deseables para hackers que, digamos, bancos, tiendas y compañías de seguros. No obstante, conforme las plantas de ensamble se hacen más conectadas digitalmente lo mismo a proveedores que a clientes, la amenaza potencial que configuran los ciberataques solo se hará peor.
Ciberamenazas en las plantas de manufactura
“El trabajo de la dirección de planta es garantizar la producción en línea con el plan de negocio y evitar tiempo improductivo no planeado. Para hacer eso, no solo deben de contar con una estrategia de gestión de planta, sino también con un sólido plan de ciberseguridad industrial”, indica Maurizio Milazzo, Director de Industrial Digital Innovation and Operations Technology Security para Cybertech, una división de la compañía de software global Engineering Group. “Deben evitar el paradigma de ‘seguridad por oscuridad’. Hoy día, los fabricantes no deben de preguntarse si acaso se atacará a su planta, sino simplemente: cuándo”.
Las ciberamenazas a plantas de ensamble son reales, y las consecuencias pueden ser severas. Además de sacar de operación las computadoras huésped o mantener como rehén datos críticos, los hackers podrían, por ejemplo, simular que una máquina funciona apropiadamente cuando no lo hace. Como resultado, la máquina podría producir productos defectuosos, o tener una descompostura catastrófica.
Eso es lo que pasó en 2010, cuando el virus de computadora Stuxnet infectó los sistemas PLC en el programa nuclear de Irán, causando que las centrifugadoras giraran sin control sin activar alarmas. Antes de detectarse, el ataque pudo destruir un quinto de las centrifugadoras nucleares del país y retrasar una década su programa nuclear.
En concordancia, un o una hacker puede simular que una máquina necesita mantenimiento cuando no es así. EL acceso remoto a redes o equipo de una compañía también podrían resultar comprometidos. “Un hacker puede acceder a un enrutador, un PLC, un sensor IoT o una PC industrial para navegar desde la red industrial a la red de TI, y entonces obtener acceso a datos sensibles sobre la producción, propiedad intelectual, datos de cliente o datos de hoja de resultados”, indica Milazzo.
Evitar ataques con ciberseguridad
La prevención de ciberataques requiere un esfuerzo conjunto entre los equipos de Tecnología de operaciones (OT) y de Tecnología de información (TI). Para algunas plantas de ensamble, eso sería una nueva forma de hacer las cosas. Tradicionalmente, los roles en plantas de ensamble habían sido distintos. El equipo de operaciones ejecutaba y mantenía el equipo de producción. El equipo de TI era responsable de la seguridad de la red corporativa.
“Esa es una razón por la cual la ciberseguridad en las plantas de ensamble es tan difícil”, anota Eddie Chang, Vicepresidente de Gestión de ciber riesgos en The Travelers Companies Inc. “Una vez que el piso de producción se integra más a internet, los roles se hacen menos definidos. Las compañías necesitan pensar por adelantado y determinar cuáles son las líneas de responsabilidad. Al final del día, tendrá que ser una labor de equipo”.
Bindu Sundaresan, Directora de Ciberseguridad para AT&T, está de acuerdo. “Los fabricantes de hoy practican la ciberseguridad con base a riesgos”, nos dice. “Ya no es solo la responsabilidad del departamento de TI. Los fabricantes se percatan de que un ataque en la infraestructura de tecnología de operaciones puede tener implicaciones amplias para el negocio, así que prestan más atención a los activos de red, tales como servidores de estación de trabajo, HMIs y PLCs”.
Muchas compañías grandes tienen un centro de operaciones de seguridad de información, un sitio en el que los sistemas de información corporativa (sitios web, aplicaciones, bases de datos, centros de datos y servidores, redes, equipos de escritorio y otros nodos) se monitorean, direccionan y defienden. Empero, así como con otros tipos de trabajo calificado, los fabricantes tienen dificultad para encontrar ayuda cualificada. De acuerdo con una encuesta de 2020 por parte de la Information Systems Audit and Control Association, un 69 por ciento de las compañías dijeron que sus equipos de ciberseguridad tienen menos personal del requerido, 58 por ciento tienen posiciones de ciberseguridad sin ocupar, y 32 por ciento dijeron que les toma seis meses para ocupar puestos de ciberseguridad.
“La mayoría de plantas de ensamble no tienen el expertís para atender la seguridad de tecnología de operaciones, así que simplemente delegan la responsabilidad de ciberseguridad a sus vendedores de automatización”, reporta Milazzo. “Más, ¿es eso una buena política?”. Con todas y todos en la misma página, el siguiente paso es realizar una evaluación Base de ciberseguridad en las instalaciones. La evaluación habrá de cubrir tanto seguridad de información como seguridad operativa.
“La seguridad de información se refiere a identificar y proteger su información, sea esta lo que sea”, dice Jeff Williams, Program Manager for Cybersecurity en el Michigan Manufacturing Technology Center, el afiliado de Manufacturing Extension Partnership (MEP) en Michigan. “¿Con qué información cuento? ¿Por qué es importante? ¿Qué debiera hacer con ello? ¿Qué pasará a mi negocio si algo le pasara? ¿Toda persona que toca esa información, realmente necesita tocar esa información? O, ¿es que estoy compartiendo demasiada información en el piso de producción, cuando tan solo necesitan una pequeña porción de ella para producir mi objeto? La seguridad operativa se relaciona con operaciones de negocio básicas. Si fallase esta máquina CNC crítica, ¿qué pasaría con mi negocio en conjunto? ¿Puedo restaurar la máquina a una posición en la que pueda continuar trabajando? ¿Conozco qué hacer o a quién contactar? Si una computadora ejecuta mi equipo, ¿hay una forma fácil para recuperar y restaurarla?”.
Tales evaluaciones a menudo son experiencias que le abren los ojos a la dirección. Williams recuerda haber solicitado a un director inventariar todas las computadoras en su piso de producción. Tras la compleción de la tarea, el director se percató de que tres cuartos de las computadoras en su fábrica corrían con sistemas operativos no actualizados.
El equipo con controladores o software propietarios es otra luz roja, advierte Williams. “Uno de nuestros clientes tenía una máquina propietaria que falló”, recuerda. “La compañía no contaba con software de recuperación para restaurar el controlador, y el fabricante de la máquina ya no operaba. Eventualmente, la compañía pudo rastrear el software, más, para entonces, la máquina había estado sin operar más de un mes. Una vez que la compañía tuvo el software, la máquina estaba en operación nuevamente en cuestión de 30 minutos. Si la compañía hubiera contado tempranamente con el software, se podría haber evitado mucho tiempo ocioso”.
Tanto como los ingenieros crean mapas de flujo de valor para implementar la manufactura lean, los fabricantes deberán crear mapas de flujos de datos para mejorar la ciberseguridad. “Comience con el flujo de datos”, expresa Sundaresan. “Y, ¿qué tipos de datos rastrea? ¿Qué datos ingresan? ¿Qué datos salen? ¿Dónde están las interfaces?”.
Paralelo a los ensambladores aprovechando el Industrial Internet of Things, los ingenieros deberán tomar decisiones sabias acerca de la tecnología. “Antes de que se apresure a Best Buy y adquiera algún dispositivo habilitado para Internet, piense sobre el impacto total que este dispositivo podrá tener en su operación”, avisa Williams. “¿Podrá mantener el dispositivo a largo plazo? Es de una marca de confianza, ¿o se trata de una compañía que quebrará en seis meses? ¿Se puede actualizar fácilmente? ¿Podrá determinar si el dispositivo resulta comprometido?”.
Afortunadamente, hay disponible una variedad de recursos para ayudar a los fabricantes a navegar por el salvaje nuevo mundo del IIOT. Lo primero que deberán hacer los fabricantes es verificar que sus plantas cumplan con estándares y regulaciones nacionales e internacionales, expresa Milazzo. Estas incluyen el marco de ciberseguridad desde el Instituto Nacional de Estándares y Tecnología (NIST), las recomendaciones de inteligencia de ciberataques de la Estrategia de Inteligencia Nacional, y el estándar ISA/99 IEC 62443 para ciberseguridad de redes industriales de la Sociedad Internacional de Automatización.
La observancia de tales estándares no es solo algo útil, sino que es obligatorio para ensambladores que desean negocios de contratista para defensa. NIST también ofrece estándares y guía lo mismo para fabricantes que consumidores de dispositivos IOT. El verano pasado, la agencia publicó Core Cybersecurity Feature Baseline for Securable IoT Devices, y en enero, publicó Recommendations for IoT Device Manufacturers: Foundational Activities and Core Device Cybersecurity Capability Baseline.
“Esta guía ‘Core Baseline’ ofrece algunas recomendaciones respecto a lo que debiera hacer un dispositivo IoT y qué características de seguridad deberá poseer”, dice Mike Fagan, científico de computadoras del NIST y uno de los autores de la guía. “Esta está dirigida a una audiencia técnica, pero esperamos ayudar a los consumidores lo mismo que a fabricantes”. Los centros MEP estatales pueden ofrecer ayuda invaluable a fabricantes, al igual que los proveedores de servicio de internet (ISPs), como AT&T. Los ISPs pueden proporcionar evaluaciones basadas en riesgo, rastreo de TI y OT, y otros servicios para mejorar la ciberseguridad. “Muchos fabricantes no conocen su nivel base de tráfico de internet”, apunta Sundaresan. “Pero, si sabes cómo luce lo normal, entonces podrás detectar el tráfico anómalo”.
El software también puede ayudar. Entre otras cosas, el software de ciberseguridad puede seguir la pista de activos y versiones de software; detectar anomalías en el tráfico de internet; asegurar y segmentar redes de fábrica, y proporcionar control de acceso y protección de puntos finales. Si bien es importante tener computadoras, controladores y software actualizados, los ensambladores también necesitan tratar el factor humano. “Una de las mayores vulnerabilidades de las plantas son las personas”, dice Milazzo. “Para atender eso, la dirección necesita preparar cursos de capacitación sobre estándares de ciberseguridad y realizar pruebas de Phishing y otros juegos que apuntan a la concienciación de ciberseguridad de empleados”.
Planear para lo peor, y estar preparados
Optimistamente, su planta de ensamble jamás será víctima de un ciberataque. Más, en manufacturas, así como en la vida, las y los ingenieros deberán esperar lo mejor y prepararse para lo peor. Los fabricantes pueden emprender pasos para mitigar los efectos de un ciberataque.
Lo más importante es contar con un plan de recuperación. “Es definitivamente mejor estar preparados para un ataque que estar en modo reactivo. Usted no desea estar descifrando para tan solo saber qué hacer a continuación”, nos dice Sundaresan. “Deberá tener un plan de respuesta incidentes, y deberá probar ese plan contra amenazas potenciales que vendrán tanto del aspecto de TI como el aspecto de OT. Entre más pueda responder a una transgresión, más podrá limitar su impacto y restituir su operación a la normalidad”.
El respaldo de datos críticos es otra medida fácil y obvia, si se la hace bien. Williams recuerda ayudar a un fabricante que había sido víctima de un ataque de ransomware. El ataque, si bien problemático, no debiera de haber sido desastroso, ya que la compañía respaldaba datos regularmente. No obstante, cuando la compañía intentó restaurar los datos perdidos, descubrió que el sistema de respaldo no había trabajado bien. “La compañía jamás validó los datos que respaldaba”, dice. “Eso es particularmente importante hoy, con tanta gente trabajando desde casa”.
Si bien el apuntalar la ciberseguridad requerirá de cierta inversión capital, el desembolso podría no ser tan malo como temen los directores. Y, ticamente cuestan menos que un ciberataque. “Las inversiones en infraestructura TI y OT pueden pagar por sí mismas rápidamente, tan solo en términos de mejoras al proceso de negocio completo”, dice Williams. “Además, una vez que los fabricantes identifican dónde están sus necesidades críticas, pueden comenzar a presupuestar para tales inversiones al paso del tiempo”.