Ciberseguridad industrial: 10 cosas que usted debe saber
Por qué importa la ciberseguridad industrial: Serie
En las semanas que vienen, revelaremos 10 preguntas que las empresas industriales formulan comúnmente al tratar el tema de ciberseguridad, en lo que toca no solo a sus redes de Tecnología de la Información (IT), sino también respecto a sus infraestructuras de Tecnología Operativa (OT). Estas son preguntas importantes que contestar. Solo de esta manera se podrá lograr la transformación digital en forma tal que no amenace severamente al negocio, sus datos intelectuales o la viabilidad de sus operaciones.
Pregunta 1: ¿Cuán preocupados deberían estar los gerentes de planta respecto a ciberseguridad?
El trabajo de cualquier gerente de planta es asegurar la continuidad de producción siguiendo el plan de negocios de la compañía, y evitar tiempos de parada no planeados, cueste lo que cueste. Para hacer eso, las y los gerentes de planta no solo deberán contar con una efectiva estrategia de gestión de desempeño de activos, sino que deberán implementar un plan de ciberseguridad Industrial confiable para sustentarle y protegerle.
Conforme las fábricas y sitios industriales continúan transformando y tornándose más digitalizados, más y más de sus activos e infraestructuras críticos se disponen conectados al Industrial Internet of Things (IIoT). Como resultado, la seguridad de su Tecnología Operativa (OT) se hace cada vez más importante, al tiempo que está cada vez más expuesta a riesgos. La gestión de planta deberá evitar la metodología “seguridad por oscuridad” para recoger los beneficios de visibilidad digital sin sucumbir a sus amenazas y riesgos. Hoy, los gerentes deberán preguntarse no si acaso sufrirán ataques sus plantas, sino cuándo.
Pregunta 2: Si un hacker pudiera acceder a la red o máquinas de una planta industrial, ¿qué podría pasar?
Una vez infiltrados, los hackers pueden hacer muchas cosas diferentes para causar estragos o interrumpir la producción. Un hacker puede simular que una máquina funciona normalmente cuando no es así, por ejemplo. Sin intervención, esto puede resultar en problemas con la salud de las máquinas a causa de exceso de trabajo, y en última instancia en daño a las máquinas o en un completo cese en la línea de producción.
De forma alternativa, un hacker puede simular que una máquina necesita mantenimiento cuando no es así, llevándoles a perder tiempo y dinero para entonces detener la producción para actividades de mantenimiento no planeadas (e innecesarias).
Un hacker también puede intentar acceder a y modificar el firmware de su Controlador lógico programable (PLC), resultando en daño a la calidad de productos y de la producción en sí, además de resultar en pérdidas financieras, costos excesivos en tiempo y materiales para preparar la producción nueva, y retrasos en la entrega.
El acceso remoto puede ser comprometido a mano de los hackers.
Finalmente, un hacker puede intentar acceder a un enrutador, un PLC, un sensor de Internet of Things (IoT) o una PC industrial para navegar desde su red industrial a su red de TI corporativa. Las redes de planta inseguras brindan una forma de entrar, de manera que aquellos puedan buscar datos sensibles de las compañías tales como información de propiedad intelectual, datos de clientes, hojas de estados financieros, etcétera.
En otras palabras, la ciberseguridad no habrá de ser una mera acotación a la digitalización de fábrica. Si los sistemas y activos de su planta no son monitoreados y gestionados de forma segura, entonces está jugando con fuego.
Pregunta 3: ¿Quiénes debieran ser responsables de la ciberseguridad en una planta industrial?: ¿El personal de Tecnología de Información (IT) o el de Tecnología Operativa (OT)?
Esto varía en un nivel compañía por compañía. La respuesta correcta depende en gran medida de un número de factores diferentes, en particular: el tamaño de la organización, la variedad de sus ecosistemas digitales y la relación entre manufactura y gestión de IT.
Históricamente, la ciberseguridad se ha considerado una función del departamento de IT. Los datos se almacenan en sistemas de computadora, así que se hace responsable al liderazgo de TI de protegerlo. Conforme una organización industrial crece y se digitalice, no obstante, luego naturalmente la complejidad y volumen de su infraestructura de OT y activos conectados siguen ese crecimiento. En casos así, resulta muy arriesgado que no haya personal capacitado dedicado a supervisar y asegurar la ciberseguridad de OT, si bien siempre en línea y comunicación con el liderazgo de IT y negocio. De hecho, hemos visto a organizaciones de manufactura grandes crear con éxito comités directivos plenamente dotados, dedicados a la ciberseguridad de los sistemas de control industrial de la compañía. Estos comités se componen típicamente de automatización de fábrica, gestión de riesgo y personal de IT, con el grupo de automatización liderando. Las organizaciones más grandes, por otra parte, ponen la ciberseguridad de OT en las manos de un Director(a) de Seguridad Información en Jefe dedicado (Chief Information Security Officer - CISO).
¡Como nota final!: La ciberseguridad es responsabilidad de todos. El hecho es que la gente representa el riesgo mayor a la seguridad de sus sistemas y activos. No los hackers o piratas informáticos, sino los propios empleados. Los ataques modernos ahora se realizan en niveles múltiples, y ya no son meramente técnicos. Si usted no invierte en educar y preparar a todo el personal relacionado con sus redes de planta digital al respecto, los cibercriminales podrán, de hecho, usarán a sus empleados en contra suya –aunque la mayoría de estas personas no tendrán la más mínima idea de que estarían haciendo algo incorrecto–.
Pregunta 4: ¿Dónde debieran comenzar las empresas industriales al evaluar el nivel de ciberseguridad en una planta?
¿En dónde comienza el viaje de ciberseguridad OT industrial? Primeramente, y antes de las soluciones, la administración necesita verificar que tanto sus plantas de producción y compañía cumplan con las regulaciones de ciberseguridad gubernamentales, así como de la industria. El cumplimiento de las regulaciones es el primer paso hacia la seguridad, porque obliga a las compañías a auditar y entender sus propios procesos internos. Con la mayor frecuencia, esta acción abre los ojos hacia comportamientos y procedimientos riesgosos de los que probablemente no estaban enterados.
Algunas regulaciones en el alcance de esta evaluación habrán de ser:
- NIST (National Institute of Standard and Technology) Cybersecurity Framework;
- NIS (National Intelligence Strategy) for Cyber Threat Intelligence;
- ISA/99 IEC 62443 Standard for Cybersecurity of Industrial Networks.
Ya que el conocimiento a profundidad de estos estándares y regulaciones rara vez está presente internamente dentro de las empresas industriales, los fabricantes deberán comenzar con una evaluación soportada por expertos certificados en ISA/99 IEC 62443. Esta es la única forma para asegurar un análisis amplio, completo y certero que identifique todos de entre los grandes riesgos y vulnerabilidades que amenazan su tecnología operativa actualmente. Vea nuestro webinar para conocer más.
Pregunta 5: ¿Cuáles son los mayores puntos débiles para la ciberseguridad dentro de una instalación industrial?
Una planta puede tener muchas vulnerabilidades. Por ejemplo, una versión antigua del software PLC en uso. Una PC con SO Windows XP instalado, pero sin parches para reducción de riesgo de parada en producción. Comportamiento no monitoreado de personal externo de ingeniería o mantenimiento con acceso a la planta. Automatización. Segmentación incorrecta (o peor, faltante) de la red. Y la lista sigue.
Una de las vulnerabilidades más grandes, y de las más ignoradas, es el factor humano. Las personas representan la mayor amenaza a la seguridad de su planta, y a menudo no es porque debiliten maliciosamente el protocolo, sino por falta de concienciación. Existe una solución fácil para esto. Para poder mitigar el riesgo humano, la administración deberá de mantener a sus empleadas y empleados informados y educados acerca de los procesos de seguridad esperados en el trabajo, y hacerlo continuamente. Pueden establecer cursos de capacitación sobre las mejores prácticas y estándares de ciberseguridad. Pueden lanzar campañas sobre phishing y organizar competencias de ciberseguridad, promoviendo la participación de empleados. Cuando se integra a la gente exitosamente a su marco de ciberseguridad, en vez de mantenerles fuera de tal, la vulnerabilidad de la planta se reduce grandemente.
Pregunta 6: ¿El o la gerente de planta necesita preocuparse por un robot o centro de maquinado? ¿El equipo antiguo necesitará remplazarse para hacerle seguro?
El primer elemento a considerar aquí es el equipamiento físico en sí. Los gerentes de plantas no necesitan preocuparse de robots conectados y centros de maquinado, si es que están al día con los protocolos de seguridad. El equipo antiguo no necesitará remplazarse en anticipación de ciclos de vida de mantenimiento de activos esperados, siempre y cuando sea posible asegurar la detección de amenazas. Muchas vulnerabilidades de máquinas en las plantas de manufactura hoy en día se relacionan con versiones de software antiguas que están instaladas, o la falta de sistemas operativos apropiadamente soportados para modelos de automatización antiguos. Estas vulnerabilidades pueden identificarse, atenderse y mitigarse, mediante aplicación de parches virtuales y otras soluciones, sin embargo, esto no se puede lograr sin la implementación de una estrategia integral de gestión de activos empresariales (EAM, Enterprise Asset Management).
El segundo elemento a considerar aquí son todos los actores y personas responsables del diseño, manufactura, provisión, gestión, mantenimiento y operación del equipo físico en cuestión. Con la convergencia de TI y OT, la ciberseguridad ya no resulta ser el problema de alguien más. En la era conectada de Industry 4.0, resulta la responsabilidad de todos, compartida con diseñadores de robots y fabricantes, integradores de sistemas, equipos de mantenimiento y operadores de plantas, todas y todos estos quienes pueden tener un impacto (bueno o malo) en el nivel de seguridad de la tecnología operativa. Las soluciones de gestión de desempeño de activos (APM) que aseguran la rastreabilidad y cumplimiento de las regulaciones de la industria en el ciclo de vida entero de activos son la clave para la seguridad en este caso, así como la capacitación continua de personas cuyo comportamiento puede arriesgarlo.
Pregunta 7: ¿Qué rol juega el software de computadora vs el hardware en la ciberseguridad? ¿Necesitaremos invertir en hardware y/o software nuevo?
La respuesta viene pronto, ¡esté pendiente!
Pregunta 8: ¿Qué ocurre si una planta en efecto es hackeada o atacada? ¿Qué se debiera hacer? ¿Cómo debieran prepararse las plantas para tal posibilidad?
La respuesta viene pronto, ¡esté pendiente!
Pregunta 9: ¿Qué nos depara el futuro? ¿Las amenazas de ciberseguridad mejorarán o empeorarán?
La respuesta viene pronto, ¡esté pendiente!
Pregunta 10: ¡Ayuda! ¿Qué puede ofrecer Engineering en términos de soluciones y soporte para la ciberseguridad industrial?
La respuesta viene pronto, ¡esté pendiente!
Nuestro experto en ciberseguridad industrial
Maurizio Milazzo es el Director de Seguridad de Tecnología Operativa (OT) para Industries Excellence Global y el Director de Innovación Digital Industrial y Seguridad de Tecnología de Operaciones para Cybertech, una división de Engineering Group.
