Aproximación a la ciberseguridad en la Industria 4.0: la era de las máquinas conectadas

Gabriel Álvarez Corrada    19 octubre, 2020
Aproximación a la ciberseguridad en la Industria 4.0: La era de las máquinas conectadas

¡No salgáis corriendo todavía! Esta era no va de máquinas que esclavicen a la humanidad (por lo menos, de momento no…) sino de la introducción de elementos (dispositivos IOT, entornos cloud, IA, Big Data, SIEM, IDS…) en los sistemas de control industrial (ICS) que mejoren su operación, mantenimiento, eficacia, eficiencia… y su seguridad. Pero… ¿qué es la Industria 4.0?

Fuente: Industria Conectada 4.0, Informe: La transformación digital de la Industria Española  https://www.industriaconectada40.gob.es/SiteCollectionDocuments/informe-industria-conectada40.pdf

“Industria 4.0: Se refiere a la cuarta revolución industrial, que se basa en la disponibilidad en tiempo real de toda la información relevante al producto, proporcionada por una red accesible en toda la cadena de valor, así como la capacidad para modificar el flujo de valor óptimo en cualquier momento”.

Esto se logra a través de la digitalización y la unión de todas las unidades productivas de una economía. Para ello es necesaria la fusión de tecnologías tales como Internet de las Cosas (IoT), computación y cloud, big data y ciberseguridad, así como las complementarias: móvil, analytics, M2M, impresión 3D, robótica y comunidad/ compartición”. (Fuente: https://www.industriaconectada40.gob.es/)

Ya en el año 2015 el actual presidente de Telefónica, José María Álvarez-Pallete, en el Ministerio de Industria, Energía y Turismo tenía clara la visión:

“Esta cuarta revolución industrial surge de la unión de la industria y el mundo físico con el mundo de las telecomunicaciones y del software, […] la fusión entre el mundo “normal” y el mundo lógico, y supone un salto cualitativo en la organización de los modelos industriales. Todo va a estar conectado, absolutamente todo.”

Dentro de los habilitadores digitales de la Industria 4.0 hay dos transversales e indispensables para la transformación digital y su camino hacia la industria del futuro:

  • La conectividad, base de la nueva industria conectada y la que garantiza la disponibilidad en tiempo real de la información relevante.
  • La ciberseguridad, como resultado de la anterior: la interconexión aumenta la superficie de exposición y, por lo tanto, el riesgo.

Es en este camino hacia la digitalización y la conexión de los procesos industriales cuando la ciberseguridad se hace necesaria en las tecnologías de la operación (OT por sus siglas en inglés).

¿Qué son los sistemas OT?

Entendemos como OT aquellas tecnologías y procesos de control relacionados con la producción, tradicionalmente aisladas y que ahora se conectan a las redes corporativas: ahora los dispositivos se conectan a la red IT (tecnologías de la información por sus siglas en inglés) corporativa, con el objetivo de que la dirección de la empresa pueda tomar decisiones ágiles basadas en los datos procesados agregados de las plantas de producción. Todo ello con el objetivo de mejorar la competitividad y rentabilidad de la empresa, mejora de la eficiencia de uso de recursos, acortar plazos de entrega, personalizar producción, etc.

A medida que aumenta la conectividad, aumenta la superficie de exposición a posibles ciberataques. A este aumento de la superficie de exposición podemos añadir la falta de madurez, en cuanto a la ciberseguridad se refiere, de los procesos OT.

Un claro ejemplo sería una estación remota que consume un recurso concreto. Mantener y operar la estación tendría un coste posiblemente alto, incluyendo además la necesidad de personas onsite y controles que certifiquen su correcto manejo, mantenimiento y funcionamiento. Sin embargo, la operación de esa misma central desde un nodo que agrupase la operación de varias centrales a través de una conexión segura y una solución software reduciría drásticamente el gasto.

Además, ese software puede permitir la automatización y configuración de ciertos procesos y parámetros que permitan un consumo más inteligente de los recursos (eficiencia) y que permitan afinar la producción, pudiendo mejorar su eficacia.

Ciberseguridad corporativa (IT) frente a ciberseguridad industrial (OT)

La ciberseguridad corporativa se ocupa de la protección de aquella información de la empresa procesada, almacenada y transportada por sistemas interconectados. Lo importante es el dato en base a tres parámetros:

  • La confidencialidad: protección de la información contra el acceso no autorizado y la divulgación indebida.
  • La integridad: protección ante modificaciones no autorizadas
  • La disponibilidad: protección frente a interrupciones en el acceso.

En el entorno industrial (OT) lo importante es el proceso. Hay que tener en cuenta que los procesos industriales interactúan con el mundo físico, a diferencia de lo que sucede en el ámbito corporativo. Por lo tanto, el impacto de un incidente puede tener consecuencias físicas, es decir, en el “mundo físico”, no solamente en el “mundo lógico” como vimos en la cita anterior.

Más allá de los daños económicos o de imagen, se pueden producir daños personales, medioambientales, interrupciones de la producción, paradas de planta, o lo que sería más preocupante: alteraciones en la calidad de los productos finales. En este caso:

  • La integridad es lo más importante: que no se alteren los datos ya que sería difícil de detectar y corregir.
  • La disponibilidad: en cuanto se detecte la no disponibilidad, se podrán tomar medidas para volver a iniciar el proceso.
  • La confidencialidad es importante pero, en general, menos que las anteriores.

En 2016, el malware Industroyer afectó a Kiev, dejándola sin suministro eléctrico. Una vez llegaba al sistema industrial, este malware tomaba el control de conmutadores y disyuntores utilizando los protocolos industriales de comunicación típicos.

El malware es tan modular que se pueden implementar modificaciones rápidamente para afectar a otro tipo de sistemas. El hecho de que los protocolos no implementaran seguridad por defecto hacía que, una vez ejecutada la infección en los sistemas IT, el control sobre los dispositivos industriales fuera “sencillo”. Por cierto, para los dispositivos afectados por el ataque había un parche de seguridad meses antes, ¿quién se acordó de actualizar?

Este ejemplo clásico refleja la necesidad de tener en cuenta la ciberseguridad en entornos IT y OT. Una vez vulnerada la seguridad de los sistemas de control, como un PC o un sistema SCADA, el malware tenía vía libre para campar a sus anchas. Los protocolos y dispositivos industriales no tenían implementada medidas de seguridad adicionales, llegando incluso a estar desactualizados. Sobre esta reflexión se pueden inferir varias medidas fundamentales para combatir los ciberataques en entornos industriales:

  • Definir medidas de seguridad en el ámbito IT que estén orientadas a proteger sistemas y dispositivos industriales.
  • Definir medidas de seguridad en el ámbito OT que permitan proteger los dispositivos y protocolos que no puedan tener implementada seguridad por defecto. Protocolos ampliamente extendidos, como Modbus (sencillo, público, pero sin seguridad definida en la capa de enlace ni en la de aplicación), requieren de medidas que mitiguen esa falta de seguridad por defecto.
  • Implementar buenas prácticas definidas en estándares como el “Cybersecurity Framework” de NIST, ISA / IEC 62443 o el Esquema Nacional de Seguridad Industrial (ENSI).

Más detalles sobre la seguridad OT

La seguridad OT generalmente cubre los controles de seguridad en torno a los Sistemas de Control de Procesos (PCS), Sistemas de Control Distribuido (DCS) y los Entornos de Control de Supervisión y Adquisición de Datos (SCADA), que también se denominan colectivamente entornos de Sistemas de Control Industrial (ICS).

El entorno OT (o ICS) utiliza sistemas y dispositivos informáticos comunes, como pueden ser servidores de autenticación, conmutadores de red basados en IP y firewalls, así como estaciones de trabajo de PC que ejecutan el software de ingeniería para administrar los dispositivos ICS.

Por último, es importante destacar el volumen de vulnerabilidades del que estamos hablando y el impacto de los ciberincidentes generados. Según el Instituto Nacional de Ciberseguridad de España, INCIBE, ya en el año 2019 se registraron 207 avisos de seguridad relacionados con el sector industrial. Las vulnerabilidades registradas a través de estos avisos eran en su mayoría (más de un 75%) de criticidad alta o muy alta (más información en https://www.incibe-cert.es/blog/seguridad-industrial-2019-cifras).

La industria 4.0 ha llegado para quedarse hasta que sea superada por la 5.0, pero los retos la ciberseguridad que plantea hacen necesario acometer acciones y desarrollar nuevas soluciones que garanticen un uso seguro de este gran avance.

Ah, se me olvidaba… ¿Qué es la ciberseguridad industrial entonces?:
Según el Centro de Ciberseguridad Industrial (CCI), “la ciberseguridad industrial es el conjunto de prácticas, procesos y tecnologías diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías”. (Fuente: http://cci-es.org/).

Bonus track

Los dispositivos industriales están muy relacionados con sectores críticos por su impacto en un país, como el sector sanitario, el ferroviario o el marítimo. Pero además del impacto en el negocio y la imagen de los afectados, ¿cómo y en cuántas formas se podría cuantificar el daño provocado por un dispositivo industrial que modificara la composición de un alimento o una bebida para hacerlos dañinos para el ser humano o para dejar sin suministro eléctrico o sin calefacción en pleno invierno a un país entero? ¿Y si fueran dispositivos relacionados con hospitales o dispositivos nucleares o militares? ¿Qué impacto tendría en el tejido productivo o en la salud de la ciudadanía?

Todos estos aspectos en cada sector merecen comentarios aparte. Pero eso es otra historia que veremos en otros posts.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *