Los centros de operación de control industrial, están sujetos a una constante demanda de incremento de productividad y disminución de costes, junto con el cumplimiento normativo; y es en este punto donde la consultoría y la tecnología, y siempre en este orden, puede ayudar a los diferentes participantes y a la propia compañía, a estar preparados ante las amenazas surgidas al interconectar el mundo OT (Operational Technology) con el mundo IT (Information Technology), y poder de esta manera, estar preparados para remediar las consecuencias de la interconexión de los dos mundos, ya sea hacia la red corporativa o hacia sistemas de terceros (mantenedores, etc.)
Actualmente, la mayoría de las empresas que tienen sistemas OT, los tienen conectados directamente a la red corporativa de manera directa, sin ningún tipo de control o vigilancia sobre los accesos, y necesitan cubrir estos puntos principalmente:
- QUIÉN
- CUANDO
- DESDE DONDE
- PORQUÉ
Con estas premisas, y teniendo en cuenta la parte de cumplimiento normativo que se aplica en cada sector, debemos tener claro, previo al diseño, los siguientes puntos:
- Necesidades operacionales
- Flujos de información
- Activos
- Pasivos
- Criticidad del ambiente
Antes de entrar en materia, os pongo un poco en antecedentes, para dar perspectiva a la necesidad real de proteger estos sistemas.
¿Son los sistemas industriales un objetivo estratégico?
Si observamos la línea de tiempo, y solo son los más representativos, hay incidentes de ciberseguridad en entornos industriales desde hace más de 20 años, si bien es cierto que los sistemas de seguridad de hace 25 años, no son como los de hoy en día y los entornos estaban separados, no se tenía en cuenta la premisa de Seguro por Definición, ya que priman la disponibilidad y la funcionalidad VS la seguridad de la empresa; y hablamos de seguridad de la empresa, dado que es ella la que se ve expuesta a estos incidentes, y es su imagen la que se daña, con el consecuente, además, impacto económico.
Como consecuencia de los últimos incidentes publicados y conocidos, y a la GDPR en menor medida, las empresas son más conscientes del riesgo que sufren y las repercusiones que pueden tener estos incidentes. Tal y cómo comentaba en la entrada anterior, un ejemplo práctico podría ser el sistema de control de una presa: si alguien se hace con el control, ¿quién le impide el cierre de compuertas para generar electricidad?, ¿qué efectos tendrían si la presa sigue soltando agua aún con peligro de desbordamiento o rotura?, ¿qué efectos y consecuencias tendrían?, no sólo serían económicos, también en infraestructura y sobre la población (“humanos”).
Problemas principales
A la hora de sentarnos a diseñar una estrategia y arquitectura, nos encontramos principalmente con estos “hándicaps”:
Elemento | Standard IT | Sistemas Industriales |
Protección del End Point | Ampliamente Utilizado | Despliegue limitado y con cautela |
Tiempo de vida del Sistema | 3-5 Años | Hasta 20 años |
Outsourcing | Práctica Aceptada | Uso limitado |
Parcheado | Regularmente | Lento – Requiere aprobación y pruebas del proveedor de la tecnología |
Gestión de Cambios | Regularmente | Requiere tiempos largos |
Retraso en Trabajos | Tolerable en ciertos casos | Puede tener grave impacto |
Concienciación y Habilidades en Seguridad | Buena | Limitada entre los operadores remotos |
Testeo de Seguridad | Extendido | Limitado y con cautela |
Seguridad Física | Atendido, Presencial | Buena, puede existir sistemas desatendidos (cámaras, sensores, etc) |
Monitorización | Extendida, se controlan todos los posibles puntos de problemas. | Se monitoriza solo la actividad “física” de la industria, temperatura elevada de un reactor, funcionamiento de las compuertas. Pero no se vigila, esas comunicaciones, ni quien accede. |
Teniendo claro estos “hándicaps”, los puntos y las premisas necesarias para mantener el sistema seguro, planteamos como definirlo e implementarlo. Estos puntos los veremos otro día.