Bueno comenzamos el año 2024 con nuevo post. Y siempre mirando el lado de la Ciberseguridad industrial.
Si bien ya hice uno sobre la mitigación en la industria del agua, y las ideas son fácilmente exportables hablando en entornos IIoT. Ahora lo haremos desde el lado del prisma para mitigar los cibertataques a los activos de automatización en procesos de fabricación.
Últimamente sistemas de PLC’s, HMI’s y otros, se han convertido en los objetivos más fáciles para los ciberdelincuentes.
Abordaremos algunos consejos sobre cómo podemos prepararnos para este tipo de ataques y comentaré algunos PLC del mercado con seguridad cibernética incorporada.
Como bien sabemos la manera que casi siempre se protegió a la industria de fabricación fue mediante aislacionismo respecto al mundo exterior, o un poco más avanzados en la historia, mediante conexión a redes administradas por TI, que estas, ya estaban protegidas por “firewalls”, “software” y antivirus.
Afortunadamente, durante la última década, los fabricantes de PLC han avanzado en sus esfuerzos por proteger los PLC, HMI y otros sistemas de piratas informáticos y software malicioso. Dada la previsión de la empresa de investigación sobre delitos cibernéticos Cybersecurity Ventures de que los daños causados por delitos cibernéticos alcanzarán los 10,5 billones de dólares al año en 2025, la necesidad de proteger la industria se ha convertido en una necesidad absoluta.
Cómo entender el panorama de las amenazas cibernéticas en procesos de fabricación.
Hoy por hoy en los procesos de fabricación, se combinan de manera sofisticada, sistemas de control PLC, IT y OT. Cada componente desempeña un papel clave en el mantenimiento de la eficiencia y la productividad. Y un ataque en cualquiera de estos ámbitos puede ser devastador.
La tendencia a interconectar sistemas heredados con tecnologías modernas, abre una serie de nuevos puntos de entrada aumentando así la superficie de ataque.
Frente a estas nuevas amenazas, la ciberresilencia se está convirtiendo en un tema central en la estrategia de la ciberseguridad.
Como definición, la ciberresilencia es la capacidad de una organización para resistir, recuperarse y adaptarse a los ciberataques.
Esto se produce con una combinación de muchas estrategias que previenen o minimizan el impacto de un ataque, mantienen las operaciones críticas y garantizan una recuperación efectiva y rápida.
El elemento humano en la ciberseguridad
Como siempre, el factor humano es clave y suele ser el eslabón más débil. Ataques de ingeniería social son la forma más común de ciberataque y suelen tener un éxito notable. Se ha de proporcionar formación adecuada en esta materia a los empleados, para comprender las amenazas a alas que se enfrentan, y como sus acciones pueden afectar a la ciberseguridad de la empresa.
Esto implica que hay que hacer de la ciberseguridad un parte clave de la cultura de la empresa, con comunicación clara y consistente por parte de los líderes (CISO, CIO, etc..)
Estrategias para mitigar los ataques cibernéticos:
- Evaluación y gestión de riesgos:
Siempre hay que hacer una evaluación de riesgos integral, con un control de inventario es una buena forma de empezar. Identificando y evaluando los riesgos potenciales como; contraseñas débiles, software obsoleto, conexiones de red no seguras, etc…
Estos riesgos correctamente identificados, sueles ser fáciles de reducir con técnicas ya conocidas por todos (actualizaciones, implementación de cifrados…) - Formación de empleados:
Es esencial una formación periódica, eficaz y actualizada en materia de ciberseguridad para todos los empleados. Dicha capacitación podría cubrir temas que van desde identificar y evitar intentos de phishing, practicar una buena higiene de las contraseñas hasta comprender la importancia y los procesos de las actualizaciones de software.
Esta formación ha de ser lo más clara y concisa. Y o ser una carga para el empleado, ya que podemos perder su atención. - Defensa por capas:
Conocida también por “Defensa en Profundidad”, este enfoque implica el despliegue de una serie de mecanismos (firewall, IDS, IPS, cifrados, auditorías periódicas, etc…)
Tener múltiples capas reduce, en un alto grado, la probabilidad de una infracción exitosa.
Dividir el PLC y las redes informáticas en subredes o segmentos, son otros ejemplos. - Sistemas heredados:
He aquí otro talón de Aquiles, los equipos más antiguos pueden encesitar una serie de capas extra, como limitar el acceso físico a los puertos, usar un PLC de recopilación de datos intermedio como puerta de enlace de información.
En este tipo de entornos, la seguridad física y cibernética, no son dos entidades separadas, si no que ha de verse como un conjunto total y han de integrarse perfectamente.
Los sistemas de vigilancia, puede ser utilizados como elementos disuasorios, además de proporcionar información valiosa en caso de infracción. - Respuesta a incidentes:
Disponer de un plan de respuesta bien estructurado y ensayado, reducirá drásticamente los daños y el tiempo de recuperación. Dicho plan debe incluir funciones y responsabilidades perfectamente definidas, protocolos de comunicación, pasos a para aislar los sistemas afectados y procesos de recuperación.
Además del análisis posterior al incidente.
Un elemento clave en la recuperación, es disponer de copias de seguridad para recargar el sistema lo antes posible, con la última configuración más actualizada. - Monitorización y mejora:
Debe de existir un sistema para el seguimiento y actualización constante de las medidas de seguridad. Estar suscrito a diversos canales de inteligencia es un gran paso. Para poder estar preparados para otros posibles ataques.
Los programas de PLC se pueden auditar automáticamente para detectar modificaciones no autorizadas comparándolas con otras copias de seguridad seguras. - Seguridad en la cadena de suministro:
Los fabricantes han den entender que son, pieza fundamental en la ciberseguridad y operatividad de sus clientes. Han de extender sus esfuerzos a sus proveedores. Esto incluye realizar auditorías, colaborar en mejores prácticas y redactar requisitos contractuales relacionados con las medidas de ciberseguridad.
Seguridad del PLC
Si bien el concepto de ciberseguridad integrada en los PLC es reciente y aún está evolucionando, algunas empresas han comenzado a integrar funciones de seguridad básicas en sus PLC para abordar este problema. Aquí están algunos ejemplos:
- Siemens S7-1500: Las funciones de ciberseguridad de los PLC S7-1500 incluyen protección de acceso: los dispositivos de programación y los paneles HMI requieren autorizaciones específicas del usuario para conectarse; integridad de la comunicación, donde los datos se protegen de la manipulación durante la transmisión mediante cifrado y códigos de autenticación de mensajes. Incluso la comunicación de PLC a PLC y de PLC a HMI requiere que los dispositivos se conecten entre sí para cerrar una ruta de acceso que de otro modo estaría abierta.
- Rockwell Automation ControlLogix 5580: estos controladores incluyen un conjunto de funciones de seguridad, como control de acceso basado en roles, firmware cifrado y firmado digitalmente, detección de cambios, registros y funciones de seguridad de auditoría, así como protección de direcciones IP y MAC.
- Schneider Electric Modicon M580: características como ciberseguridad integrada, cifrado Ethernet y certificación Achilles Nivel 2, una certificación de ciberseguridad reconocida en la industria que indica un alto nivel de protección contra amenazas cibernéticas conocidas.
- Honeywell ControlEdge PLC: el arranque seguro evita cargas de firmware no autorizadas, un estado predeterminado seguro para mejorar la seguridad desde el primer momento y controles de usuario sólidos para gestionar el acceso.
- ABB AC500-S: Funciones de ciberseguridad que incluyen gestión de usuarios, control de acceso basado en roles y firewall. Está diseñado para cumplir con el estándar IEC 62443, un estándar internacional de ciberseguridad para sistemas de control y automatización industrial.
Spanish 
English