El éxito de un proyecto de digitalización industrial se basa en que todas las partes involucradas participen en la seguridad de los datos, las comunicaciones y la protección de la propiedad intelectual. La protección de la organización y la confianza digital requieren incorporar guías claras sobre la integridad, disponibilidad y seguridad de los datos en el diseño.
Para alcanzar esta confianza digital es necesario definir claramente la estructura de comunicación, aprovechando la estructura existente ya desplegada en la fábrica.
A continuación, se identifican aspectos clave de ciberseguridad en cada una de las etapas del ciclo de vida un proyecto de industria 4.0 extraídos de la guía “Ciberseguridad en el Ciclo de Vida de un Proyecto de Digitalización industrial” del Centro de Ciberseguridad Industrial que será presentada en Advanced Factories 2021.
Aspectos clave en cada etapa:
En la etapa de Diseño e Ingeniería de un proyecto de digitalización debe establecerse las responsabilidades en Ciberseguridad, empezando por asignar un responsable de ciberseguridad del proyecto y establecer las funciones y responsabilidades de ciberseguridad de los roles que participaran en el proyecto, ingenieros de sistemas de control o proceso, administradores de red y sistemas, jefe de planta y director IT, entre otros. También deberán evaluarse los riesgos y amenazas de ciberseguridad del proyecto en esta fase.
En la etapa de Aprovisionamiento, la ciberseguridad debe contemplarse antes, durante y a la finalización del servicio, asegurando que los productos y servicios contratados cumplen con los requisitos de ciberseguridad establecidos en el alcance del proyecto de digitalización industrial.
En la etapa de Ejecución, paralelamente al resto de actividades del proyecto, habrá que contemplar también las actividades relativas a la ciberseguridad, es decir, la evaluación, puesta en funcionamiento y prueba de las medidas de ciberprotección que demande la solución de digitalización del proyecto.
En la etapa de O&M (Operación y Mantenimiento), y partiendo de la base que los distintos productos en entornos industriales tienen un ciclo de vida notablemente superior al de otros encontrados en entornos IT, hay que contemplar la disponibilidad de recursos para disponer, entre otros, futuras actualizaciones de software o firmware que puedan ser necesarias. Y más aún, que su hoja de ruta se corresponda con el del proceso en el cual se vea implicado. Es importante tener en cuenta desde sus inicios la capacidad de escalabilidad para poder implementar dichas actualizaciones sin disrupciones en la operación, sabiendo que es algo no asumible.
Lo que no podemos dudar es del papel clave que tiene la ciberseguridad, ya que algunas medidas pueden introducir cargas computacionales extra como son la creación de comunicaciones cifradas (VPN) extremo – extremo; Listas de Control de Acceso (ACL) o nuevas interfaces de gestión mediante el empleo de protocolos HTTPS o SSH presentes en, por ejemplo, CPUs dotadas de sistemas operativos GNU/Linux.
Sin embargo, las limitaciones en el presupuesto y los requerimientos de disponibilidad no siempre permiten mantener un estado de ciberseguridad adecuado. Encontramos en el despliegue de la digitalización industrial puntos débiles como: la falta de visibilidad, redes planas donde cualquier dispositivo puede comunicarse con otro sin restricciones, protocolos inseguros, software antiguo o desactualizado, el empleo de USBs infectados, accesos remotos inseguros sin un control y ausencia de trazabilidad que nos permita ver quién y dónde está accediendo.
Además de las medidas de protección que deberían de adoptarse, es imprescindible contemplar un plan de respuesta adecuado que permita recuperarse frente a incidentes de ciberseguridad que puedan impactar gravemente.