Ciberseguridad y proyectos de digitalización en la industria

Hoy en día, cuesta mucho encontrar incorporada la ciberseguridad en el diseño y el desarrollo de los proyectos de digitalización industrial. La digitalización de procesos productivos, proyectos de integración IT-OT, proyectos de análisis de datos o mantenimiento predictivo, entre otros, solo contemplan la ciberseguridad de una manera superficial.
Para realizar cualquier proyecto, es imprescindible conocer las diferentes tecnologías de digitalización industrial que podemos encontrar hoy en día. En ningún caso se trata de incorporar el mayor número posible de ellas, sino de analizarlas y elegir las más adecuadas para las necesidades del negocio. Podemos encontrar tecnologías de simulación, integración de sistemas, Blockchain, Internet Industrial de las Cosas, Big Data Analytics, Inteligencia Artificial, Cloud Computing, Robótica, Realidad Aumentada, Virtual y Mixta.

Del mismo modo, debe incorporarse la ciberseguridad analizando primero los riesgos y adoptando la norma internacional de referencia IEC 62443 que establece las mejores prácticas y recomendaciones para incrementar la seguridad de los sistemas de control industrial frente a ciberamenazas, para ello la plataforma RECIN (Requisitos de Ciberseguridad Industrial) facilita el proceso. Sería también conveniente analizar escenarios de incidentes mediante herramientas como MITRE ATT&CK (por sus siglas en inglés, Tácticas, Técnicas y Conocimiento Común de Adversarios) que organiza y categoriza los distintos tipos de ataques, amenazas y procedimientos que un atacante puede aprovechar, o simulando incidentes de alto impacto que plataformas de caracterización de los mismos, como ESCIM (Escenarios de Incidentes de Ciberseguridad Industrial de alto Impacto) proporcionan.

El éxito de un proyecto de digitalización industrial se basa en que todas las partes involucradas participen en la seguridad de los datos, las comunicaciones y la protección de la propiedad intelectual. La protección de la organización y la confianza digital requieren incorporar guías claras sobre la integridad, disponibilidad y seguridad de los datos en el diseño.
Para alcanzar esta confianza digital es necesario definir claramente la estructura de comunicación, aprovechando la estructura existente ya desplegada en la fábrica.

A continuación, se identifican aspectos clave de ciberseguridad en cada una de las etapas del ciclo de vida un proyecto de industria 4.0 extraídos de la guía “Ciberseguridad en el Ciclo de Vida de un Proyecto de Digitalización industrial” del Centro de Ciberseguridad Industrial que será presentada en Advanced Factories 2021.

Aspectos clave en cada etapa:

En la etapa de Diseño e Ingeniería de un proyecto de digitalización debe establecerse las responsabilidades en Ciberseguridad, empezando por asignar un responsable de ciberseguridad del proyecto y establecer las funciones y responsabilidades de ciberseguridad de los roles que participaran en el proyecto, ingenieros de sistemas de control o proceso, administradores de red y sistemas, jefe de planta y director IT, entre otros. También deberán evaluarse los riesgos y amenazas de ciberseguridad del proyecto en esta fase.

En la etapa de Aprovisionamiento, la ciberseguridad debe contemplarse antes, durante y a la finalización del servicio, asegurando que los productos y servicios contratados cumplen con los requisitos de ciberseguridad establecidos en el alcance del proyecto de digitalización industrial.

En la etapa de Ejecución, paralelamente al resto de actividades del proyecto, habrá que contemplar también las actividades relativas a la ciberseguridad, es decir, la evaluación, puesta en funcionamiento y prueba de las medidas de ciberprotección que demande la solución de digitalización del proyecto.

En la etapa de O&M (Operación y Mantenimiento), y partiendo de la base que los distintos productos en entornos industriales tienen un ciclo de vida notablemente superior al de otros encontrados en entornos IT, hay que contemplar la disponibilidad de recursos para disponer, entre otros, futuras actualizaciones de software o firmware que puedan ser necesarias. Y más aún, que su hoja de ruta se corresponda con el del proceso en el cual se vea implicado. Es importante tener en cuenta desde sus inicios la capacidad de escalabilidad para poder implementar dichas actualizaciones sin disrupciones en la operación, sabiendo que es algo no asumible.

Lo que no podemos dudar es del papel clave que tiene la ciberseguridad, ya que algunas medidas pueden introducir cargas computacionales extra como son la creación de comunicaciones cifradas (VPN) extremo – extremo; Listas de Control de Acceso (ACL) o nuevas interfaces de gestión mediante el empleo de protocolos HTTPS o SSH presentes en, por ejemplo, CPUs dotadas de sistemas operativos GNU/Linux.

Sin embargo, las limitaciones en el presupuesto y los requerimientos de disponibilidad no siempre permiten mantener un estado de ciberseguridad adecuado. Encontramos en el despliegue de la digitalización industrial puntos débiles como: la falta de visibilidad, redes planas donde cualquier dispositivo puede comunicarse con otro sin restricciones, protocolos inseguros, software antiguo o desactualizado, el empleo de USBs infectados, accesos remotos inseguros sin un control y ausencia de trazabilidad que nos permita ver quién y dónde está accediendo.

Además de las medidas de protección que deberían de adoptarse, es imprescindible contemplar un plan de respuesta adecuado que permita recuperarse frente a incidentes de ciberseguridad que puedan impactar gravemente.

Artículo escrito por nuestro Supporting Partner CCI Ciberseguridad Industrial