Transformación Digital e Industria 4.0
La transformación digital y la irrupción de la Industria 4.0 está transformando la concepción de los sistemas de control industrial (ICS), pasando de un modelo aislado, en que los sistemas de control industrial no tenían conectividad con el resto de la empresa o Internet, a un modelo basado en la interconexión no solo con la red empresarial, sino directamente a la nube.
Tradicionalmente los IACS han estado aislados de las redes empresariales e Internet.
Esta necesidad de conectividad creciente para tener acceso a la información de las máquinas y de los procesos, puede suponer un grave riesgo, si no se realiza de manera adecuada. Hoy en día, todavía es habitual encontrar sistemas de control que utilicen Windows XP, Windows 2000 o Windows 7, ya que los ciclos de vida de más de 20 años son habituales en el sector industrial. Dotar de conexión a internet a estos equipos, que hace años que carecen de soporte de actualizaciones de seguridad y que cuentan con un gran número de vulnerabilidades, puede poner en grave riesgo la seguridad tanto del proceso como de toda la empresa.
Las redes de control industrial son vulnerables e inseguras por naturaleza.
La mayoría de protocolos industriales no tienen ningún tipo de seguridad integrada.
Esta conectividad ha conllevado la unión de las redes empresariales de IT y las redes productivas OT, dos tipos de redes con características y necesidades opuestas, que hace que los sistemas de defensa de las redes IT no sean suficientes para protegerlas y requieran de nuevos métodos de protección.
Conectar un IACS a la red empresarial o a Internet no se limita a conectarle un cable Ethernet.
Los métodos de detección, análisis y protección del mundo IT no se pueden aplicar tal cual en el mundo OT.
El creciente aumento del número de ataques intencionados, tanto a infraestructuras críticas, como a sistemas de control industrial, como de ataques accidentales, hace necesario incluir la ciberseguridad en todas las etapas del ciclo de vida de un sistema ciber físico, desde la concepción hasta la puesta fuera de servicio. Para minimizar el impacto económico, de producción, de seguridad, medioambiental, de imagen, de prestigio, etc., que pueden llegar a poner en juego la continuidad de la empresa.
La inversión en ciberseguridad no ha de verse como un gasto, sino como una inversión para minimizar las pérdidas económicas, materiales o en vidas que puede causar un ataque.
¿ Qué podemos hacer para proteger los IACS?
La serie de normas ISA/IEC 62443, desarrollada por el comité ISA99 y adoptada por la Comisión Electrotécnica Internacional (IEC), proporciona un marco flexible para abordar y mitigar las vulnerabilidades de seguridad actuales y futuras en los sistemas de automatización y control industrial (IACS). El comité se basa en el aporte y el conocimiento de los expertos en seguridad de IACS de todo el mundo para desarrollar estándares de consenso que sean aplicables a todos los sectores industriales e infraestructura crítica.
La norma ISA/IE-62443 extiende la seguridad frente a ciber atacantes a: fabricantes, integradores y propietarios de equipos de control industrial.
La Comisión Económica de las Naciones Unidas para Europa (UNECE) ha confirmado la integración de la serie de normas ISA/IEC 62443 en su próximo Marco Regulatorio Común sobre Ciberseguridad (CRF). El CRF servirá como
una declaración oficial de la posición política de la ONU para Europa.
La norma ISA/IEC-62443 proporciona un marco flexible para abordar y mitigar las vulnerabilidades de seguridad actuales y futuras en los sistemas de automatización y control industrial (IACS).
Defensa en Profundidad según ISA/IEC 62443
La defensa en profundidad consiste en no dejar la seguridad de un equipo en un único control de seguridad (como pueda ser un firewall), sino que se disponen de forma coordinada diferentes controles de seguridad en diferentes capas, de modo que para que un ataque tenga éxito, éste debe atravesar diferentes mecanismos de protección. Dificultando de este modo que el ataque pueda llegar a tener éxito, al no depender de un único elemento de protección.
La ciberseguridad se debe abordar de una manera incremental y continuada, analizando en cada momento la situación y adoptando las medidas que conlleven un mayor incremento en la seguridad al menor coste posible. No se trata de empezar adoptando grandes y carísimas soluciones tecnológicas, sino que en muchas ocasiones bastará con adoptar pequeñas acciones.
La ciberseguridad depende de las personas, el proceso y la tecnología
