Phoenix Contact en JAI 2020 - La Ciberseguridad en el entorno Industrial
Resumen de la ponencia realizada por Ramón Quirós de PHOENIX CONTACT en las Jornadas JAI 2020
Autora de artículo: | Iria Pérez Varela
Phoenix Contact Cibersecurity se trata de una empresa alemana dedicada a los equipos de seguridad. Nació en el 2001 como Innominate y en 2008 fue adquirida al 100% por la ya mencionada Phoenix Contact. Posee más de 4000 clientes hoy en día.
Esta empresa, ya presente cuando tuvo lugar el ciberataque STUXnet (relacionado con hardware industrial de Siemens y que tuvo lugar en 2010), realiza cada mes más de 1600 informes de vulnerabilidad. Posee, en su página web, partes donde uno mismo puede consultar aquello que necesite y trabajan también con terceros.
MGUARDS
Esta es un abanico de hardware de la empresa diseñado para cubrir apps de acceso remoto y ciberseguridad. Protege a través de 4 vías (acceso remoto, acceso local, red de producción y red de máquina), con escenarios de despliegue masivo gracias a mGuard Device Manager. Constituyen dispositivos capaces, además, de interconectar IT y OT (de uso para telecomunicación o industrial, con lenguajes y comportamientos diferentes) mediante configuraciones fáciles, así como su visualización.
Su estructura y diseño les permite responder a la defensa en profundidad, que se trata de la mejor práctica de este carácter a nivel histórico, con varias barreras independientes, crecimiento y expansión sencilla, segmentación de zonas de riesgo y que sigue la norma ISA99.
En un proceso productivo tendríamos diferentes niveles:
• Máquinas (OT)
• Producción (OT)
• Red troncal de la fábrica (IT)
• Red de oficinas (IT)
Todo esto es regulable mediante la ISO 27000 (de carácter más general) e IEC 62443. Esta última se trata de la primera norma que permite comparar medidas y riesgos teniendo en cuenta el hardware, informando al empleado de qué es mejor y más seguro según a qué se esté refiriendo.
Originariamente nos encontrábamos con una meta de confidencialidad en cuanto a lo que se ‘pedía’ a la seguridad informática; hoy en también está más extendida la preocupación de impedir parones en procesos productivos, no podemos ‘parar para parchear’.
Esto se ve contemplado en la norma, que además consta de 4 partes:
1. Una parte general referida al propietario de los activos.
2. Una parte relacionada con políticas y procedimientos asociada a este mismo.
3. Una parte relacionada con el sistema y que podríamos asociar a aquel con el rol de integrador.
4. Una última parte relacionada con los componentes más referida al fabricante.
Una planta segura tendrá en cuenta mucho, con mucho firewall que también funcionará como conexiones, a modo de routers. Podemos crear una defensa mediante protocolos, como sería el caso de funcionamiento ‘como un diodo’ de mGuard: filtra y decide qué información pasa y cuál no, teniendo en cuenta tanto información entrante como información saliente (esto no siempre sucede, muchas veces sólo se toma en cuenta la información entrante, pero los buenos firewall tendrán ambas en cuenta).
Suelen tener hardware esencial y funcionan en lo que se conoce como capa 2, esto es, se vuelven ‘invisibles’ funcionando sin necesidad de configuración, como un diodo que no pasa corriente cuando llega malware. Se pueden emplear también para segmentar e integrar redes de máquinas y redes de orden superior, controlando así de forma unificada, como un NAT (esto es, mediante traducción de direcciones de red).
Los mGuards son empleados tanto en Alemania como en el extranjero, y las PYMES lo usan gracias a la Secure Cloud (muchas empresas las emplean y existen variedad de ellas). Está certificada, pero debemos subrayar la importancia de la certificación del hardware. Este tipo de nubes emplean VPN (virtual private networks), redes privadas cuya información sólo es conocida por los extremos que se comunican.
El problema de las VPN es que sí existe posibilidad de acceso por parte de dispositivos ajenos, pudiendo introducir malware, lo cual es solucionado mediante nuestro mGuard mediante un bloqueo de estos dispositivos (recuenta cuántos debería haber y bloquea a los extraños).
Existe también la problemática hoy en día de que existan empresas cuyos ordenadores tengan sistemas operativos muy antiguos, sin posibilidad de antivirus ni ciertas configuraciones; mGuard da también solución a esto debido a su alta configurabilidad, chequeo de protocolos y muchas otras capacidades capaces de cumplir la demanda de los clientes, además de existir ramas especializadas en diferentes procesos como podría ser, por ejemplo, la segmentación.
La empresa da vía de apoyo a la nueva norma 62443 en las ingenierías, pues se trata de un gran avance, proporcionando guías de acceso libre desde su página web donde podemos ver cómo proteger, Urgent 11 (un pack de vulnerabilidades de miles de equipos industriales que en esta guía se recogen y analizan para que comprendamos cómo corregirlos) ...
Conclusiones
Tras todo lo dicho, Ramón Quirós da unos consejos esenciales a la hora de visualizar la seguridad de la empresa:
• Debemos invertir siempre en seguridad al inicio de cualquier proyecto, pues siempre constituirá un mayor esfuerzo económico hacerlo después.
• Debemos ser exigentes en toda nuestra cadena productiva en cuanto a hardware que cumpla las exigencias recogidas en la norma 62443.
• Tener en cuenta, también, que cada vez IT y OT están más unificados.
Por último, hoy en día no toda la seguridad recae en los firewalls, sino que hay que ser exigentes con los equipos de control y nuestro hardware, pues son capaces de hacer mucho por nosotros.