Ciberseguridad: un plan de resiliencia para la empresa industrial

Fecha de publicación
Cateogría del artículo Tecnología
Visualizaciones del artículo Leído  1899  veces
Tags del artículo

Las amenazas son numerosas y conocidas. La respuesta a este complejo escenario pasa por preparar el día después del ataque, aquel que ninguna empresa quiere vivir pero que, sin embargo, se debe planificar. Un artículo de Edorta Echave

Ciberseguridad: un plan de resiliencia para la empresa industrial

Un artículo de Edorta Echave, fundador de Enredandoconredes.com, publicado originalmente en InfoPLC++ Magazine #23

La Real Academia Española define el término resiliencia como “la capacidad de adaptación de un ser vivo a un agente perturbador o un estado o situación adversos. Capacidad de un material, mecanismo o sistema para recuperar su estado inicial cuando ha cesado la perturbación a la que había estado sometido”. Salvando las distancias, entre un ser vivo y una empresa industrial, estas últimas, y sus respectivos entornos de operaciones, bien podrían estar al amparo de esta definición a tenor de los periódicos incidentes de seguridad a los que somos testigos.

Y podría estarlo por partida doble, es decir, por los seres vivos que las componen y por las tecnologías que emplean para llevar a cabo su actividad de negocio. En ambos casos las vulnerabilidades son patentes y, tanto por acción como por omisión, pueden exponer a la organización a una situación donde las operaciones puedan verse afectadas total o parcialmente.

No es nuevo que en los últimos años estamos asistiendo a un progresivo aumento de la interoperabilidad de los sistemas y componentes encargados del control y la automatización de procesos o la ejecución de una operación concreta. Diagnosis avanzada, mejora del coeficiente OEE, mantenimiento preventivo, acceso remoto, monitorización, son algunos de los motivos por los que conectar nuestra maquinaria, proveedores e infraestructuras, a redes de datos para tener acceso a la información que generan y necesitamos. Esto provoca necesariamente que todos ellos, de una forma u otra, comiencen a estar expuestos y por tanto ser accesibles tanto para lo bueno como para lo malo, incluyendo también los sistemas encargados de la seguridad funcional, a veces olvidados. Esto es, el aprovechamiento de alguna de esas vulnerabilidades por parte de una amenaza, intencionada o no, y que a través de un vector pueda provocar un daño material o inmaterial.

Para alcanzar un equilibrio entre los beneficios que aporta esa conectividad para la mejora y optimización de procesos y los riesgos inherentes a la puesta en marcha de nuevas tecnologías, integración de las ya existentes o habilitar nuevas funcionalidades, es necesario hablar de ciberseguridad.

Es decir, de la capacidad de poder reducir los riesgos hasta un punto que sean asumibles por la organización teniendo en cuenta las posibles consecuencias, e impacto, que puedan derivarse de la explotación de dichas vulnerabilidades. Sin embargo, que nadie se equivoque, la seguridad al 100% no existe. El riesgo 0, tampoco.

Tradicionalmente se ha implementado el modelo de defensa en profundidad como estrategia de salvaguarda mediante la aplicación de sucesivas líneas de protección donde cada una de ellas posee una funcionalidad y alcance concreto. Hablamos de seguridad física, de red, de sistemas operativos, de aplicaciones, sistemas de control industrial. Sin embargo, no deberíamos centrarnos únicamente en este modelo.

Modelo Conceptual de Defensa en Profundidad.

Continuamente vemos como aparecen en el mercado soluciones y productos con nuevas capacidades, y que integradores, desarrolladores o ingenierías, se encargan de poner en marcha según las especificaciones de clientes u organizaciones industriales. Tanto la diversidad como las funcionalidades están introduciendo un grado de complejidad mayor que, de alguna manera, también multiplica las probabilidades de que puedan ser causa y origen de futuros incidentes. Más aún, cuando ni tan siquiera los propios propietarios de activos tendrán la capacidad de actuar sobre ellos, delegando todo soporte y mantenimiento en terceros.

Así pues, como complemento a lo anterior debemos de aplicar el concepto de confianza cero. O lo que es lo mismo, no dar por supuesto que una tecnología, por muy nueva, buena o disruptiva que sea no podrá presentar una debilidad dentro de su lógica programable, parametrizable o configurable a partir de la cual pueda desembocar en un incidente de seguridad.

Documento ZTA, Zero Trust Architecture. Fuente: NIST

Por todo ello, cada organización debe definir una serie de políticas y un programa de ciberseguridad para proteger su planta, infraestructuras, taller o cualquier otro entorno industrial. Esto le va a permitir alinear aspectos como la continuidad de negocio y la reducción de riesgos tecnológicos a los que hacíamos referencia, dotándoles de la capacidad para hacer frente a cualquier acción intencionada, o no intencionada, que pretenda interrumpir nuestras operaciones y modelo de negocio. Es decir, buscamos la resiliencia.

Sin embargo, no podemos pensar que los problemas tecnológicos se solventan introduciendo más tecnología. En absoluto. La ciberseguridad debe asentarse sobre tres principios básicos que son, obviamente la tecnología, pero también personas y procesos.

Tecnologías que nos permita filtrar el tráfico en las comunicaciones, inspeccionarlo, detectar anomalías, limitar la ejecución de aplicaciones sólo a las estrictamente necesarias, eliminar código malicioso, definición de contraseñas al pretender acceso a la CPU de un PLC, validación de usuarios en una pantalla HMI, protección de proyectos, restricción de ejecución de comandos o consignas, y así un largo etcétera.

Personas que reciban formación específica en materia de ciberseguridad, concienciación y sensibilización, que sepan configurar las funcionalidades existentes para determinar esas contraseñas, que hagan un uso responsable de sus equipos, que notifiquen cualquier posible anomalía, que informen a proveedores y terceras partes de la obligatoriedad de cumplir con lo establecido en las políticas de seguridad corporativas, que soliciten información relativa a necesidades de conectividad y soporte remoto, etc.

Y finalmente, procesos. Procesos que regulen lo anterior: qué comunicaciones deben permitirse y cuales no; cómo se deben gestionar los cambios, los activos, las vulnerabilidades, los incidentes y quién debe liderarlos; inclusión de requisitos, funcionalidades, controles dentro de las especificaciones técnicas de cada puesta en marcha, proyecto o desarrollo para prevenir riesgos; definición de requisitos a proveedores en suministro de servicios y productos, etc.
Como vemos aquí el alcance no debe ceñirse a las organizaciones industriales. Nada más lejos de la realidad. Aparte de éstos, y como recoge el estándar ISA/IEC 62443, identificamos otros actores como lo son los proveedores de servicios en calidad de integradores y/o mantenedores y los fabricantes de producto, tanto de componente como de sistemas según sea el alcance. Todos ellos deben ser tenidos en cuenta cara a buscar un nivel de seguridad amplio y efectivo. Por ejemplo, de nada nos sirve ser muy estrictos dentro de nuestra organización si luego damos pleno acceso a un integrador el cual emplea un equipo de su propiedad y del que no tenemos ningún conocimiento de uso, actualización, software de seguridad, etc. O bien, si adquirimos un producto del que existe una vulnerabilidad que o bien, no ha sido corregida o no puede serlo.

De esta manera llegamos a una idea base: ¿cuáles son las principales líneas de acción sobre las que se basan las medidas de seguridad a aplicar? Tal y como recoge el NIST Cybersecurity Framework hemos de focalizarnos aspectos tales como identificar, proteger, detectar, responder y recuperar.

Estructura NIST Cybersecurity Framework. Fuente: NIST

Entro otros muchos, identificar nuestros activos, riesgos, negocio, vulnerabilidades; proteger, los accesos, las comunicaciones, la información, entornos de operación, los sistemas, maquinaria; detectar, las anomalías, las desviaciones, ejecutar una monitorización continua de nuestros entornos, intrusiones; responder, plan de actuación ante un incidente, escalado en la toma de decisiones que afecten a la operación y negocio, acciones a mitigar las consecuencias e impacto, análisis de eventos, operación en modo degradado; y recuperar, copias de respaldo, configuraciones, acciones cara a restaurar la producción, etc.

Llegados a este punto conviene matizar un aspecto relevante. Todas estas acciones no pueden aplicarse únicamente a nuevos proyectos. No nos podemos olvidar de todo aquello que ya está funcionando y está expuesto a nuevos riesgos. La aplicación y alcance debe realizarse tanto a lo que ya está funcionando como a lo nuevo.

Esto no estará exento de dificultades ya que aplicar la seguridad sobre lo que lleva en operación 5, 10, 15 años y que se integra en estos nuevos escenarios será, en muchos casos, al menos difícil sino imposible o inviable. Pero si lo hacemos en nuevos proyectos conviene remarcar lo que conocemos como seguridad en el diseño. Es decir, incorporar la ciberseguridad dentro de todos aquellos aspectos, requisitos y especificaciones que debe reunir todo nuevo proyecto, sea de la índole que sea. Maquinaria, línea de ensamblaje, célula de automatización con o sin brazo robótico, transporte de fluidos, almacenamiento de producto, o cualquier otra. Aplicar la seguridad a posteriori puede resultar no sólo menos eficiente ya que deberemos aplicar medidas compensatorias, sino además más complejo debido a las limitaciones puede presentarse.

Pero nada de esto debe realizarse sin antes realizar un diagnóstico del estado actual donde se evalúen y cuantifique los riesgos potenciales a los que se enfrente la organización. Partiendo de la premisa de que pueden ocurrir y, de hacerlo, causarán el mayor impacto posible. Esta labor determinará dos aspectos clave. Por un lado, saber el punto de partida para empezar a trabajar. Es como el ascenso a una montaña de 2000 metros de altura. El consumo de recursos no será igual si comenzamos la ascensión desde el nivel del mar o si lo hacemos desde el campamento base a 1000 metros. El consumo de recursos en forma de tiempo, dinero y humanos será distinto. Y por otro, saber que activos son más críticos dentro de la organización ya que no todo es igual de importante.

Esto último da lugar a un concepto que es clave en la forma en la que se comienza a proteger las organizaciones, la priorización. Por mucho presupuesto y profesionales que tengamos, deberemos priorizar qué y sobre qué vamos a hacer sobre esos activos e interoperabilidad asociada, en particular los más críticos. Las acciones no podremos demorarlas ya que mientras que no instauremos las medidas de protección necesarias, nuestra organización seguirá estando en riesgo y, por tanto, expuesta a las amenazas que hayamos identificado.

Citábamos con anterioridad a NIST Cybersecurity Framework e ISA/IEC 62443 referencias documentales sobre cómo proteger nuestros entornos industriales. Aunque no son las únicas, es ISA/IEC 62443 el estándar que se ha posicionado como de referencia y que, en alguno de sus documentos, incorpora lo recomendado por NIST Cybersecurity Framework.

Estos documentos ordenados en 4 series denominadas General, Políticas y Procedimientos, Sistema y Componente pueden ser utilizados por organizaciones industriales, proveedores de servicios y fabricantes de productos para proteger sus sistemas de control y automatización industrial. Todo el contenido, aglutinado tanto en estándares como informes y especificaciones técnicas, aportan un valor fundamental al normalizar los criterios y aspectos que han de tenerse en cuenta sea cual sea el actor en cuestión, la tecnología, el entorno o la implementación. Sin embargo, no podemos olvidar que se trata de referencias teóricas sobre lo que hay que hacer, pero no cómo hay que hacerlo. Es decir, aquí los profesionales de la ciberseguridad industrial deberán aportar su conocimiento y experiencia para materializar todas estas cuestiones generando el menor impacto sobre el entorno. El riesgo que introducimos con cualquier cambio, no puede ser mayor que el que queremos mitigar.

Estructura de contenido ISA/IEC 62443. Fuente: Quick Start Guide: An overview of ISA/IEC 62443 Standards, ISA Global Cybersecurity Alliance.

Es decir, teniendo en cuenta la heterogeneidad de los entornos industriales no existe una varita mágica ni una solución única para cada actividad, para cada modelo de negocio. No es lo mismo un fabricante de vehículos con un sistema de producción JIT/JIS en base al ensamblaje de piezas y componentes más o menos complejos, a un taller que lleva a cabo una producción por mecanizado por medio de máquina herramienta. O bien, una empresa de productos lácteos donde se han de cumplir condiciones muy estrictas, sanidad o control de calidad a otro de fabricación de polímeros sintéticos, y que en ambos casos una alteración en los sistemas de refrigeración puede tener consecuencias desde la rotura de la cadena de frío hasta la inicialización de un proceso de vulcanizado.+

En cualquiera de los casos, si las actividades son diferentes también lo serán las formas en la que debamos protegerlas. Independientemente de activos y criticidad asociada, tecnologías o cualquier otra variable, el factor determinante será el tiempo. El tiempo que cada uno necesite y emplee para reestablecer la actividad tras un incidente. La ciberseguridad no sólo es prevenir, sino que si te ocurre tengas las capacidades para poder recuperarte en el menor espacio de tiempo posible.

Así pues, como hemos apuntado, existe una necesidad y obligación de establecer un conjunto de medidas, controles y procedimientos que nos permitan hacer frente a los cada vez mayores riegos. Proteger nuestros entornos mediante la instauración y despliegue de medidas que nos ayuden a reducirlos, mitigarlos o transferirlos hasta un punto que sean asumibles por medio de una estrategia de Ciberseguridad corporativa, nos ayudará no sólo a prevenirlos sino además a reaccionar de una manera más rápida, efectiva y coordinada. Y será ahí cuando podamos afirmar que somos más resilientes.

Es cierto que la ciberseguridad le acompaña una restricción, control y limitación de aquellas tareas que hasta ahora se venían haciendo. Este hecho, aunque cierto, no debe verse como una barrera a la efectividad sino una prevención que mejorará nuestra competitividad y capacidad para hacer frente a circunstancias adversas.

La resiliencia será la consecuencia de todo lo anterior y de cómo la sepamos mantenerla a lo largo del tiempo llevando a cabo una gestión apropiada de todos los recursos invertidos. La ciberseguridad requiere continuidad, revisión y mantenimiento apropiado para que no existan desviaciones que echen por tierra todos nuestros esfuerzos. Es algo vivo, que crece y se ha de adaptar a las nuevas necesidades técnico-operativas de toda la organización.
¿Produciremos más? ¿Produciremos mejor? Rotundamente no, pero lo que sí habremos conseguido será reducir la posibilidad de que dejemos de hacerlo y, si ocurre, que retomemos la actividad lo antes posible.

Edorta Echave es fundador de enredandoconredes.com, coautor del libro: “Ciberseguridad Industrial e Infraestructuras Críticas”, Editorial Ra-Ma; ICS Security Architect en Secure&IT, LKS Next y Coordinador del Centro de Ciberseguridad para País Vasco.

Más información