La seguridad personal requiere un mayor enfoque en ciberseguridad
Los sistemas de automatización, cada vez más conectados, pueden llegar a suponer un riesgo para los trabajadores en los casos de ciberataques más extremos.
La ciberseguridad en la automatización industrial no recibe la atención que merece a pesar de los crecientes riesgos de seguridad inherentes a todos los sistemas informáticos.
Los ciberataques a ordenadores con sistemas de control industrial (ICS) están aumentando en Estados Unidos y otras regiones del mundo. En su “OT: Cybersecurity 2023 Year in Review”, la empresa de ciberseguridad industrial Dragos informa que el panorama de amenazas para las tecnologías operativas se está volviendo más peligroso a medida que “las crecientes tensiones y oportunidades financieras continuaron estimulando a una amplia variedad de actores a apuntar a entornos industriales”.
Una información reciente publicada en el portal automationworld.com, asegura que los riesgos de un ciberataque a una instalación de fabricación son graves. Como tal, es fundamental que estas instalaciones desarrollen planes de ciberseguridad documentados.
Debido a la complejidad de la ciberseguridad, es imperativo que las empresas consideren recurrir a expertos para realizar una evaluación de riesgos y hacer recomendaciones de control que refuercen las instalaciones y sus líneas de producción contra posibles amenazas, asegura este portal.
Toda organización es un objetivo potencial
Muchas empresas creen que los ciberdelincuentes no las encontrarán objetivos atractivos. Lamentablemente, estas empresas se equivocan. No todas las empresas se verán afectadas por los ciberdelincuentes, pero todas las organizaciones son un objetivo potencial. La mayoría de las instalaciones nunca han tenido un incendio, pero todas cuentan con sistemas de extinción de incendios.
Los ciberdelincuentes tienen su propio modelo de negocio
Algunos ciberatacantes invierten mucho tiempo y recursos para abordar un objetivo obvio de alto valor. Otros tienen un modelo de “pequeño ladrón”. Estos ciberdelincuentes buscan los eslabones más débiles, a menudo industrias o tipos de empresas que se considera que tienen ciberdefensas deficientes.
Operan como ladrones de coches, levantando las manijas de las puertas hasta que encuentran el coche que está abierto, y ese es el que roban. Si una organización tiene activos, ya sea dinero en efectivo, propiedad intelectual o datos, es un objetivo potencial.
Una brecha de ciberseguridad en un entorno de fabricación podría tener consecuencias devastadoras. Se podría robar información confidencial o de propiedad exclusiva, lo que dejaría a la empresa con graves responsabilidades financieras y legales. Las líneas de producción podrían cerrarse. Los ciberdelincuentes excepcionalmente maliciosos podrían piratear un controlador lógico programable (PLC) de seguridad, poniendo en riesgo la vida de los trabajadores de línea que continúan siguiendo los procedimientos estándar.
El crecimiento de los riesgos cibernéticos en la fabricación
La investigación de la firma de ciberseguridad Kaspersky encontró que la fabricación lidera todos los sectores industriales y representa el 25,37% de los ataques. En su revisión de los ciberataques públicamente conocidos, el informe de Kaspersky declaró: “Entre todas las organizaciones que sufrieron ataques, la gran mayoría se relaciona con la fabricación industrial”.
El ritmo de los avances tecnológicos en la fabricación ha superado la atención prestada a los riesgos de ciberseguridad que presentan estos avances. Los principales avances son:
Internet de las Cosas (IoT). El crecimiento de la maquinaria automatizada que se conecta directamente a Internet o a otras máquinas con su conexión a la red ha amplificado los riesgos de ciberseguridad para los fabricantes. Las interconexiones hacen que cada dispositivo sea vulnerable al acceso no autorizado.
Si un PLC con acceso a Internet no se pone en funcionamiento correctamente o no está protegido, los ciberdelincuentes podrían usarlo para tomar el control de un sistema de manipulación de materiales, incluso si ese PLC no está conectado directamente al sistema de manipulación.
Ethernet. Como arquitectura preferida en la fabricación, las redes Ethernet ofrecen los beneficios de escalabilidad, velocidad y acceso remoto que los sistemas propietarios cerrados no ofrecían. Estas ventajas también facilitan la vulneración de los sistemas y la propagación del malware por toda la red.
Interoperabilidad en el intercambio de datos. El impulso para el análisis de big data que los gerentes e ingenieros pueden utilizar para optimizar la producción se basa en la integración de datos de múltiples sistemas en una sola fuente. La interconexión del almacenamiento de datos a través de un programa de análisis centralizado facilita la exfiltración masiva de datos confidenciales durante un ciberataque.
El elemento humano contribuye a las crecientes vulnerabilidades a medida que los sistemas se vuelven más conectados. La falta de personal de TI integrado en los equipos operativos y de proyectos limita la adopción de las mejores prácticas de ciberseguridad, lo que resulta en una mayor exposición, un monitoreo inadecuado y respuestas demoradas.
Una ingeniería social más sofisticada permite a los atacantes eludir la seguridad manipulando al personal para compartir información que ayude a los ciberdelincuentes a seguir su ruta de ataque. Por ejemplo, el ataque Target de 2013 se lanzó a través de un correo electrónico de phishing enviado al proveedor de HVAC de Target, que los atacantes utilizaron para robar las credenciales de acceso al sistema.
Una evaluación de riesgos exhaustiva como punto de partida
Una evaluación de riesgos de ciberseguridad es la piedra angular de una estrategia de defensa sólida. Es un proceso integral que comienza con la documentación de cada punto de acceso dentro de la infraestructura de una organización. Esto incluye puntos de acceso físicos y virtuales, desde líneas de montaje automatizadas hasta la vieja y olvidada computadora en la plataforma de observación.
El siguiente paso requiere comprender cómo los ciberdelincuentes podrían violar el sistema y sus redes. ¿Qué puntos de entrada es probable que se exploten? ¿Qué posibles métodos de ataque son posibles? Este paso es crucial para identificar y sopesar las vulnerabilidades. Sólo entonces los expertos en ciberseguridad que lideran la evaluación de riesgos podrán proporcionar recomendaciones específicas para mitigarlos.
Es fundamental que los fabricantes realicen una nueva evaluación de riesgos cada vez que se introduce un nuevo elemento o sistema en el medio ambiente. Si una empresa o instalación nunca ha realizado una evaluación de riesgos de ciberseguridad o no lo ha hecho en algunos años, entonces es recomendable realizar una evaluación de riesgos completa.
Crear una cultura de ciberseguridad
El mantenimiento eficaz de la ciberseguridad y las evaluaciones de riesgos son un esfuerzo colaborativo. La alta dirección puede proporcionar la dirección estratégica y los recursos para crear un programa sólido de protección cibernética. También pueden garantizar que los recursos de TI no se limiten a las oficinas corporativas.
Tener personal de TI en las instalaciones de fabricación puede mejorar el monitoreo de posibles incidentes cibernéticos, lo que acorta el tiempo de respuesta y mantiene los protocolos cibernéticos existentes. Su proximidad a los gerentes de operaciones y proyectos fomenta la colaboración con TI y le permite unirse a discusiones relacionadas con cambios en el sistema y evaluar posibles implicaciones de seguridad.
Las empresas también pueden desarrollar una cultura de ciberseguridad trabajando estrechamente con un integrador de sistemas con experiencia para sistemas de fabricación complejos. El integrador de sistemas puede realizar evaluaciones periódicas de riesgos y verificar que los controles recomendados se ejecuten adecuadamente, lo que permite a las empresas mantener una postura sólida en materia de ciberseguridad.
Pasos rápidos que pueden tomar los fabricantes
El alcance de los riesgos de ciberseguridad, las opciones de mitigación y las tareas pueden parecer abrumadores. Incluso antes de que se pueda realizar una evaluación de riesgos completa, cualquier organización probablemente se beneficiará al tomar varias medidas proactivas.
Estos incluyen actualizar los estándares de la empresa para incluir el requisito de una evaluación de riesgos cibernéticos en nuevos proyectos, documentar todas las máquinas, controladores e interfaces que son puntos de entrada potenciales para un ataque cibernético, fortalecer las contraseñas existentes y alentar al personal a mejorar las contraseñas que han configurado. Las empresas también pueden capacitar a todos los empleados para que reconozcan el phishing y otras tácticas de ingeniería social y se defiendan contra ellas.
La superficie de ataque de la manufactura se está expandiendo con más maquinaria controlada por software. Incluso ajustes menores en las configuraciones de red o en los ajustes del dispositivo pueden generar riesgos de seguridad importantes. La integración de evaluaciones de seguridad periódicas a lo largo del ciclo de vida de un sistema de fabricación fortalece la resiliencia general de la instalación contra las amenazas cibernéticas.