Blog

La ciberseguridad industrial: ¿Por qué necesitamos protegernos?

Publicado el 19 diciembre 2022
Stéphane Potier
Por Stéphane Potier
En Francia, la ANSSI advierte de los riesgos asociados a la seguridad de los sistemas industriales: el recrudecimiento de las ciberamenazas dirigidas a este tipo de entornos no es sólo una sensación, sino que se refleja en las cifras. ¿Cómo protegerse de los ciberataques en entornos industriales? ¿Cuáles son las limitaciones y las soluciones? He aquí una visión general y algunas respuestas...

91 %

El 91% de las organizaciones industriales informan haber experimentado al menos un problema de seguridad en su entorno de OT en 2021 (Encuesta de seguridad de Kaspersky ICS 2022).

¿Qué es la ciberseguridad OT?

Las tecnologías operativas (OT) se refieren a todas las tecnologías operativas. Es fundamental no confundirlas con el IIoT (Industrial Internet of Things), que es un campo paralelo: se trata de una serie de objetos conectados dentro de un entorno industrial.

El objetivo de la seguridad de OT es garantizar el funcionamiento seguro y sostenible de las herramientas de producción industrial, las personas y los bienes durante sus actividades.

Ciberseguridad industrial: la perspectiva de Advens

La ciberseguridad industrial debe referirse a un amplio espectro de mercados y no limitarse a la industria en el sentido de “fábrica” stricto sensu – construcción. Abarca todas las actividades que cubren flujos sobre elementos físicos.

Tres ejemplos de perímetro de ciberseguridad industrial:
  • Circuitos logísticos y almacenes,
  • En ciudades inteligentes: asegurar las señales de tráfico,
  • En naves industriales gestionadas por las autoridades locales: calefacción colectiva.

La gestión de un túnel o una presa eléctrica puede tener los mismos problemas de ciberseguridad que una fábrica agroalimentaria.

¿Por qué invertir en ciberseguridad en un entorno industrial?

El entorno OT es el nuevo objetivo de los ciber atacantes.

Atacar el mundo de TI es cada vez más complejo porque los sistemas de información están cada vez más protegidos. Hoy en día, los actores de TI cuentan con una buena madurez cibernética: aumentan la conciencia del personal, aumentan sus habilidades en términos de experiencia cibernética, implementan soluciones de próxima generación (EDR, NDR), etc.

¿La consecuencia directa de su mayor resiliencia cibernética de TI?: que los hackers están recurriendo a otra línea estratégica de negocio menos segura: el entorno industrial.

En OT, el ataque puede causar daños colaterales que van más allá del perímetro de la organización, como un impacto directo en la cadena de producción (el motor de ingresos de una organización), o impactos ecológicos y de salud que afectarán al público en general y al medio ambiente (fuga radiactiva, derrame de productos químicos en la naturaleza, etc.).

El ataque a la fábrica de Oldsmar

En 2021, un ciber atacante ingresó a la red informática de una planta de suministro de agua en Florida, dando instrucciones para multiplicar el contenido de hidróxido de sodio del agua por 100 hasta un umbral peligroso y corrosivo. Un técnico detectó una intrusión en el sistema informático e inmediatamente redujo el nivel de concentración. El agua infectada no llegó al sistema de distribución.

Este es solo un ejemplo de cómo el sector industrial es vulnerable ya que afecta a factores externos relacionados con el medio ambiente y la salud pública.

Fuente: The New York Times, 2021

Una superficie de ataque más grande debido a la convergencia IT/OT.

En los últimos 5 o 6 años, ha habido una evolución y un cambio en el modelo operativo de la industria.

Anteriormente, el entorno OT estaba altamente protegido desde una perspectiva de ciberseguridad y era fácil de monitorear porque el equipo estaba aislado y era heterogéneo. Pero estas tecnologías siguen siendo antiguas y, por lo tanto, potencialmente vulnerables si se digitalizan.

En la era de la Industria 4.0, los equipos industriales están basados en datos: todo está comunicado y conectado. Hay una mayor homogeneidad, modelada en tecnologías de TI.

Convergencia de OT y ciberseguridad de TI

El proceso general de ciberseguridad en OT es el mismo que en TI:

  • Descubre tu entorno.
  • Identifica vulnerabilidades (acceso, configuración, defectos de software, CVE, etc.).
  • Intenta solucionarlo.
  • Cuando la corrección no es posible, detecta y contiene la amenaza con el SOC.

Es esencial adaptar el proceso a las especificaciones de OT: el despliegue de soluciones difiere para adaptarse a la realidad de la industria.

Tres especificidades de OT a tener en cuenta

 #1 La vida útil del equipo es alta

En OT, los sistemas muy antiguos no eran conectables y, por lo tanto, no eran muy vulnerables. Los equipos más nuevos se pueden conectar, pero no están diseñados para ser resistentes a los ataques cibernéticos. Consecuencia: conllevan vulnerabilidades que deben ser tratadas y aseguradas.

#2 El tratamiento de la vulnerabilidad es diferente

El proceso es mucho más limitado que en el mundo de TI porque los sistemas OT deben estar operativos 24/7. Las ventanas disponibles para actualizar un dispositivo se minimizan para limitar el tiempo de inactividad del sistema.

El nuevo equipo está conectado, pero incorpora vulnerabilidades, por lo que el volumen de debilidades presentes se mantiene todo el tiempo.

#3 La noción de falso positivo

Un falso positivo en la detección de una alerta de seguridad tiene consecuencias más importantes, ya que induce a tener una acción sobre un equipo operativo, lo que puede impactar a toda la cadena de producción, a diferencia de lo que se hace en TI donde el equipo infractor es cortado de la red mientras se califica la alerta.

Para evitar cualquier efecto negativo en la cadena de producción, el requisito para la calificación de un incidente debe ser más profundo y, por lo tanto, requiere habilidades comerciales.

Dos pasos para asegurar el sistema operativo de los fabricantes.

El tríptico “Prevención-Detección-Reacción” debe convertirse en un reflejo tanto en OT como en TI. Sin embargo, el despliegue de soluciones de ciberseguridad debe incluir las limitaciones relacionadas con el entorno industrial: parada de producción, tiempo limitado, etc.

38 %

El 38% de las empresas dicen que se encuentran, al menos ocasionalmente, con una solución de ciberseguridad que afecta a sus procesos de producción y automatización (Kaspersky ICS Security Survey 2022).

Tiempo #1 : Prevenir ataques

 

Restricciones

Soluciones

Mapa de instalaciones

  • Trabajo que consume mucho tiempo

 

  • Un montón de sombra OT

 

  • Riesgo de interrupción en caso de escaneo activo.
  • Colaboración de sensores en el sistema industrial (IDS pasivo)

 

  • Recopilar datos sobre los que crear casos de uso.

 

Segmentar la red para complicar el progreso del atacante

  • Diseño de arquitectura de destino potencialmente complejo.

 

  • Implementación de reglas de segmentación que consumen mucho tiempo y que pueden afectar la producción.
  • Implementación de firewalls y VLAN para contener mejor el ataque.

Autenticación

  • Gestión compleja de contraseñas en máquinas: sin teclado, sin lector de huellas dactilares (guantes), sin reconocimiento de voz (ruido).
  • Provisión de una insignia para cada empleado.

Endurecer el equipo

  • Proceso no necesariamente implementado antes debido a nuevas características del equipo.
  • Desactivar servicios no utilizados.
  • Utilizar servicios seguros (SFTP, HTTPS, OPC UA…).

Hacer actualizaciones

  • Tiempo limitado: solo se puede hacer en el momento de las paradas de mantenimiento (1-2 veces al año).
  • Validación de la no regresión después de una actualización.
  • Aplicación de parches virtuales mientras se espera el próximo apagado. 

Tiempo #2 : Detectar al atacante y reaccionar

Existe la necesidad de un proceso inspirado en TI para detectar y analizar comportamientos anómalos y maliciosos que explotan vulnerabilidades no abordadas a través de:

  • Una herramienta dedicada: sondas de detección OT especializadas que funcionan 24/7, mucho menos intrusivas y familiarizadas con los protocolos utilizados en el mundo industrial (bacnet, profinet, modbus, etc.), como Nozomi, Claroty, CyberMDX y/o Microsoft Defender, para OT.
  • Un proceso y organización SOC que detecta, analiza y corrige en caso de un ataque.

Las limitaciones del entorno industrial pueden parecer desfavorables para la adopción de una política de ciberseguridad, pero la interoperabilidad de los equipos industriales hace imprescindible proteger y prevenir los ataques por las graves consecuencias que pueden tener. Existen soluciones para prevenir estas amenazas sin detener la línea de producción (detección menos intrusiva, segmentación, conciencia del personal).