Con el fin de seguir las recomendaciones de ANSSI, Fives CortX ha iniciado la homologación del portal de su solución CortX Alchemy Edge, destinada a la recopilación de datos en el ámbito de la industria 4.0. Consultoría, auditoría organizativa, prueba de penetración… Advens acompañó a Fives CortX en este proceso de homologación durante casi un año.
Contexto y retos
CortX Alchemy Edge: el portal que se debía homologar
CortX Alchemy, que destaca por su facilidad de uso, integra funciones de recopilación de datos, visualización y modelización predictiva para ofrecer a los clientes industriales una consola mejorada para la supervisión de sus equipamientos.
La solución CortX Alchemy está disponible en tres arquitecturas distintas: Edge, On Premise y Cloud.
Se estableció una colaboración con WALLIX Inside para reforzar la seguridad y el enfoque de desarrollo «asegurado por diseño»: la pasarela lleva incorporada una caja fuerte para contraseñas.
Fives CortX frente a los ciberretos de la industria
Industrie 4.0: un nuevo objetivo de los ciberataques
La interconectividad de los datos de la industria 4.0 aumenta considerablemente la superficie de ataque de los sistemas industriales. En el entorno industrial se deben tomar las medidas necesarias para hacer frente a estos riesgos potenciales con el fin de:
- aumentar la protección de sus datos y asegurar su acceso;
- mejorar la ciberresiliencia de los bienes de producción para garantizar la continuidad de la actividad.
91%
El 91 % de las organizaciones industriales declaran haber experimentado al menos un problema de ciberseguridad en su entorno OT en 2021 (Kaspersky ICS Security Survey 2022).
Requisitos normativos cada vez más estrictos a escala europea
Los riesgos en la ciberseguridad aumentan en los entornos industriales debido al contexto geopolítico. Hace poco, la Unión Europea reforzó sus requisitos normativos en relación con la ciberdefensa con la promulgación de varios textos aplicables a todos los Estados miembros.
Para ANSSI, la homologación de seguridad es «un requisito previo para instaurar la confianza en los sistemas de información y en su explotación.»
Como empresa prestataria de servicios, Fives CortX todavía no ha acatado estas nuevas obligaciones. La empresa decidió adelantarse al endurecimiento de la normativa anticipando la homologación del portal de su solución. Fives CortX desea anticiparse a las limitaciones impuestas por la futura Ley de Ciberresiliencia.
Ley de Ciberresiliencia
Como piedra angular de un nuevo estándar europeo de ciberseguridad para los dispositivos conectados, estas son sus metas:
- Responsabilizar a los fabricantes de la ciberseguridad de sus productos
- Informar a los clientes y usuarios sobre las normas de ciberseguridad de los objetos que adquieren y usan
- Proteger a las empresas contra el creciente número de fallos del IoT (Internet de las cosas) introduciendo la noción de Security by Design: ciberseguridad por defecto
La homologación de seguridad para ofrecer un producto más seguro
Fives CortX tomó la decisión de homologar su pasarela para ofrecer una garantía de seguridad suplementaria a sus clientes y usuarios. Esta homologación supone numerosas ventajas:
- Es un proceso rápido y ágil, compartido al más alto nivel con la dirección; la gestión se basa en los riesgos, teniendo en cuenta las vulnerabilidades reales gracias a las auditorías técnicas.
- Los procedimientos de obtención y las pruebas técnicas son más flexibles y rápidos, y menos costosos que una certificación.
Un sistema de información (y todos sus procesos) puede homologarse sin que se certifique ninguno de sus activos y/o componentes. Así pues, la homologación de seguridad responde a la necesidad de un producto aunque este se ofrezca en nuevas versiones cada 6 meses con nuevas características.
El proceso de homologación no dista mucho de un proceso de certificación, ya que está orientado a los riesgos y controles mediante auditorías técnicas. La gran diferencia reside en el control propiamente dicho, que no realiza un tercero (aquí es donde entra Advens) y sigue siendo un proceso interno. Es la dirección la que se compromete con los riesgos y vulnerabilidades que se presentan, lo cual constituye un mensaje contundente ante sus clientes.
Por qué Fives CortX eligió a Advens
David Zak, presidente de Fives CortX, y Kélig Dugué, directora de seguridad del grupo Fives, iniciaron esta homologación y eligieron a Advens para que les apoyara en este proyecto.
Para ellos, el apoyo de Advens es garantía de:
- comprender y aplicar el proceso de homologación de seguridad recomendado por ANSSI, ser autónomo y beneficiarse de garantías de seguridad adicionales durante 3 años (si el producto evoluciona significativamente durante este periodo, deberá obtenerse de nuevo una homologación para garantizar la producción segura de la solución);
- hacer que un profesional de la ciberseguridad ponga su producto a prueba con el fin de corregir cualquier fallo detectado.
Encontramos en Advens un socio de carácter humano, capaz de responder a nuestros retos teniendo en cuenta la especificidad de nuestro contexto de ejecución. Su apoyo y colaboración nos han hecho crecer y han reforzado nuestras prácticas diarias.
David Zak • Presidente de CortX
Amplios conocimientos técnicos para poner a prueba la seguridad del portal
El apoyo de Advens permitió a Fives CortX reapropiarse de los conceptos básicos de la seguridad de datos en dos niveles:
- De producto, con la revisión de la política de seguridad y la aplicación de un proceso que garantizara una solución asegurada por el diseño
- Humano, con la implantación de un programa de formación para los equipos de desarrolladores
La parte técnica del apoyo de Advens consistió en realizar numerosas pruebas de penetración (pentests) muy complejas para garantizar la fiabilidad de la pasarela y la ausencia de fallos de seguridad.
La fase de pruebas de penetración y el plan de corrección propuestos por Advens nos permitieron detectar y corregir fallos de seguridad antes insospechados. Sin duda, su apoyo técnico fue esencial para comprender mejor el comportamiento de los ciberatacantes y saber cómo reaccionar en caso de intrusión.
Thomas Lourdaux • Responsable de DevOps, Fives CortX
Resultados
Apoyo técnico indispensable para el mundo de OT
Ya habíamos colaborado con Advens y, una vez más, sus equipos estuvieron presentes. Lo que más me interesó de este proyecto fue el análisis de riesgos. Se llevó a cabo en profundidad y con la metodología adecuada, lo que permitió dejar al descubierto todas las vulnerabilidades específicas de nuestra actividad. Este proceso nos permitió centrarnos en los puntos más críticos.
Thomas Lourdaux • Responsable de DevOps, Fives CortX
Un trampolín para homologar la parte Cloud
Con este apoyo operativo y técnico de Advens, Fives CortX confía ahora plenamente en el nivel de ciberseguridad del portal de su solución CortX Alchemy Edge. Con la homologación, Fives CortX puede ofrecer una pasarela más segura: una garantía de calidad que tranquiliza a sus clientes.
Pero la homologación no es más que una etapa. Lo que ahora importa a Fives CortX es homologar toda la plataforma Cloud… ¿Y quién mejor que Advens para proseguir el trabajo?
Los expertos de Advens supieron mostrar un elevado nivel de capacidad técnica y nos permitieron orientar las medidas que debían implementarse en materia de ciberseguridad. Consideramos esta una primera etapa en el largo proceso de mejora de nuestra madurez cibernética. Esta exitosa experiencia nos ha dispuesto de forma óptima para contemplar la homologación de la parte Cloud de la solución.
Itamar Ferreira Dos Santos • RSSI, Fives CortX