Juan Marino.

¿Cuándo la industria productiva comenzó a preocuparse sobre la ciberseguridad?
La preocupación comienza a llegar hace algunos años de la mano de la digitalización, en la medida en que esta presenta beneficios y genera mayor agilidad y productividad en las industrias a través de la convergencia entre la red OT y la de TI, permitiendo gestiones o monitoreo remoto, agilización de procesos y mejores aspectos de seguridad, como ocurre, por ejemplo, en minería.

De esta manera, las infraestructuras críticas comienzan a estar sujetas a las amenazas que, hasta antes de esto, eran solamente un problema del mundo TI. Esta conexión expone al mundo OT a las nuevas amenazas y, por esta razón, surge la necesidad de adecuar la infraestructura de ciberseguridad para evitar este nuevo tipo de ataques que amenazan las infraestructuras críticas.

Además, muchos de los sistemas, protocolos y dispositivos que se emplean en el ambiente industrial, no fueron diseñados con la rigurosidad necesaria para evitar vulnerabilidades que pueden ser explotadas por un ciberataque, permitiendo atacar infraestructuras críticas de forma remota, modificando parámetros que pueden afectar directamente, no solo la continuidad del negocio o la operación de una planta, sino que también puede generar daños físicos, dependiendo de cuál sea la industria.

¿Está preparada la industria para hacer frente a estas amenazas?
No del todo, ya que esto se convirtió en una prioridad solo recientemente, pues estas amenazas antes no eran relevantes para el mundo de las redes industriales. De esta manera, se genera una necesidad de no solo adecuar, sino de diseñar una estrategia de ciberseguridad completa para proteger estos sistemas críticos, ya no desde la óptica del acceso físico, que es donde se han puesto la mayoría de los esfuerzos hasta el momento, en el sentido de quien puede operar dentro de un recinto físico.

Ahora, hay que analizar también los permisos de accesos en la medida que ahora se comienzan a tomar ventajas de la conexión remota, la operación, el mantenimiento y el monitoreo. Para esto, hay que ser muy rigurosos en definir quién puede hacer determinada acción y tener claros los mecanismos para validar que ese usuario efectivamente puede acceder a determinados sistemas y que solo tenga una capacidad de acción definida de acuerdo a su rol.

¿Qué otras precauciones se deben tomar?
Además de definir muy bien los permisos de acceso, debemos ser capaces de monitorear de forma dinámica cualquier desvío de lo que se denomina “un comportamiento esperado”. Si hay algo que se puede decir de un sistema industrial o crítico, es que su comportamiento es generalmente algo que está establecido; entonces, se supone que, por ejemplo, una máquina se comunica con determinada máquina para hacer una tarea, esto siempre ocurre de la misma forma y es repetitivo. Cualquier desvío de esa normalidad, debería generar una alerta y debería haber un procedimiento y tecnología para detectar y tomar acciones para remediar lo que podría ser una amenaza o un ciberataque.

En relación a la ciberseguridad, ¿qué problemáticas se repiten frecuentemente en la industria?
Lo que suele ocurrir es que queda en evidencia una falta de visibilidad en tiempo real de las comunicaciones, de la capacidad de ver qué tipos de flujos de comunicación están establecidos y así poder compararlos con el comportamiento esperado. También surge una falta de visibilidad rigurosa desde el inventario de dispositivos de sistemas y versiones. Ahora, uno debe hacerse la pregunta si se sabe quién y qué está conectado y en qué momento.

Gentileza de Cisco Systems. Fuente: http://thenetwork.cisco.com/.

Por lo general, falta poder ver todo esto de forma dinámica y en tiempo real, pero también suele faltar una mayor rigurosidad en la definición y los mecanismos de control para definir quién hace qué y limitar también el campo de acción y comunicación que tiene un determinado usuario que está utilizando determinado dispositivo en un determinado ambiente. De esta manera, la capacidad de definir, construir políticas y aplicarlas rigurosamente, entendiendo bien los casos de uso y pudiendo detectar si estos se están cumpliendo, son los aspectos en los que se suele encontrar un gran espacio de mejora, ya que existen brechas y fallas en las redes industriales que están apareciendo ahora en estos sistemas, cuando están mucho más conectados.

También se descubre una falta de capacidad para entender rigurosamente qué vulnerabilidades existen en el ambiente que están ligadas al tipo de dispositivo o al sistema operativo que emplean, al igual que a los protocolos, para llevar así un control de esas vulnerabilidades y ser capaces, en función de eso, tomar medidas para controlarlas y remediarlas.

¿Qué recomendaciones podría hacer para mejorar la ciberseguridad en una operación industrial?
En primer lugar, hay que evaluar la situación caso a caso, para entender realmente qué ha ido cambiando en la forma de operación de esa industria y cómo esas modificaciones generaron diferentes condiciones y diferentes riesgos, especialmente los cibernéticos.

Ahora bien, desde un punto de vista más práctico, se debe hacer un levantamiento de la infraestructura crítica de los clientes y recabar toda la información posible para comprender cuáles son las áreas de mejora y definir un plan de acción en el que las tecnologías, junto con procesos y personas, permitan mitigar los riesgos que se identifiquen.

En ese sentido, existen soluciones que ayudan a mitigar gran parte de los riesgos antes descritos, inhibiendo la conexión hacia sitios maliciosos, esto en el caso de que hubiera algún dispositivo comprometido y que se está intentando conectar hacia afuera –lo que no es algo esperable- y que no debería estar permitido en un sistema de control o sistema crítico.

Adicionalmente, poseen la capacidad de monitorear todos los flujos de comunicación en el ambiente industrial y a través de la red TI para identificar la infraestructura completa, aprender los comportamientos normales y detectar los desvíos, generando alertas y protección contra amenazas de forma dinámica. De esta manera, estas soluciones tecnológicas generan una capa de control de despliegue rápido que agrega una protección fundamental en las redes industriales.