La mitad de las empresas manufactureras que participaron en una reciente encuesta en los EE.UU. admitieron haber sufrido una violación de datos o un ciberataque en los últimos 12 meses. Desafortunadamente, tales ataques son parte de una creciente tendencia global a medida que el Internet Industrial de las Cosas (IIoT, por sus siglas en inglés) acelera la convergencia de dos dominios una vez separados: las Tecnologías de la Información (TI) y la Tecnología Operativa (“Operational Technology”, OT). Esto ha hecho que las intrusiones y amenazas de ciberseguridad no solo sean más difíciles de detectar sino también de prevenir.

Según los especialistas en ciberseguridad de F-Secure, las principales motivaciones para los hackers informáticos que atacan a la industria manufacturera, son el beneficio financiero y el espionaje industrial. Los “ataques Duuzer” de hace unos años, son uno de los ejemplos más conocidos de ciberdelincuentes que lanzan ataques de malware para robar datos confidenciales y propiedad intelectual.

Además, el daño físico sigue siendo otra amenaza significativa. En 2014, por ejemplo, una fábrica de acero en Alemania sufrió graves daños después de que cibercriminales obtuvieran acceso a los sistemas de control de la fábrica a través de una campaña de suplantación de identidad (phishing), con correos electrónicos dirigidos que parecen provenir de una fuente confiable y engañan a los destinatarios para que abra un archivo adjunto malicioso o haciendo clic en un enlace malicioso. Los hackers robaron los nombres de usuario y las contraseñas que necesitaban para acceder a la red de oficinas de la fábrica, y desde allí pasaron a su sistema de producción.

Un informe del gobierno estadounidense publicado el año pasado sugiere que comprender las diferencias entre TI y OT es clave para lograr la resistencia cibernética. Para entornos de TI, la prioridad es la confidencialidad de los datos, y si bien esto también es importante para los entornos operativos, la prioridad para las tecnologías OT es la disponibilidad de datos para garantizar que los sistemas puedan continuar produciendo. El problema es que cuando los ingenieros diseñaron muchos de los actuales entornos industriales, la ciberseguridad no era una preocupación. Los equipos OT estaban acostumbrados a trabajar dentro de sistemas cerrados que dependían en gran medida de los mecanismos de seguridad física para garantizar la integridad.

Con la aparición del IIoT y la integración de máquinas físicas con sensores y software en red, las líneas entre TI y OT se vuelven borrosas. A medida que más y más objetos se conectan, comunican e interactúan entre sí, ha habido un aumento en el número de puntos finales, y en la posibilidad de fallas en computadores, errores humanos, ataques maliciosos y desastres naturales que afecten los sistemas físicos. Una variedad de actores, que van desde hackers solitarios hasta ciberdelincuentes organizados y estados nacionales, continuamente encuentran formas de explotar vulnerabilidades para pasar de la esfera digital de TI a la esfera física de OT.

La creciente interconexión de la tecnología ha expuesto a la fabricación, así como a otras industrias como la energía y los servicios públicos, a que también dependan de los sistemas de control industrial (ICS) que utilizan OT e IT. En términos generales, un ICS integra hardware y software con el fin de automatizar y operar procesos industriales. El problema, en términos de ciberseguridad, es que un ICS debe permitir el acceso a una amplia gama de operadores diferentes e incluso proveedores externos. Por ejemplo, los operadores deben poder anular manualmente los sistemas automatizados en caso de que la producción esté en peligro de, o si existen amenazas para la salud y la seguridad, o el medioambiente. Una serie de estudios e informes internacionales han puesto de relieve un aumento alarmante en los ataques cibernéticos dirigidos a la cadena de suministro. Una de esas encuestas, realizada en las Américas, Asia y Europa, sugiere que dos tercios de las empresas han experimentado un ataque cibernético en su cadena de suministro.

Las empresas deben poder identificar cuáles de sus activos son críticos para lograr su misión declarada a fin de garantizar que se asignen los recursos adecuados para protegerlos. Esto se conoce como un enfoque basado en el riesgo para la seguridad cibernética.

El objetivo es equilibrar el costo de la mitigación de amenazas de seguridad contra el impacto potencial de un ataque cibernético exitoso. Cualquier solución implementada debe ser monitoreada a lo largo del tiempo para asegurar su efectividad continua y determinar si los posibles ataques podrían superar las soluciones de control. Los expertos en seguridad de TI y OT pueden trabajar juntos para erigir una arquitectura de defensa en profundidad. El Comité Técnico 65 de la IEC, Medición, Control y Automatización de Procesos Industriales, ha desarrollado la serie de normas IEC 62443 sobre Redes de Comunicación Industrial – Seguridad de Redes y Sistemas. Diseñada para mantener los sistemas OT en funcionamiento, se puede aplicar a cualquier entorno industrial o instalación de infraestructura crítica. Debido a que las normas brindan aún más valor cuando se combinan con la evaluación de la conformidad, el programa de ciberseguridad industrial del IECEE (Sistema IEC para Esquemas de Evaluación de la Conformidad para Equipos y Componentes Electrotécnicos) prueba y certifica la ciberseguridad en el sector de la automatización industrial. El Esquema de Evaluación de Conformidad IECEE incluye un programa que proporciona certificación de estándares dentro de la serie IEC 62443.