A pesar de las grandes diferencias en las prioridades y técnicas utilizadas para proteger los sistemas de control industrial (en comparación a las tomadas para los sistemas de TI empresariales), varias asociaciones industriales han desarrollado normas y directrices de seguridad para conectar o convergir plataformas de Control Industrial con sistemas TI. En particular, el Industrial Internet Consortium (IIC), el National Institute of Standards and Technology (NIST) y la International Electrotechnical Commission (IEC) se centran en tres áreas principales. Estos tres pilares para asegurar las redes industriales incluyen:
• Implementar protección en profundidad para las redes industriales.
• Habilitar la configuración de seguridad en las redes industriales.
• Gestionar la seguridad a través de la educación, las políticas y la supervisión. Sobre la base de estos tres pilares, recomendamos las siguientes prácticas como primer paso para mejorar la ciberseguridad de su ICS.
Pilar I: Infraestructura de red segura
Las redes seguras se fabrican por diseño. Desafortunadamente, la mayoría de las redes de automatización se han implementado, agregado y modificado lentamente durante varios años o incluso décadas. Muchas redes y dispositivos PLC nunca fueron diseñados para estar conectados a una red de planta o a Internet, y a menudo carecen de características de seguridad sólidas, si es que las tienen. Dado que la prioridad era mantener la planta en funcionamiento, las redes se diseñaron teniendo en cuenta la simplicidad más que la seguridad. Para implementar una red industrial segura, lo primero que se debe tener en cuenta es diseñar la red con una “defensa en profundidad”. Debe comenzar con la segmentación de la red en zonas lógicas, cada una de las cuales está aislada y protegida por firewalls industriales. Entre cada zona, puede configurar “conductos” (conduits, en inglés), que son reglas de firewall que filtran o administran la comunicación de datos a través de las zonas de la red. En resumen, un diseño de “defensa en profundidad” busca proteger su red de adentro hacia afuera.
Considere el ejemplo de una fábrica inteligente. Aunque es importante implementar un firewall entre la red de TI y la red OT, esto no es suficiente. Dentro de la red OT, también deben instalarse firewalls adicionales para activos críticos, como un controlador para un sistema de control distribuido (DCS). Después de todo, cuanto más crítico sea el dispositivo, más protección de seguridad requiere. Este es el principio básico de un diseño de defensa en profundidad. Al dificultar el acceso de personal no autorizado a un sistema crítico, se minimiza el impacto potencial de una brecha de seguridad limitando el acceso a una sola zona en lugar de conceder acceso completo a toda la red.
Un sistema de prevención de intrusiones (IPS) o un sistema de detección de intrusiones (IDS) es un sistema avanzado que se puede considerar para su sistema de red industrial. El IPS/IDS supervisará los datos de red en busca de actividad maliciosa. Se utiliza comúnmente en redes de TI corporativas, pero también se puede utilizar para redes de sistemas de control industrial, ya que hay más y más aplicaciones que se ejecutan en equipos industriales basados en Windows.
Otro factor importante es el acceso remoto seguro. Al igual que usar el software VPN en su computador portátil para acceder a una red corporativa desde su hogar, también puede implementar conexiones VPN cifradas para monitoreo remoto o mantenimiento remoto.
Mejores prácticas I: Infraestructura de red segura
• Segmente su ICS en varios subsistemas y defina las necesidades de comunicación de datos entre subsistemas.
• Instale firewalls industriales entre cada segmento y configure la política de comunicación de datos correctamente (por ejemplo, bloquear la comunicación de datos innecesaria con subsistemas protegidos).
• Instale un sistema de prevención de intrusiones (IPS) o un sistema de detección de intrusiones (IDS) para supervisar la actividad maliciosa en su red industrial.
• Configure conexiones VPN para cualquier monitoreo remoto o acceso de mantenimiento remoto.
Pilar II: Seguridad del dispositivo “endurecida”
Otra práctica recomendada para apuntalar la seguridad de la red industrial es aumentar la seguridad del dispositivo (o “endurecimiento” del dispositivo), lo que se refiere a proteger los conmutadores de red, routers y otros dispositivos conectados a su sistema de control industrial. Algunos de los métodos incluyen la autenticación de usuarios, el mantenimiento de la integridad y confidencialidad de los datos y el uso de la autenticación para controlar el acceso a la red. Estas son todos los aspectos que probablemente experimentas en la vida diaria con tus propios dispositivos personales.
Si bien este concepto es familiar para la mayoría de las personas, es bastante común ver dispositivos industriales en sistemas críticos con poca o ninguna configuración para la seguridad. En muchos casos, todavía tienen el nombre de usuario predeterminado y contraseñas como se envían de los fabricantes.
Además de la configuración de seguridad mencionada anteriormente, también se debe considerar la administración de vulnerabilidades. Si alguna vez ha instalado una actualización de Windows en su equipo, esto es simplemente aplicar los parches a las vulnerabilidades conocidas a medida que se descubren y se corrigen. Dado que las vulnerabilidades afectan a los componentes de prácticamente todos los fabricantes de software y dispositivos, trabajar con proveedores que tienen un plan de respuesta bien definido para aplicar parches a las vulnerabilidades es más importante que nunca.
Mejores prácticas II: Seguridad de dispositivos endurecidos
• Confirme que no está utilizando contraseñas predeterminadas en su equipo, especialmente dispositivos de red como conmutadores (switches) Ethernet industriales, routers, puntos de acceso inalámbricos o routers celulares.
• Elija una contraseña segura que tenga al menos ocho caracteres y que sea difícil de adivinar.
• Habilite las funciones de bloqueo de acceso.
• Active listas de control de acceso. Esta característica puede preregistrar las direcciones IP o MAC del equipo en el dispositivo de red industrial y permitir solamente que esos equipos pre-registrados utilicen la red.
• Utilice una sesión VPN o HTTPS para cifrar las comunicaciones para el acceso remoto a dispositivos industriales a través de una consola web. Esto ayuda a evitar que se roben datos confidenciales, como las cuentas de usuarios, inicios de sesión y contraseñas.
• Consulte con el proveedor de su equipo sobre cómo obtener parches y actualizaciones de seguridad en el menor tiempo después de que estén disponibles.
Pilar III: Gestión de la seguridad y educación
La tercera práctica recomendada es el concepto de gestión o supervisión de la seguridad de la red, que incluye la educación/entrenamiento de los ingenieros que utilizan su ICS para cumplir con las nuevas políticas de seguridad. La educación para garantizar que se sigan las políticas y medidas de ciberseguridad podría ser la mejor práctica más importante de todas, así como la más difícil de implementar con éxito. Para facilitar el cumplimiento, es posible que también desee considerar la posibilidad de invertir en herramientas de software especializadas para administrar las políticas de seguridad de ICS de manera más eficiente.
Mejores Prácticas III: Gestión de la Seguridad y Educación
• Desarrolle políticas de seguridad para los operadores que diseñan, operan y mantienen este sistema. Las políticas también deben considerar contratistas externos y proveedores de equipos.
• Capacite y eduque a los ingenieros de sistemas para entender la importancia de la ciberseguridad y familiarizarse con nuevas políticas.
• Desarrolle políticas de seguridad para endpoints, equipos y dispositivos de red.
• Invierta en herramientas de monitoreo de seguridad para monitorear y hacer copias de seguridad de la configuración de seguridad en su equipo y dispositivos de red.
• Registre y realice copias de seguridad de registros de eventos para equipos de sistemas de control industrial y dispositivos de red industrial.
• Utilice un ICS que admita la integración con sistemas SIEM (Security Information and Event Management) de TI existentes (por ejemplo, sistemas que admiten API RESTful o SNMP).
La ciberseguridad industrial es un trabajo de todos
En última instancia, la adopción exitosa de los sistemas IIoT o Industry 4.0 depende de una ciberseguridad eficaz para que los sistemas de control industrial se integren perfectamente con las últimas redes empresariales. Sin embargo, reconocer que las redes OT y los dispositivos industriales ya no son inmunes a los ciberataques es solo el primer paso.
Las empresas usuarias de plataformas de control industrial también necesitan comprender y equilibrar las diferentes prioridades de sus departamentos de TI y OT con el fin de desglosar eficazmente los silos organizativos e implementar las mejores prácticas para fortalecer la seguridad de las redes industriales: despliegue protección en profundidad, habilitando la configuración de seguridad en las redes industriales y gestionando las políticas de seguridad a través de la educación y la supervisión.
Como sugieren estas directrices, la responsabilidad de garantizar la ciberseguridad de las redes industriales recae en más de una persona de su organización. Al final, todos en su empresa tienen un papel crucial que desempeñar cuando se trata de la ciberseguridad industrial y la transformación exitosa de los sistemas OT heredados a la Industria 4.0 en un futuro donde todo está conectado a Internet.
Por Alvis Chen, Gerente de Proyecto en Moxa. Artículo gentileza de Techvalue, representante de Moxa en Chile.
www.techvalue.cl