Ciberseguridad operacional (OT), el gran olvidado del IIoT

El entorno industrial lleva tiempo impulsando su digitalización para una mayor eficiencia en la producción. Esto se demuestra por el incremento en la conectividad de sus dispositivos y centros de datos, que tiene como objetivo obtener información en tiempo real para actuar en consecuencia (e incluso de forma remota), automatizar operaciones o poder adelantarse a posibles fallos o disrupciones que interrumpan el funcionamiento de la industria, entre otros ejemplos.

De acuerdo con el pronóstico de MarketsandMarkets, el IIoT experimentará un crecimiento medio anual del 7,4% entre 2020 y 2025, lo que elevará el volumen de negocio hasta los 110.600 millones de dólares de cara a 2025. Estos datos se explican por los avances técnicos en los dispositivos electrónicos y en los semiconductores, el aumento del uso del cloud o la estandarización de IPv5, según la consultora. En resumidas cuentas, conforme pasan los días hay más dispositivos interconectados y más redes de conexión operativas, lo que si bien es algo positivo para el desarrollo industrial, también tiene ciertos aspectos negativos, como es la mayor existencia de puntos potencialmente vulnerables ante ciberataques.

“La ciberseguridad forma parte de la estrategia de cualquier negocio hoy en día. No obstante, el grueso del presupuesto y de los recursos se destina a la ciberseguridad IT, la cual, a pesar de ser crítica, no abarca toda la infraestructura conectada que tiene hoy en día la industria”, comenta José Antonio Afonso, responsable del segmento Commercial Building en Eaton Iberia. “Los sistemas de tecnología operativa, es decir, aquella ligada al control del mundo físico, también son cruciales para el desempeño de la actividad, y con el incremento del IIoT suponen un importante vector de entrada para las amenazas si no se protegen como es debido”, añade.

Tecnología operacional como punto ciego de la cadena de protección

Los sistemas de gestión centralizada para la tecnología operativa son una de las áreas en las que más está avanzando la digitalización del sector. A medida que la capacidad informática y de redes se vuelve más rápida y barata, vemos un número cada vez mayor de productos que están pensados para un entorno IIoT. Por ejemplo, los sistemas de iluminación de emergencia conectados pueden ofrecer grandes ventajas, como es el activarse cuando se utilizan determinadas áreas del edificio, el informar de manera exacta cuando ocurren fallos o el ser operables de forma remota.

Sin embargo, al igual que ocurre con los servidores, herramientas en la nube u otras aplicaciones empresariales, estos sistemas agregan nuevos puntos de acceso potenciales para los atacantes, y si no están diseñados teniendo en cuenta la ciberseguridad, pueden dar pie a graves consecuencias.

De hecho, no sería la primera vez que ocurre. En 2014, los sistemas de calefacción, ventilación y aire acondicionado se utilizaron como punto de acceso en un ciberataque que llevó a 110 millones de clientes de la compañía estadounidense Target a ver potencialmente comprometidos sus datos.

La irrupción del IIoT subraya el hecho de que la ciberseguridad OT es un problema que deben reconocer los equipos de IT – por ser, en gran medida, quienes tienen los recursos para la protección de dispositivos y conexiones –. Los sistemas de calefacción, aire acondicionado y ventilación, los de iluminación, sensores de movimiento o humedad, sistemas inteligentes de seguridad de un edificio (puertas de entrada) y otros elementos funcionales de la gestión de los edificios con controles lógicos programables (PLCs) no han sido siempre considerados por los departamentos de IT a la hora de establecer estrategias de ciberseguridad. Este punto ciego significa que la tecnología operacional es, muchas veces, el eslabón más débil de la cadena de protección.

Para José Antonio Afonso, “estamos acostumbrados a esperar que el software y el hardware informático se ajusten a estándares rigurosos para mantener seguros los datos vitales en áreas como las comunicaciones cifradas o las contraseñas. A medida que la infraestructura industrial se vuelve mucho más interconectada entre sí, debemos asegurarnos de que existen estándares y buenas prácticas para mantener la tecnología operacional también segura”.