Suscríbete
Suscríbete
Esta industria sigue necesitando soluciones adecuadas para garantizar que la ciberseguridad no afecte a la disponibilidad de la planta

Ciberseguridad en el sector del agua: Una protección esencial

Apertura
Siemens impulsa la digitalización y la eficiencia energética en la industria del agua. FOTO: Siemens
|

No es ninguna novedad el hecho de que ataques a los sistemas de tecnología de la información “IT” y de automatización y control “OT” van en aumento y, por ello, los ingenieros y propietarios de plantas del sector del agua y aguas residuales “W&WW” han tomado medidas para proteger sus sistemas contra la manipulación y el malware. Sin embargo, el sector sigue necesitando soluciones adecuadas para garantizar que la ciberseguridad no afecte a la disponibilidad de la planta.


La conexión de sistemas distribuidos mediante control, las conexiones informáticas con los sistemas de regulación, las tecnologías de Internet y los dispositivos móviles: junto con las máquinas y los procesos en red en los que se basan estas capacidades, ayudan a mejorar la eficiencia de las plantas y facilitan su supervisión y control. Como resultado, los sistemas de automatización se han conectado más a los sistemas de IT, especialmente en la industria del “W&WW”. Sin embargo, junto con sus ventajas, también conlleva riesgos, lo que hace que los sistemas de control de procesos sean más vulnerables.


Tomar en serio las amenazas y adoptar las medidas adecuadas


Que tales vulnerabilidades existen y representan una seria preocupación se ha hecho evidente a través de ciberataques, como los acontecidos en los sistemas de suministro de agua en Suiza en noviembre de 2018. O los efectos de WannaCry en 2017, que ocasionó daños sustanciales, sobre todo en sistemas y aplicaciones industriales. Lo más preocupante para los expertos en seguridad fue el hecho de que se aprovechara una debilidad conocida que podría haberse eliminado mediante la aplicación de parches en los sistemas críticos, utilizar el software adecuado y tener los sistemas actualizados. Cosas que deberían ser obvias y que evitarían muchos de los problemas derivados de gran cantidad de ciberataques.


Entonces, ¿por qué los sistemas de control y automatización industrial no suelen estar tan bien protegidos como podrían y deberían? Se encuentran barreras para mejorar la ciberseguridad en los entornos industriales como infraestructuras envejecidas, una automatización industrial más abierta, una concienciación de los usuarios insuficiente, un mayor uso de soluciones informáticas inapropiadas y, trabajadores inadecuadamente formados o con conceptos erróneos sobre la ciberseguridad. Razones desalentadoras que aumentan la reticencia a adoptar la planificación e implementación de la seguridad en la industria.


El entorno de los sistemas industriales tiene unos requisitos únicos. Que hacen que los escaneos de seguridad puedan suponer una carga del sistema que afecte a la capacidad de la red en tiempo real. Por este motivo las instalaciones industriales, como las plantas de “W&WW”, requieren soluciones específicas para la ciberseguridad industrial que difieren de los enfoques establecidos en los entornos generalmente ofimáticos. Especialmente en el ámbito de las infraestructuras críticas, donde la disponibilidad del sistema tiene la máxima prioridad.


Son, hoy en día numerosos los proveedores de automatización que están abordando esta demanda con productos y servicios específicos para la industria. Por ejemplo, Siemens apoya a propietarios y operadores de plantas de la industria del agua con un amplio portfolio de servicios que incluye un análisis, diseño e implementación de sistemas de seguridad. Esta oferta de seguridad industrial incluye productos de seguridad industrial para la integridad del sistema y la seguridad de la red, complementándose con análisis de amenazas, riesgos y servicios para la instalación, configuración y gestión de soluciones de seguridad e incluso el análisis forense de los sucesos. Siemens sigue un modelo de "defensa en profundidad", con una estrategia de defensa multicapa, que se extiende a través de la integridad del sistema, la seguridad de la red y la seguridad de la planta, y está diseñado de acuerdo con la norma IEC 62443, la principal norma de seguridad en aplicaciones industriales.

Siemens Water Industry Portfolio EN sRGB


Adicionalmente, Siemens desarrolla y mejora continuamente todos sus productos, sistemas y soluciones teniendo las mismas necesidades que sus clientes en materia de seguridad industrial, incluida la obtención de la certificación según la norma IEC 62443. Siemens ha certificado más de 30 centros de desarrollo, abarcando todas las familias de productos relevantes en la industria del “W&WW”, como los productos de comunicación Scalance, o los sistemas Simatic WinCC y PCS 7. Igualmente, auditorías recurrentes, garantizan que Simatic PCS 7 sigue cumpliendo los requisitos de la norma.


Ingeniería de plantas y sistemas seguros


Para responder plenamente a la necesidad de sistemas más seguros, se deben tener en cuenta todas las fases del ciclo de vida de la solución, desde el desarrollo hasta el funcionamiento del sistema. La serie de normas IEC 62443 considera que el ciclo de vida consta de cinco fases: desarrollo del producto o sistema, especificación, integración y puesta en marcha, funcionamiento y mantenimiento, y desmantelamiento. Cada fase implica una responsabilidad clara y un objetivo principal, por lo que las cuestiones de seguridad deben coordinarse y comunicarse entre las distintas partes interesadas, como proveedores de productos, integradores de sistemas y operadores.


El modelo de defensa en profundidad requiere abordar una amplia y heterogénea gama de dominios de seguridad: la seguridad de la red, la autenticación de usuarios, la configuración segura y el bastionado del sistema operativo, el registro, el cifrado y canales de comunicación seguros. Áreas, donde existen muchas soluciones técnicas, herramientas y buenas prácticas disponibles, que se hacen cada vez más difíciles de evaluar.


Para facilitar la ingeniería de seguridad, Siemens ha desarrollado varios “blueprints” o modelos para la ingeniería de sistemas de automatización y control que apoyan un proceso de diseño seguro de acuerdo con la norma IEC 62443. Un componente clave de estos “blueprints” es el sistema de control de procesos Simatic PCS 7, con certificación IEC 62443-3-3, así como el amplio portfolio de switches, routers y firewalls de la familia Simatic Net. Desde noviembre de 2018, Siemens está certificada de acuerdo con la norma IEC 62443-2-4 para las capacidades relacionadas con la seguridad que se ofrecen como servicios a los operadores de plantas en el contexto de la ingeniería de aplicaciones, integración y mantenimiento de una solución de automatización. Como resultado, los equipos de proyecto tienen acceso a referencias y recursos que les permite seguir un proceso que garantiza que se cumplen todas las medidas de seguridad.


Además, Siemens es uno de los primeros proveedores de sistemas y soluciones que ofrece “blueprints” ampliados para proyectos de “W&WW” y desalinización, que incluyen características como componentes y procedimientos de seguridad para el telecontrol a través de redes públicas. Estos modelos ampliados están a disposición de los equipos de proyecto de Siemens y de los integradores de sistemas externos. Apoyando así a integradores y “partners” durante el diseño, la ingeniería y la implementación del proyecto.


Seguridad a partir de la experiencia


El desarrollo del marco de seguridad de Siemens y de los “blueprints” de proyectos fue impulsado por la propia experiencia de la empresa. El portfolio de seguridad industrial incorpora la experiencia de los ingenieros de seguridad de Siemens en productos, sistemas y un proceso replicable que produce resultados consistentes y minimiza el riesgo del proyecto. Los propietarios de las plantas se benefician al disponer de una solución de seguridad diseñada para sus propios requisitos y conforme la certificación IEC 62443.


Disponer de los últimos y más avanzados modelos de seguridad para cada una de las industrias basándonos en el valor de la experiencia es un punto de partida muy importante a la hora de abordar un modelo de seguridad. De este modo las empresas ponen en valor esta capacidad, y muestran interés en conocer las principales ventajas de dichos modelos donde particularizar las diferentes soluciones planteadas.


Para tal efecto, Siemens cuenta en sus oficinas de Tres Cantos, con un laboratorio de ciberseguridad industrial que forma parte de la red nacional de laboratorios industriales “RNLI”. Donde  se integran las novedades tecnológicas más avanzadas. Llevar a la última milla el requisito de “sistemas a medida” a través de las soluciones de conectividad digital cobra más sentido al ser capaces de adaptar las particularidades de los clientes a la realidad de las nuevas tecnologías.


Dado que las ciberamenazas son cada vez más frecuentes y creativas, la protección de los procesos y las plantas es una tarea continua. Por ello, son muchos los interesados, a través de esta inciativa, en disponer modelos de laboratorios propios donde particularizar las mayores ventajas y soluciones de los más novedosos y actualizados blueprints de ciberseguridad. La concienciación y el aprendizaje continuo cobran vida a través de la experiencia.


Juan Carlos Pozas,

Responsable de Producto de Comunicaciones Industriales y Ciberseguridad Industrial Siemens España




Este artículo aparece publicado en el nº 526 de Automática e Instrumentación

Págs. 33 a 35

Comentarios

Apertura
Apertura
ABB Microsoft Schneider Electric Realidad aumentada

La realidad aumentada ofrece a la industria una forma óptima de visualizar información mediante la superposición de contenido digital a entornos en el mundo real.

Imagen editada
Imagen editada
Editorial

El presente (más que el futuro) pasa ya por las nuevas tecnologías y la digitalización.

David jimenez baraja
David jimenez baraja
ISA Sección Española

Internet, Internet of Things (IoT), Industrial Internet of Things (IIoT)… desde que comenzó la era Internet...

Salesforce
Salesforce
Salesforce

Salesforce ha publicado su informe Trends in Manufacturing que muestra los efectos de gran alcance que la pandemia mundial ha tenido en el sector.

Revista Automática e Instrumentación
NÚMERO 527 // Marzo 2021
Consulte el último número de la revista

Empresas destacadas

REVISTA