La ciberseguridad, Desde el corazón de los diseños industriales

Las arquitecturas industriales a día de hoy no pueden ser concebidas de manera separada de su seguridad. La industria se transforma y la seguridad es una pieza indispensable de un engranaje completo.

Estamos en un momento de grandes cambios y grandes retos. Afrontamos una revolución tecnológica que está también transfondo la industria, nos estamos moviendo desde una tradicional hacia una industria digital. Además, este cambio se está produciendo a gran velocidad. El salto cualitativo de esta revolución va a ser fundamental y probablemente decida qué empresas van a ser competitivas en el futuro y cuáles no. También tenemos que asumir que este cambio hacia la hiperconectividad aumenta el riesgo.

La digitalización está tomando cada vez más importancia en los procesos core de nuestras empresas; en la nube estamos almacenando datos que tienen que ver con nuestros procesos de innovación, nuestro know-how empresarial, desarrollos de nuevos productos y materiales; la relación con nuestros proveedores y clientes también se realiza de una forma digital y por supuesto nuestras operaciones también están más expuestas.

En Siemens, tenemos una cartera de negocio digital y estamos observando un incremento global en las amenazas de ciberseguridad y mayores niveles de profesionalidad en los delitos informáticos. En definitiva, una amenaza a la seguridad de los productos, sistemas y redes, y en la confidencialidad, integridad y disponibilidad de la información.

Por poner datos a las amenazas, en el primer trimestre de 2021 se divulgaron miles de millones de registros en filtraciones de datos comunicados. Estos índices suponen una media de más de 40 por segundo, 3.600 desde que empezó a leer este texto, unos 4 millones al día, cada día. Contando los fines de semana. Y las cifras siguen aumentando.

La industria en general y en particular los dueños de una planta productiva, estamos es un dilema: tenemos la revolución digital que precisa de sistemas IT y sistemas mucho más abiertos (venimos de un mundo a nivel de red aislado) pero tenemos falta de conocimiento para poder en práctica estándares y rutinas para poner a salvo muchos activos que son accesibles desde la red.

La conclusión es relativamente clara: el riesgo número uno de negocio para muchas compañías es la ciberseguridad o, dicho de otra manera, hay que avanzar igual de rápido en la digitalización y en la ciberseguridad.

El reto de la conectividad digital

Los requisitos y necesidades de cumplimiento de los diferentes estándares de seguridad no han hecho más que reforzar un cambio en los modelos en los que nuestros sistemas industriales se encuentran inmersos. Dichos cambios pueden abordarse contenidos en el proceso de transformación digital dentro de lo que cabría denominar la conectividad digital.

Si se atiende a lo que se entiende por conectividad digital, se empezarán a tener en cuenta aspectos tan sencillos a la par que complicados como la necesidad de disponer de la información generada por cada sistema y subsistema de los procesos de producción en lugares diferentes a donde estos están siendo generados y siempre con el objetivo de generar valor y permitir optimizar cada proceso.

Sencillo por un lado porque la capacidad de generar conectividad es altamente conocida y tan sólo debería requerir de sistemas de comunicaciones, pero a la par compleja porque se tendrá que sumar a las redes en sí mismas y de forma intrínseca la seguridad.

Este es el aspecto clave a la hora de concebir la transformación digital de cualquier industria. El hecho de que la seguridad ha de ser intrínseca a los sistemas de conectividad y gestionada como un sistema en sí mismo. Pasan a cobrar sentido aspectos tan amplios como el bastionado de los dispositivos, la capacidad de gestión y monitorización del ciclo de vida del sistema de conectividad, la capacidad de gestionar las vulnerabilidades, o la capacidad conocer el estado y los equipos que conforman las autopistas a la digitalización en las que se deposita la confianza y garantía de producir.

A través de la transformación y con la seguridad por bandera, la conectividad digital pasa a ser entendida como un sistema vivo y sobre el que se necesitará tener un conocimiento exhaustivo y controlado acorde a lo que realmente representa el objetivo principal: la disponibilidad.

Una vez asumido que la conectividad tiene que ser evaluada dentro de cada tipo de industria de manera diferente. Lo más importante es comprender cada industria en un proceso propio de cambio y con unos requisitos y necesidades particulares. Motores de cambio tan importantes como la evolución tecnológica a través de la irrupción del 5G, o la tecnología iWLAN gracias al WiFi6 una conectividad a sistemas en la nube o Edge, se extienden a través de la gran cantidad de tecnologías que han nacido para permitir hacer la seguridad algo inherente a la conectividad y particularizado en cuanto a las estructuras que se pueden encontrar.

Lo que no se puede a la hora de llevar a cabo un proceso de transformación digital es tratar de comenzar por el final. Como ejemplo, no podemos empezar a monitorizar la seguridad de un sistema que no tiene ninguna garantía de seguridad. Lo primero a plantear, es, cuál es un sistema seguro y cómo se puede garantizar que una solución concreta cumple con los estándares de seguridad que se requieren.

Desde Siemens, el compromiso con la seguridad se ha llevado a lo largo de los años a disponer no sólo de las tecnologías que permitirán afrontar el reto de la digitalización de forma segura, sino que, del mismo modo, se trata de trabajar a través de modelos adecuados a cada tipo de industria. Modelos capaces de asegurar el cumplimiento de la normativa facilitando al cliente los requisitos desde el diseño de los nuevos sistemas de conectividad digital a través de todas las necesidades (conectividad a cloud, mantenimiento remoto de máquinas, sistemas de monitorización de red, conectividad WAN…).

Industrias como la alimentaria, la industria del agua, automóvil, ferroviaria o los sistemas de proceso PCS7 entre otros, cuentan con modelos y compendios acorde a los requisitos de seguridad industrial, que han de ser tenidos en cuenta a la hora de abordar las arquitecturas y por ende la conectividad digital que los sostienen.

Como se puede comprender, el producto ha dado paso a la solución, pero si se mira más allá, un aspecto clave ya mencionado es la necesidad de mantener y monitorizar la seguridad de cada industria. Esto es algo que desde Siemens se lleva trabajando de forma interna y que actualmente se traslada como valor a los clientes a través de las ventajas de disponer sistemas de monitorización de red gestión de su seguridad como SINEC NMS, de un product CERT propio, de un sistema de alertas de las vulnerabilidades para todos los fabricantes, o por qué no siendo capaces de disponer de soluciones capaces de descubrir los activos de planta en el contexto del mantenimiento de la seguridad a través de diferentes tipos de análisis.

El reto de la resiliencia

A la hora de defendernos ante un ataque, lo primero es conocer las motivaciones del atacante. Las principales son el chantaje, el sabotaje y el espionaje industrial. En entornos productivos la consecuencia final de un ataque es que se puede producir una parada de producción que puede afectar a la cadena de suministro.

El número de equipos conectados aumenta y hemos pasado de un modelo isla en el que la comunicación es muy limitada y no se traspasan datos fuera de la producción a un sistema en donde aparecen comunicaciones externas. Esto requiere una escalabilidad en nuestras comunicaciones; también requiere una protección extra a nuestro sistema de comunicación. Tenemos que llegar a un estado de protección alto, tenemos que hacer nuestras plantas resilientes.

¿Y cómo podemos mitigar los riesgos?

Nosotros desde Siemens nos basamos en la IEC 62443 y en su propuesta de defensa en profundidad. Es un formato de seguridad tipo “aeropuerto”. Necesitamos dar el acceso adecuado a las funciones adecuadas para que los operadores puedan actuar convenientemente sobre sus áreas de responsabilidad.

A través del concepto de defensa en profundidad (Defense in Depth), basado en la ISA99 actualmente IEC62443, que ofrece un modelo de ciberseguridad basado en capas que ayuda a proteger la planta de ciberataques internos y externos.

El concepto se basa en el análisis y control de todos los componentes en planta y sus interrelaciones con las plataformas IT.

En esta metodología se incluyen conceptos como: la protección en planta, protección de redes e integridad del sistema.

La realidad es que, cambiar o transformar una industria a un nivel de ciberseguridad adecuado, implica un gran cambio en el comportamiento de las personas hacia las herramientas y procesos habituales. Un cambio necesario. No vamos a poder sobrevivir como empresa si ignoramos la ciberseguridad. Si no somos capaces de evolucionar en este aspecto hay un riesgo alto de fracasar como compañía.

Pedro Romero Sánchez,

Responsable de Servicios Digitales en Siemens España

Juan Carlos Pozas Bustos,

Responsable de Producto de Comunicaciones Industriales Sistemas de Comunicación y Ciberseguridad Industrial en Siemens España

págs. 57 a 59.