¿Cómo garantizar la ciberseguridad en la industria 4.0?
Por Denis Pineda, Gerente General de Universal Robots.
Al discutir las medidas de ciberseguridad en el contexto de la Cuarta Revolución Industrial, Industria 4.0, generalmente nos referimos a la prevención de los sistemas OT, como PLC, SCADA o HMI, de los ataques cibernéticos.
La seguridad integrada, la comunicación segura y la disponibilidad de datos son algunos de los aspectos más importantes del sector de la Industria 4.0. Como especialistas en el campo de la seguridad cibernética, nos gustaría presentarle las medidas de seguridad y los estándares que se pueden implementar para proteger los dispositivos IoT contra el ataque cibernético.
¿Qué riesgos de ciberseguridad enfrentan las empresas de la industria 4.0?
Los ataques cibernéticos sobre sistemas OT en la industria 4.0 son una amenaza creciente para las organizaciones. El daño causado por los ataques cibernéticos puede bloquear los procesos industriales y dar como resultado una pérdida financiera significativa para la compañía afectada.
El nivel de riesgo de ciberseguridad resulta del contexto en el que se usa el dispositivo. El mayor riesgo está asociado con dispositivos críticos, que, si se controlan de manera no autorizada, podría causar consecuencias graves para el negocio. En el pasado, solo era posible controlar el dispositivo si uno tenía acceso físico a él.
Hoy en día, en la era de Internet de las cosas, es posible controlarlos de forma remota, lo que los hace susceptibles a los ataques cibernéticos. Por eso es vital enfatizar la protección de las interfaces externas de nuestro sistema. También es clave para asegurar nuestra red interna, a través de la cual están conectados los dispositivos críticos.
Otro riesgo está asociado con el procesamiento de datos. Los datos que las tiendas de la compañía pueden variar desde detalles del cliente hasta proyectos confidenciales o planos. Una violación de datos puede ser devastadora para la empresa, pero también, en ciertos casos, peligrosa para toda la sociedad, por ejemplo, cuando hay una fuga de datos de los fabricantes de equipos militares. Al identificar y administrar cualquier área vulnerable de su sistema, las empresas pueden garantizar que las posibilidades de un ataque sean lo más bajas posible.
¿Qué medidas de seguridad se deben implementar para proteger los dispositivos IoT contra las amenazas cibernéticas?
Deberíamos comenzar determinando qué requieres exactamente para protegerte. Por defecto, no podemos proteger todo el 100% porque a menudo implica altos costos y una inversión de tiempo significativa. Necesitamos decidir qué debe protegerse y en qué medida. Debe considerarse el impacto de la ciberseguridad en los procesos comerciales, particularmente en el contexto de la integración de nuevos activos tecnológicos y los posibles riesgos de seguridad que pueden surgir durante la implementación de dispositivos IoT.
Un método popular para hacerlo es la evaluación de amenazas y el análisis de remediación (TARA). Nos permite evaluar qué riesgos son los más grandes, cuáles son las posibles amenazas cibernéticas, cuál sería el impacto y cómo podemos proteger nuestros sistemas y minimizar esos riesgos. La información recopilada a través del análisis es una base para que los ingenieros de ciberseguridad elijan las soluciones tecnológicas más adecuadas para la protección cibernética.
Con el desarrollo de nuevas tecnologías, están surgiendo soluciones más y más avanzadas. AI está entrando lentamente en el juego, pero por ahora, se usa principalmente en el contexto de software empresarial, no integrado. La IA se usa, por ejemplo, para proteger las redes corporativas identificando los patrones de actividad, lo que puede ayudar a detectar ataques cibernéticos.
En el caso del software integrado, el uso de IA para la ciberseguridad está sujeto a investigación. Actualmente, no hay herramientas comerciales basadas en IA para la ciberseguridad de software integrado. Sin embargo, con la creciente complejidad de los sistemas integrados, será cada vez más difícil identificar ataques cibernéticos sin herramientas especializadas que ayuden a detectar actividad inusual en la red IoT.
Desarrollar una estrategia de ciberseguridad
La falta de un plan y una estrategia relacionada con la seguridad cibernética en la organización plantea una alta amenaza. Uno de los elementos de dicha estrategia es la provisión de servicios de ciberseguridad para proteger las operaciones comerciales.
Dicha estrategia debe indicar con qué frecuencia se deben realizar las actualizaciones, si las actualizaciones pueden ser automatizadas o no, y qué actividades adicionales deben realizarse antes de determinar que una máquina es crítica para el proceso y su mal funcionamiento puede representar una amenaza de seguridad. En las empresas donde no existe una estrategia de actualización, los sistemas son mucho más propensos a los ataques cibernéticos debido al hecho de que los parches de bug-fix no se implementan regularmente.
Sigue los estándares de la industria
IEC 62443 es una serie internacional de estándares que abordan la ciberseguridad para la tecnología operativa en la automatización industrial y los sistemas de control a lo largo de su ciclo de vida. IEC 62443 aborda no solo los aspectos técnicos sino también relacionados con el proceso de la ciberseguridad de los sistemas. Se necesita un enfoque basado en el riesgo para la ciberseguridad, lo que significa que los usuarios deben identificar lo que es más valioso y requiere la mayor protección.
Los estándares IEC 62443 definen los requisitos para los grupos clave de las partes interesadas, como usuarios finales, proveedores de productos de automatización, etc., que participan en la ciberseguridad del sistema industrial de automatización y control. También vale la pena señalar que IEC 62443 aborda la ciberseguridad en todo el ciclo de vida de todo el sistema.
Los estándares describen cómo se debe gestionar la seguridad en general en varias áreas de la industria 4.0. Por supuesto, los requisitos específicos serán diferentes en cada área. IEC 62443 define las formas de proteger los sistemas de manera física, cómo se debe planificar el acceso a ciertas áreas o cómo se debe administrar la gestión de seguridad para los proveedores. Los estándares también describen los requisitos de seguridad para desarrollar nuevas funcionalidades, subsistemas o componentes.
IEC 62443 se organiza en cuatro partes:
- General: incluye terminología central, conceptos y modelos.
- Políticas y procedimientos: define los requisitos para la gestión efectiva de ciberseguridad en todo el ciclo de vida del sistema.
- Sistema: se centra en los requisitos de ciberseguridad a nivel del sistema.
- Componentes y requisitos: proporciona pautas sobre el ciclo de vida de desarrollo de productos seguro.
Contrata a un gerente de ciberseguridad
El gerente de ciberseguridad es responsable de administrar los procesos relacionados con la ciberseguridad en una empresa y asegurarse de que cumplan con los estándares de ciberseguridad adoptados y los procedimientos internos. Además, su trabajo es observar todas las operaciones que ocurren en la red y administrar la infraestructura utilizada para estas operaciones. Si hay una amenaza, es la tarea del gerente de ciberseguridad mitigar estos riesgos potenciales. También son responsables de realizar auditorías de ciberseguridad regulares para encontrar cualquier área que requiera mejoras.