La protección de las cadenas de suministro contra los ciberataques

En términos generales, una cadena de suministro es el trayecto que realizan los productos y servicios desde el proveedor hasta el cliente. Es un sistema que abarca organizaciones, personas, actividades, información y recursos. Las cadenas de suministro son especialmente vulnerables debido a sus complejas interacciones con las operaciones de la planta, los empleados, los clientes y los transportistas, entre otros. Puede resultar difícil saber, y mucho más controlar, los procedimientos de seguridad que se utilizan a lo largo de la cadena.

Otro aspecto que se identifica en un informe del Departamento de Defensa de EE. UU. es que la seguridad en la industria manufacturera tiende a centrarse en los servicios en la nube, la gestión de datos y otros tipos de tecnología de la información (TI), mientras que pasa por alto la seguridad de la cadena de suministro, gran parte de la cual se ejecuta en tecnología operativa (TO). La principal preocupación del Pentágono es, por supuesto, la industria de defensa estadounidense, pero los problemas que aborda el informe se aplican a todos los sectores industriales y a todas las infraestructuras críticas del mundo.

Según el mencionado informe, la raíz del problema reside en que los programas de ciberseguridad suelen estar dirigidos por las TI. En realidad, las restricciones operativas en sectores como la industria productiva y en otros como la energía, la salud y el transporte, significan que el enfoque adoptado para la ciberseguridad también debe proteger la TO.

La TI se centra, principalmente, en la información y su capacidad de fluir de forma libre y segura. Existe en el mundo virtual, donde los datos se almacenan, recuperan, transmiten y manipulan. Es fluida y tiene muchos elementos móviles y puertas de acceso, lo que la hace vulnerable y ofrece una gran base a una amplia variedad de ataques en constante evolución. La defensa contra los ataques consiste en proteger cada capa, así como en identificar y corregir continuamente las debilidades para que los datos sigan fluyendo.

En cambio, la TO pertenece al mundo físico. Si bien la TI debe proteger todas las capas del sistema, la TO consiste en mantener el control de los sistemas, asegurando la correcta ejecución de todas las acciones. En la TO todo está orientado al movimiento físico, y al control de los dispositivos y los procesos para que los sistemas funcionen según lo previsto, con un enfoque principal en la seguridad y una mayor eficiencia. Por ejemplo, la TO ayuda a garantizar que un generador entre en línea cuando aumente la demanda de electricidad o que se abra una válvula de desbordamiento cuando un tanque de productos químicos esté lleno para evitar el derrame de sustancias peligrosas.

Antes la TI y la TO tienen funciones independientes. Los equipos de TO están acostumbrados a trabajar con sistemas cerrados que dependen en gran medida de los mecanismos de seguridad física para garantizar la integridad. Pero la aparición de internet industrial de las cosas (IIoT) y la integración de máquinas físicas con sensores y software en red están difuminando la línea que existe entre ambos. A medida que hay más objetos que se conectan, se comunican e interactúan entre sí, incrementa el número de terminales y las posibles formas en que los ciberdelincuentes pueden acceder a las redes y los sistemas de infraestructura.

Esto nos remite de nuevo a las cadenas de suministro, donde es probable que se originen la gran mayoría de las infracciones cibernéticas. Aquí también existen diferencias importantes entre la TI y la TO.

La cadena de suministro de la TI se define como “un conjunto de organizaciones con conjuntos de recursos y procesos vinculados, cada uno de los cuales actúa como adquirente, proveedor o ambos para formar relaciones de proveedores sucesivas creadas en el momento de formalizar un pedido de compra, un contrato u otro acuerdo formal de abastecimiento”. Una definición de la cadena de suministro para plantas de fabricación inteligentes abarcaría no solo la cadena de suministro de la TI sino también la de la TO. Esto incluye personas (desarrolladores, proveedores y personal que trabaja en la TO), procesos y productos: componentes y sistemas centrales para la TO, como los sistemas de control y automatización industrial (IACS) y, cada vez más, los elementos de Internet de las Cosas (IoT).

Para proteger la cadena de suministro es fundamental instalar una tecnología segura. La tecnología heredada es un hándicap importante, especialmente cuando los dispositivos vulnerados se convierten en puertas de acceso a los sistemas de control industrial o control de supervisión y adquisición de datos (SCADA). Los investigadores han usado recientemente una línea de fax para acceder a los dispositivos de red conectados a una impresora todo en uno.

La tecnología segura es solo una parte del desafío; por sí sola no garantizará la resiliencia. El enfoque más seguro implica comprender y mitigar los riesgos para aplicar la protección adecuada en los puntos apropiados del sistema. Esto se aplica tanto a TI como a la TO. Es esencial que este proceso esté estrechamente alineado con los objetivos de la organización porque las decisiones de mitigación pueden tener una importante repercusión en las operaciones. Lo ideal sería que el proceso se basara en un enfoque de sistemas que involucre a las partes interesadas de toda la organización.

Una vez que una organización ha entendido el sistema e identificado lo que es valioso y necesita más protección, hay que seguir tres pasos para gestionar el riesgo y las consecuencias de un ciberataque:

• Comprender las amenazas conocidas a través de su identificación y la evaluación de riesgos.
• Abordar los riesgos e implementar la protección con la ayuda de las normas internacionales, que reflejan las buenas prácticas globales.
• Aplicar el nivel apropiado de evaluación de la conformidad (pruebas y certificación) frente a los requisitos.

Un enfoque de sistemas basado en el riesgo aumenta la confianza de todos los interesados ya que, además de demostrar el uso de medidas de seguridad basadas en las buenas prácticas, también demuestra que una organización ha implementado las medidas correctas de manera eficiente y efectiva.

IEC ha desarrollado muchas normas para proteger los activos de infraestructuras industriales y críticas, alguna amplias que se aplican a muchas situaciones diferentes; y otras más específicas, por ejemplo, para plantas de energía nuclear o para la atención médica. Al mismo tiempo, trabaja en la evaluación de la conformidad y en esquemas de certificación global a través de Grupos de Trabajo (WG) establecidos por su Junta de Evaluación de la Conformidad (CAB) y por el Comité de Gestión de Certificaciones (CMC) de IECEE, el Sistema del IEC de Esquemas de Evaluación de la Conformidad para Equipos y Componentes Electrotécnicos.

Además de la familia de Normas ISO/IEC 27000 para la gestión de seguridad de la información y la serie IEC 62443 de publicaciones específicas para redes de comunicación industrial y sistemas de control, varios comités técnicos (TC) y subcomités (SC) de IEC han desarrollado normas, especificaciones técnicas (TS) y requisitos para sectores concretos.

El CAB del IEC ha creado el GT 17 para investigar las necesidades del mercado y un marco temporal para los servicios de evaluación de la conformidad(esquemas de certificación global) para productos, servicios, personal y sistemas integrados en el ámbito de la ciberseguridad. Sin embargo, excluye de su alcance las aplicaciones de automatización industrial que abarca el WG 31 del CMC del IECEE. El WG 17 del CAB también comunica a otros sectores industriales el enfoque genérico de la ciberseguridad adoptado por el WG 31 del CMC del IECEE. Este ejemplo puede aplicarse a otros sectores.

La tarea principal del WG 31 del CMC del IECEE es “tener un enfoque único de CA para la serie IEC 62443”. Con este objetivo ha el elaborado OD-2061, un documento operativo que sirve de orientación publicado en junio de 2018, en el que se describe cómo la evaluación de la conformidad se puede manejar y aplicar a ciertas normas de la serie IEC 62443. El OD-2061 también explica en qué condiciones se pueden entregar los certificados de conformidad cibernéticos del IECEE - Capacidad de ciberseguridad industrial. Así, determina que son válidos solo cuando están “firmados por un laboratorio de pruebas de un organismo de certificación (CB) autorizado y se adjuntan junto con un certificado emitido por un CB nacional (NCB)”. Actualmente, estos certificados se definen para las siguientes evaluaciones, cada una de las cuales se aplica a una o más normas de la serie IEC 62443:

• Capacidad productiva
• Capacidad de procesamiento
• Aplicación de capacidades en el producto.
• Aplicación de capacidades en el proceso.
• Aplicación de capacidades en la solución.

Junto con las normas de seguridad de IEC relacionadas con la cibernética, la reciente introducción de esquemas de certificación de evaluación de la conformidad completos debe garantizar que los sistemas que dependen de las redes de comunicación industrial, incluidas las cadenas de suministro, estén mejor protegidos contra las ciberamenazas.