La Comisión Electrotécnica Internacional, IEC, publica cada dos meses la revista e-tech. Aquí se reproducen algunos de sus contenidos, traducidos por la Asociación Española de Normalización, UNE. e-tech incluye reportajes que muestran los beneficios de la aplicación de las normas electrotécnicas internacionales.
Michael A. Mullane
Según los especialistas en ciberseguridad F-Secure, las principales motivaciones de los piratas informáticos para atacar a la industria manufacturera son el beneficio económico y el espionaje industrial.
Los Duuzer attacks de hace unos años son uno de los ejemplos más conocidos de ataques de ciberdelincuentes mediante el uso de malware para robar datos sensibles y propiedad intelectual.
El daño físico sigue siendo otra amenaza importante. En 2014, por ejemplo, una fábrica de acero alemana sufrió graves daños después de que unos piratas informáticos obtuvieran acceso a los sistemas de control de la fábrica a través de una campaña de spear phishing (ataque de phishing focalizado). Lo hicieron mediante correos electrónicos dirigidos a destinatarios específicos que parecían provenir de una fuente fiable y que engañaban a los destinatarios para que abrieran un archivo adjunto malicioso o pincharan en un enlace malicioso. Los piratas informáticos robaron los nombres de usuario y las contraseñas que necesitaban para obtener acceso a la red de la oficina de la fábrica, y desde allí saltaron a su sistema de producción.
Un informe del gobierno de EE. UU. publicado el año pasado sugiere que comprender las diferencias entre TI (Tecnologías de la Información) y OT (Tecnología Operativa) es clave para alcanzar resiliencia cibernética. Para los entornos de TI, la prioridad es la confidencialidad de los datos. Si bien esto también es importante para los entornos operativos, la prioridad para las OT es la disponibilidad de los datos para garantizar que los sistemas puedan seguir produciendo. El problema es que cuando los ingenieros diseñaron muchos de los entornos industriales actuales, la seguridad cibernética no era una preocupación. Los equipos de OT estaban acostumbrados a trabajar dentro de sistemas cerrados que dependían en gran medida de los mecanismos de seguridad físicos para garantizar la integridad.
Con la aparición del Internet industrial de las cosas (IIoT) y la integración de máquinas físicas con sensores y programas en red, las líneas entre TI y TO se difuminaron. A medida que más objetos se conectan, se comunican e interactúan entre sí, mayor es el número de puntos finales y mayor la posibilidad de fallos informáticos, errores humanos, ataques maliciosos y desastres naturales que pueden afectar a los sistemas físicos. Los distintos actores de las amenazas, que van desde piratas informáticos solitarios hasta ciberdelincuentes organizados o estados, continuamente encuentran formas de explotar vulnerabilidades para pasar de la esfera digital de la TI a la esfera física de la OT.
La creciente interconexión de la tecnología ha expuesto a la fabricación, así como a otras industrias como las energéticas o los servicios públicos, que también dependen de sistemas de control industrial (ICS) que utilizan OT y TI. En términos generales, un ICS integra hardware y software con el fin de automatizar y manejar procesos industriales. El problema, en términos de ciberseguridad, es que un ICS debe permitir el acceso a una amplia gama de distintos operarios e, incluso, a proveedores externos. Por ejemplo, los operarios deben poder anular manualmente los sistemas automatizados en caso de que la producción esté en peligro de detenerse, o si existen amenazas para la salud y la seguridad, por ejemplo, o el medio ambiente. Varios estudios e informes internacionales han puesto de manifiesto un aumento alarmante de los ataques cibernéticos dirigidos a la cadena de producción. Una de esas encuestas, llevada a cabo en América, Asia y Europa, sugiere que dos tercios de las empresas han experimentado algún ciberataque en su cadena de producción.
Las empresas deben ser capaces de identificar cuáles de sus activos son críticos para su misión a fin de garantizar que se asignen los recursos adecuados para protegerlos. Esto se conoce como un enfoque basado en el riesgo para la ciberseguridad. El objetivo es equilibrar el coste de mitigación de las amenazas de seguridad y el impacto potencial de un ciberataque exitoso. Cualquier solución que se implemente debe supervisarse a lo largo del tiempo para asegurar su continua efectividad y determinar si los posibles ataques podrían potencialmente derribar las soluciones de control. Los expertos en seguridad de TI y OT pueden trabajar juntos para erigir una arquitectura de defensa en profundidad.
El Comité Técnico (TC) 65 de IEC Medición, control y automatización de procesos industriales, ha desarrollado la serie de normas IEC 62443 sobre Redes de Comunicación Industrial – Seguridad de Redes y Sistemas. Diseñada para mantener los sistemas OT en funcionamiento, puede aplicarse a cualquier entorno industrial o instalación de infraestructura crítica. Dado que las normas tienen aún más valor cuando se combinan con la evaluación de conformidad, el programa de seguridad cibernética industrial del IECEE -Sistema IEC para Esquemas de Evaluación de Conformidad para Equipos y Componentes Electrotécnicos- prueba y certifica la seguridad cibernética en el sector de la automatización industrial. El Esquema de Evaluación de Conformidad IECEE incluye un programa que proporciona certificación en las normas de la serie IEC 62443.