Desde el 2010 los incidentes cibernéticos en entornos industriales han aumentado significativamente. Pero, sin duda alguna, ha sido a lo largo de los últimos diez años cuando estos incidentes han empezado a afectar de forma más evidente a la población en general y se han convertido en noticia.
Existen varios ejemplos:
- 2015: apagado de la red eléctrica de Ucrania después de que un trabajador abriera un correo electrónico de engaño (phishing).
- 2017: al parecer enviando un correo electrónico los delincuentes fueron capaces anular todo el sistema de protección de una planta petroquímica en el medio oriente.
- 2021: el oleoducto más grande de EE UU tuvo que detener el flujo de suministro durante 8 días después de que la contraseña de un trabajador se viera comprometida y se usara para secuestrar el sistema de control.
Estos son solo algunos casos de los incidentes que han sucedido en los últimos años, que como se puede observar en muchas ocasiones se ha originado por acciones realizadas por empleados.
Diferencias en las aproximaciones a la Ciberseguridad
Esto se debe a varias circunstancias, pero la principal se debe a una diferencia en la mentalidad y formación relacionada con la seguridad.
En los entornos industriales términos como “Anti-DDoS”, “doble factor de autenticación” y otras expresiones similares que sí son habituales en los entornos de seguridad informática e IT son poco conocidas.
Existe una diferencia en la mentalidad y formación relacionada con la ciberseguridad entre los entornos corporativos y los entornos infustriales
Estas diferencias son las que generan muchos de los inconvenientes para implementar o reforzar las medidas de seguridad en la convergencia entre los entornos de informática (IT) y sistemas industriales (OT).
Esto debe servir de lección para los equipos de seguridad, al demostrar que no es posible que la aproximación de seguridad entre IT y OT sea la misma, haciendo que sea necesario entender claramente la raíz de esas diferencias.
La visión de las prioridades en IT y OT
Siempre hemos hablado de que la Ciberseguridad se basa en tres pilares, que son la integridad, la confiabilidad y la disponibilidad. Los tres son los mismos en cualquier sistema que trate información, pero la prioridad que damos a cada uno si puede ser distinta.
- Para entornos corporativos (IT) es fundamental que la toma de decisiones se sustente con datos, por lo que la confiabilidad de estos es la prioridad que se tiene como objetivo.
- Muy diferente es en los entornos operacionales (OT) donde, al interactuar con entornos físicos, los datos se requieren en tiempo real para así tener el control de la operación, lo que orienta la Ciberseguridad a darle prioridad a la disponibilidad.
Este cambio de enfoque hace que procesos como las actualizaciones automáticas, la microsegmentación o cualquier acción que genere un retraso en las señales o una parada de la operación, no es tan simple de implementar porque la prioridad de la operación y los problemas que estas detecciones generan son más importantes y prioritarias que la implementación de un parche o algún requerimiento de seguridad.
Calculando el riesgo cibernético
En Ciberseguridad uno de los primeros pasos es el cálculo de riesgo cibernético, por esto todas las normas y buenas prácticas muestran cómo realizar los cálculos de riesgo y la importancia de poner controles o medidas de mitigación para reducir el riesgo.
Siempre se dice que la probabilidad del ataque por el impacto que genere en la operación, pero en entornos operacionales se dice que estos dos no son los únicos factores a tener en cuenta para la Ciberseguridad industrial, sino que al tener esa ya mencionada interacción con el mundo físico es fundamental colocar el parámetro de la consecuencia dentro de la ecuación.
Ese parámetro adicional en la ecuación cambia drásticamente la valoración del riesgo e incluye detalles valiosos para los operarios, cuyo principal enfoque de la seguridad es hacia la vida o impactos en su entorno, que nunca se tienen en cuenta en IT.
Importancia de los dispositivos
Adicional al análisis del riesgo, en los entornos operacionales se tienen claramente identificados los dispositivos esenciales para la operación, que suelen ser denominados las “joyas de la corona” y las cuales salen tras los análisis de los procesos.
Muchas de esas “joyas” suelen ser equipos muy antiguos, que desde el punto de vista de IT están obsoletos, pero que dentro de la operación son tiempos normales e incluso dentro de la garantía del equipo, lo que evidencia que la seguridad y los cambios tienen velocidades diferentes entre los entornos.
Conceptos de Ciberseguridad
Los términos de Ciberseguridad son nuevos para el mundo de operaciones, que hasta hace menos de 5 años (y todavía hoy) confían en que, al no estar conectados en Internet, las amenazas cibernéticas no les afectan. Eso sin duda, ya no aplica, pero eso surge la necesidad de entender y manejar conceptos relacionados con la Ciberseguridad que son nuevos en este ámbito.
Incluso los conceptos más comunes de la Ciberseguridad todavía no han calado con suficiente fuerza en las empresas industriales
Como decíamos al inicio, conceptos como “Anti-DDoS” no solo son desconocidos, sino que en algunos casos son inaplicables. Pero además de esto normatividad, como la IEC62443, modelos como el de Purdue o normas como la de NIST, no han calado con suficiente fuerza en las empresas industriales, por lo que siguen siendo conceptos que no se conocen o que no se aplican en su totalidad.
Este es un reto para la industria 4.0, que poco a poco se va trabajando, pero que hace que se abra una ventana para los ataques cibernéticos que afectan a muchas áreas de la sociedad, pues la interacción con los elementos físicos en sistemas como el del tratamiento de agua, puede afectar a millones de personas.
The post Ciberseguridad en sistemas industriales OT: una necesidad que tiene sus diferencias appeared first on Think Big.