Icono del sitio Lanner

Solución de Seguridad Cibernética de Sistemas de Control Industrial (ICS)

La convergencia de la tecnología operativa (TO) industrial y la tecnología de la información (TI) conlleva innumerables beneficios, pero también trae consigo muchas nuevas preocupaciones en materia de ciberseguridad. Las consecuencias físicas de un riesgo de seguridad en sistemas como el suministro de agua, las subestaciones eléctricas o los robots de fabricación podrían ser catastróficas.

Desafortunadamente, la infraestructura de TO y los Sistemas de Control Industrial (ICS) no pueden ser protegidos completamente con los estándares y dispositivos tradicionales de ciberseguridad, lo cual es algo que desconcierta a todo profesional en ciberseguridad.

En este artículo presentaremos una robusta solución de ciberseguridad de ICS que puede proteger a todo su ICS de las amenazas a la seguridad. Usando las mejores prácticas de ciberseguridad de ICS y desplegando el Gateway de Seguridad de ICS adecuado, puede garantizar una industria segura

El fin de los sistemas de control industrial con lagunas en el aire

Tradicionalmente, los sistemas de control industrial de campo como los PLC y los actuadores como las cintas transportadoras, las válvulas de agua o los brazos robóticos, estaban separados por aire. En otras palabras, estos dispositivos o procesos industriales estaban físicamente aislados de las redes inseguras, como Internet o las LAN inseguras.

El hecho de ser una red con brecha de aire significaba que no había razón para una ciberseguridad de TO.

Pero con los grandes beneficios de la monitorización y el control remoto del ICS, estos dispositivos industriales ganaron gradualmente conectividad IP. Ahora, la mayoría de la infraestructura de TO e ICS están habilitadas para IP. Por el lado positivo, estar habilitado para IP significa que todos estos procesos y dispositivos industriales pueden ser interconectados y administrados a distancia, que es el concepto subyacente del Internet Industrial de las Cosas (IIoT). Otra gran ventaja es que estos dispositivos ICS están ahora abiertos a nuevas tecnologías como el aprendizaje automático y Big Data.

Pero hay un inconveniente.

La conectividad con las redes externas puede ser beneficiosa, como se ha destacado anteriormente, pero al mismo tiempo significa que estas aplicaciones industriales de misión crítica están ahora expuestas a las redes públicas.

Los dispositivos de TO habilitados para IP crean posibles puertas traseras que podrían introducir riesgos perjudiciales. No sólo riesgos de ataques externos intencionados y maliciosos, sino también de errores internos causados por el hombre. Estas amenazas no sólo afectan a las redes informáticas corporativas y de vigilancia, sino también a toda la infraestructura industrial.

Retos de ciberseguridad de los dominios de TO y TI

Durante mucho tiempo, la TO y la TI fueron dos dominios separados. Pero a medida que las industrias evolucionan hacia la Industria 4.0, todos esos sistemas de TO habilitados para IP se basan ahora en la computación, la programación y los datos; prácticamente todos los fundamentos de la Tecnología de la Información (TI).

Los nuevos dispositivos IIoT como sensores, actuadores, cámaras, escáneres, sistemas incorporados, dependen de los procesos de gestión física de TO pero también de la gestión de la información de IT.

Esto trae consigo tres nuevos desafíos:

  1. Las prioridades de seguridad de TO y de TI no son las mismas.
  2. Los estándares y protocolos de ciberseguridad de TO y TI siguen sin ser los mismos.
  3. Las redes de dominio TI y TO no segmentadas son muy arriesgadas.

Esta convergencia de TO y TI, está desdibujando las líneas entre cómo manejamos la información y cómo manejamos las máquinas. El personal de TI se encarga ahora de las responsabilidades de TO y viceversa. Cuando el gerente de TI y el gerente de planta se reúnen, a menudo hay lagunas de comunicación y conflictos que conducen a riesgos de seguridad.

En la planta, las preocupaciones de seguridad de un profesional de ciberseguridad de TI son realmente diferentes a las de un operador de planta de TO. Mientras que el operador de TO puede estar preocupado por los dispositivos de alta disponibilidad y la seguridad humana, el profesional de la TI está preocupado por la integridad y la confidencialidad de los datos.

A continuación se muestra una tabla con las diferencias clave. TI vs. TO.

Tecnología de la información (IT) Tecnología operativa (OT)
Prioridad Integridad y confidencialidad de los datos Disponibilidad
Seguridad Seguridad de los datos La seguridad de las personas y las máquinas
Activos de protección Dispositivos de red, estaciones de trabajo, servidores, móviles, etc. Dispositivos industriales PLCs
Ambiente Con aire acondicionado Temperaturas extremas

El otro desafío es que no todos los procesos y dispositivos industriales de TO/ICS funcionan con los mismos estándares de TI. Un profesional de ciberseguridad de TI que intente «ciberasegurar» la infraestructura de TO, con procesos de seguridad de TI inadecuados podría, de hecho, perjudicar las operaciones físicas de estos sistemas de TO e ICS.

Para resolver esto…

Una solución integral de seguridad cibernética de ICS puede comenzar a cerrar las brechas entre estos dos dominios. Una solución pone en marcha la protección de todos los puntos finales (TI y TO), separa las redes de TO y TI y proporciona protección perimetral con un firewall inteligente.

Una completa solución de ciberseguridad de ICS

El siguiente diagrama muestra una red básica de ICS. Para proporcionar seguridad a una red como ésta, es fundamental proteger las terminales, desde las estaciones de trabajo, las cámaras de vigilancia, los controladores PLC, etc. También es importante segmentar las redes, lo que puede hacerse con VLAN o firewalls. Por último, un Firewall Perimetral de ICS proporciona una visibilidad total y protección contra intentos externos maliciosos.

  1. Proteger las terminales
    Las amenazas que provienen de la red interna son las más comunes y fáciles. Cada empleado y contratista que conecta su propio dispositivo a la red localmente (LAN) o remotamente (WAN), abre una nueva puerta potencial al ICS. Por lo tanto, es crítico para:
    1. Identificar las terminales. Escanea la red y descubre elementos críticos.
    2. Reforzar a través de software. Mantener la máxima seguridad en cada uno de estos dispositivos a través de políticas de antimalware y de sistemas de prevención de intrusiones en el host (HIPS). Además, es importante realizar un seguimiento de cualquier cambio no autorizado realizado en estos puntos finales.
    3. Reforzar los dispositivos físicos. Proteger los dispositivos locales contra la manipulación en el sitio endureciendo la seguridad física.
  2. Segmentar las redes
    Los dispositivos de borde de ICS como los sensores y los controladores industriales de campo como los PLC y los DCS deben ser protegidos de las redes externas y de las redes corporativas internas. Aunque los ataques casi siempre serían ataques externos intencionales y maliciosos, también podría haber errores internos de ciberseguridad no intencionales que podrían dañar la disponibilidad de ICS.  Por ello es fundamental separar los dominios de TI y TO.
    Un dispositivo como el LEC-6021 de Lanner está diseñado para proteger la comunicación entre los dominios TO y TI. Crea segmentos de red y agrupa dispositivos con funciones similares.
  3. Desplegar dispositivos de seguridad ICS a medida
    Un firewall industrial (o gateway de seguridad de ICS) es un elemento clave en una solución de seguridad cibernética de ICS. Un dispositivo como el LEC-6021 de Lanner puede proteger las PCs industriales, los ICS y otros dispositivos de un acceso no autorizado. Establece límites de zona entre las áreas críticas (como TI y TO) y evita el tráfico no deseado.

La solución: Un firewall industrial para proteger los perímetros del ICS

Los firewalls tradicionales no durarían en las mismas condiciones extremas a las que se enfrenta normalmente la maquinaria de TO. El suelo de la industria no es el mismo que el de un centro de datos con aire acondicionado. Las plantas de energía, plataformas petrolíferas, plantas de fabricación, subestaciones eléctricas se enfrentan a condiciones extremas.

Además de segmentar las redes y filtrar el tráfico, los firewalls industriales están construidos para funcionar en condiciones extremas. Estos dispositivos están diseñados para funcionar de forma fiable en entornos industriales difíciles, con ambientes polvorientos, húmedos y de temperaturas extremas.

El Gateway de Seguridad de ICS LEC-6021 de amplia temperatura proporciona lo siguiente:

Palabras finales

Hoy en día podemos gestionar el mantenimiento de la planta, las actualizaciones de las máquinas, la calidad/cantidad de la producción y el inventario, todo desde un sistema de gestión remota. Pero estar abierto al mundo también abre las puertas a nuevos riesgos. Ya sea accidental o intencional, las amenazas a la ciberseguridad pueden hacer temblar toda la infraestructura industrial.

Estos dispositivos de TO habilitados para IP también están haciendo que los equipos de TI y TO trabajen juntos. Los dos dominios que dirigen toda la industria, están convergiendo lentamente. Pero desafortunadamente, están dejando atrás muchas brechas de seguridad. Esta convergencia conlleva riesgos tales como redes de TI y TO no segmentadas, falta de comunicación y diferentes requisitos y normas de seguridad.

Las soluciones de ciberseguridad de ICS como el mencionado firewall industrial basado en LEC-6041 protege la infraestructura de TO y las terminales. Es el tipo correcto de Gateway de Seguridad ICS para ayudarle a filtrar el tráfico de ICS, segmentar las redes de dominio de TI y TO, y aún así trabajar en entornos industriales extremos.

Salir de la versión móvil