Sin ciberseguridad no hay industria 4.0

Engranajes

La Industria 4.0 afecta a toda la cadena de valor industrial, incluyendo aspectos muy importantes como son las comunicaciones y la ciberseguridad. No podemos obviar el hecho de que cada vez existe una mayor conectividad de las máquinas y las plantas y, como consecuencia, han aparecido nuevos riesgos que deben ser mitigados.

Adicionalmente a esta realidad, ahora la seguridad industrial comienza a estar regulada, en parte, en diferentes países. Algunos ejemplos son la Ley de Seguridad de Alemania, la certificación ANSSI en Francia y la NERC CIP en EEUU. En España, existe el R.D. 704/2011 que aprueba el reglamento de protección de infraestructuras críticas, y servirá para desarrollar la Ley conocida como Ley PIC. En el R.D. se definen las responsabilidades de organismos como el Instituto Nacional de Ciberseguridad y el Centro Nacional para la Protección de las Infraestructuras Críticas, que están haciendo una gran labor para conseguir aumentar el nivel de protección de las empresas industriales en general y las infraestructuras críticas en particular. Existe un acuerdo entre ambos organismos para gestionar el CERT de Seguridad e Industria desde donde se gestionan las incidencias de ciberseguridad que puedan afectar a la prestación de los servicios esenciales.

Defense in depth

Para encarar esta realidad con éxito, las empresas deben adoptar un modelo de protección para asegurar la disponibilidad de las instalaciones. Uno los más utilizados es el llamado modelo de defensa en profundidad (defense in depth, en inglés) que ofrece una excelente protección y consigue unos ratios muy altos. Es un modelo que nace a partir de las recomendaciones del conjunto de normas ISA 99 y el estándar desarrollado a partir de éstas: IEC 62443, que es el estándar líder en seguridad en la automatización industrial. Además, es un modelo que se basa en tres conceptos:

  • Seguridad de planta.
  • Seguridad de red.
  • Integridad del sistema.



La seguridad de planta

Para evitar que personas no autorizadas obtengan acceso físico a componentes críticos, se utilizan diferentes métodos de protección como, por ejemplo, el control del acceso a edificios convencionales y la protección de áreas sensibles por medio de sistemas de seguridad en las instalaciones.

Gracias a procesos y directivas claras de seguridad en la planta así como a una absoluta transparencia en el estado de las instalaciones (mediante la obtención de información de amenazas o detección de eventos de a tiempo real), los propietarios de las plantas tienen una visión general del estado de seguridad de sus instalaciones de producción. Además, disponen de informes mensuales que les permiten reaccionar rápidamente y mitigar sus consecuencias.



La seguridad de la red

Para proteger las redes de control frente a accesos no autorizados, se precisa de vigilancia de todas las interfaces, ya sea entre las redes de oficinas y la planta o el acceso de mantenimiento remoto mediante Internet.

La seguridad de la red pasa por técnicas de segmentación de red, firewalls y “zonas desmilitarizadas” protegidas (DMZ). La DMZ se utiliza para poner los datos a disposición de otras redes sin conceder acceso directo a la propia red de automatización. Gracias a la segmentación, se aprovechan las celdas de automatización protegidas individualmente para minimizar los riesgos y aumentar la seguridad. Es recomendable también recurrir a la transmisión de datos encriptados a través de una red privada virtual (VPN) para proteger las instalaciones del espionaje y de la manipulación de los datos.

Una red de planta se puede segmentar en células de automatización individuales protegidas dentro de las cuales todos los dispositivos pueden comunicarse entre sí de forma segura. Dichas celdas están conectadas a la red de la planta a través de una VPN y firewall, reduciendo así la susceptibilidad al fallo de toda la planta de producción y aumentando su disponibilidad.

Las redes de automatización, los sistemas de automatización y la comunicación industrial se pueden proteger utilizando componentes específicos de seguridad como, por ejemplo, los firewall SCALANCE S o los routers SCALANCE M, o utilizando componentes estándar de automatización que incorporen funcionalidades de seguridad, como los procesadores de comunicación (SIMATIC NET CP) para los controladores SIMATIC S7.

La integridad del sistema

El tercer pilar de la defensa en profundidad es la salvaguardia de la integridad del sistema. En este ámbito es crucial la protección de los sistemas de automatización y los componentes de control, como con SIMATIC S7-1200 y S7-1500, así como los sistemas SCADA y HMI contra el acceso no autorizado y el cumplimiento de requisitos especiales como la protección de conocimientos técnicos. Además, la integridad del sistema también implica la autenticación de los usuarios, las autorizaciones de acceso y cambio, y el hardening del sistema, es decir, la robustez de los componentes contra los ataques.

En definitiva, la Industria 4.0 está cambiando la manera en la que se han estado haciendo las cosas tradicionalmente incrementando la interconexión tanto vertical como horizontal de todos los sistemas de control industrial. Por ello, la protección de las instalaciones industriales se ha convertido en un factor clave a tener en cuenta desde la fase de diseño de una instalación industrial hasta en la adopción de modelos de protección eficientes que aseguren la disponibilidad de las instalaciones.

Autor: José Luis Doñoro Ayuso. Responsable de Negocio de Comunicaciones Industriales de Siemens España.

Fuente: Ciudades del Futuro

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity