Según la consultora IDC, cada día se producen en el mundo alrededor de 350,000 ataques de ciberseguridad. Una cifra ciertamente preocupante, teniendo en cuenta que toda la información que manejamos en los negocios está digitalizada. En las industrias, los riesgos son aún mayores si se consideran las pérdidas que podría generar un evento de esta naturaleza.
Centrémonos en el sistema de control distribuido (DCS, por sus siglas en inglés), que es la plataforma que soporta los procesos industriales. Al ser el "corazón" de la producción, debe estar protegido contra este tipo de amenazas.
Ejemplos hay varios, pero acaso los más relevantes son las 18,000 empresas afectadas por el reciente ataque a SolarWinds; el Colonial Pipeline atacado por ransomware en mayo de 2021 que afectó a los consumidores a lo largo de la costa este de Estados Unidos; la planta de tratamiento de agua de Oldsmar, Florida, vulnerada en febrero de 2021; y las instalaciones industriales y de producción de energía afectadas por el ataque de malware Stuxnet a los controladores lógicos programables (PLC, por sus siglas en inglés) en el 2009.
Como señala Tim Mirth, líder de la plataforma PlantPAx, Rockwell Automation, a medida que las plantas se vuelven más interconectadas y dependientes de Internet, y la transformación digital avanza, las vulnerabilidades aumentan y los riesgos se agravan. "En una planta, un ataque podría significar pérdida de producto, tiempo de inactividad no programado, problemas de seguridad de los trabajadores, pérdida de información confidencial y/o de propiedad exclusiva y, en ocasiones, consecuencias negativas para la imagen pública de la empresa", asegura.
Cabe indicar que, cuando hablamos de sistema de control distribuido, se implican una serie de procesos, productos, controladores, redes, interfaces hombre-máquina (HMI, por sus siglas en inglés), análisis y personas. Por lo que se requiere un plan de ciberseguridad a detalle. Para ello existe el estándar internacional ANSI/ISA-62443-3-3, con el fin de orientar la seguridad en automatización industrial y definir procedimientos para un sistema seguro.
Evaluación de riesgos
Los riesgos de ataques nos exigen ser proactivos y adelantarnos al problema. Por esa razón es clave mantenerse en constante alerta. Así como los atacantes evolucionan, las industrias deben estar preparadas para tener una respuesta.
En esa línea, es recomendable que una evaluación de riesgos sea dirigida por un socio externo de confianza, porque es fácil pasar por alto cosas que están justo frente a nosotros. Esta evaluación ayudará a encontrar vulnerabilidades y permitirá que el sitio comprenda qué nivel de riesgo pueden tolerar. Luego, los administradores del sitio pueden tomar las mejores decisiones para la mitigación de amenazas en su empresa.
Los retos más comunes y cómo enfrentarlos
Un sistema de control distribuido, por su misma naturaleza de conectividad, puede dejar algunos flancos vulnerables que pueden hacer que una operación pueda ser permeable de un ataque. A este nivel, hay desafíos que son comunes, pero que se pueden superar. Aquí hay cuatro desafíos típicos y consejos que se deben considerar para superarlos:
1. Sistemas abiertos. Las redes de protocolo abierto son muy comunes en los DCS y, por lo general, se consideran un gran beneficio. Sin embargo, pueden dejar espacio a los ataques. El modelo llamado Zone and Conduit sirve para mantener los activos críticos separados de las áreas más vulnerables. Asimismo, evita que las redes abiertas queden expuestas a vías fáciles de ataque. Mientras que los firewalls administrados protegen a los sistemas abiertos.
2. Equipo heredado. Suele ocurrir que en una planta no todos los equipos se renueven con la misma frecuencia. Eso puede generar, por ejemplo, que un controlador lógico programable (PLC) esté en la misma red que una computadora con Windows XP. Las máquinas antiguas pueden ser posibles puertas de entrada de ataques. En este escenario, una evaluación de riesgos es fundamental. Lo recomendable es reemplazar el software obsoleto, o de lo contrario segmentar la red con capas de defensa.
3. Alto flujo de fuerza laboral. La rotación interna de empleados, socios y proveedores externos es otro de los desafíos. Saber quiénes tienen acceso a la planta y a los sistemas es esencial para estar protegidos. Recordemos que los ataques pueden ser causados por errores inocentes o malintencionados. En este punto, es clave administrar a los usuarios como parte de una estrategia de ciberseguridad.
4. Retorno de la inversión (ROI) desconocido. Cualquier inversión necesita tener un estimado de cuánto va a redituar. Sin embargo, en el caso de la ciberseguridad o cualquier iniciativa de mitigación de riesgos, se trata de lo que no quiere perder una empresa. Esto implica pérdidas de producción y tiempo de actividad hasta la seguridad de los trabajadores. Los tomadores de decisiones deben preguntarse qué riesgo están dispuestos a tomar, y tener en cuenta que estos cambios no suelen ser tan costosos como se piensa, dado que el costo por no blindarse es demasiado alto.
Dicho esto, es clave que no nos convirtamos en una estadística más de los ciberataques. Debemos buscar ser tanto proactivos como reactivos frente a las amenazas. Un proveedor de automatización industrial idóneo se toma en serio la seguridad, y debe ofrecer soluciones de acuerdo con el estándar ANSI/ISA-62443-3-3, considerado por expertos como el estándar global para el presente y el futuro.
Para explorar su tolerancia al riesgo y postura de seguridad, pregunte a su proveedor acerca de un análisis completo, que puede ayudarlo a adoptar una postura proactiva. Seleccione un socio en ciberseguridad que tenga en cuenta estos tres resultados para su negocio: mayor seguridad general, flexibilidad y transformación digital.
