Ciberseguretat industrial: Aproximació integral en un entorn de transformació digital
L’accelerada digitalització dels sistemes d’automatització i control, l’ús de tecnologies disruptives i l’augment de la connectivitat amb altres sistemes ha comportat que les organitzacions industrials quedin exposades a riscos de ciberseguretat per a les quals no estaven preparades. En aquest procés de transformació digital s’aposta pel fet que la indústria sigui més competitiva mitjançant l’explotació de la dada que tenim a la fàbrica. Per exemple, a través de la introducció de sistemes IoT es busca treure el màxim partit a la informació amb l’objectiu final de produir de manera més econòmica i eficient, perquè el nostre producte tingui més penetració al mercat. Això comporta que els entorns industrials puguin quedar més exposats a noves amenaces que són crítiques per a la disponibilitat, la integritat i la confidencialitat.
Per protegir-nos davant d’aquesta situació és recomanable incorporar als entorns operacionals (OT) tecnologia de protecció específica relacionada amb la segmentació de xarxes, amb l’anàlisi i gestió d’esdeveniments relacionats amb la seguretat, etc. També cal establir polítiques, procediments i instruccions tècniques que ajudin a fortificar els entorns industrials i d’infraestructures. I tot això en un marc de govern que asseguri la posada en marxa d’un sistema de gestió de ciberseguretat que, al seu torn, pugui incorporar els aspectes particulars de cada planta concreta.
«En l’àmbit de la ciberseguretat industrial cal tenir en compte els missatges següents: la seguretat és seguretat i tant és l’àmbit, tant és si parlem de sistemes IT corporatius o de sistemes operacionals OT; la ciberseguretat no és un aspecte únicament tecnològic, també inclou persones, processos i coneixement; i finalment, hem de desenvolupar la política de ciberseguretat des de la premissa que tard o d’hora patirem incidents» Javier Hidalgo, arquitecte de Solucions i expert en Ciberseguretat del Sector Indústria de GMV, durant la seva intervenció en l’esdeveniment organitzat pel Centro de Ciberseguridad Industrial (CCI): La Voz de la Industria 2022 «Gestión y respuesta a incidentes de ciberseguridad industrial».
[VÍDEO] Intervenció de GMV a La Voz de la Industria 2022 CCI
A GMV apostem per un tractament global dels riscos de ciberseguretat per a les infraestructures industrials, basant-nos en bones pràctiques i normatives reconegudes internacionalment (exemples: IEC 62443, ISA 99, NIST 800-82 53, ISO 27001, NERC CIP…), identificant les amenaces existents, protegint els actius, detectant intents d’atac i, si es produeixen, restablint la situació al més aviat possible, tot això orquestrat mitjançant els sistemes de gestió més exigents. Aquesta aproximació a la gestió de la ciberseguretat és fruit de la llarga experiència aconseguida en l’àmbit de les tecnologies de la informació, on es porta afrontant aquest tipus de ciberamenaces, estudiant-ne l’evolució, i treballant de manera contínua en la seva mitigació i prevenció des de fa dècades. Tanmateix, no es tracta només de tenir una sòlida experiència prèvia, sinó de ser capaç de transportar aquesta experiència a un àmbit de negoci amb les seves particularitats i necessitats, com és l’àmbit industrial. Ser capaç d’entendre aquestes especificitats, necessitats pròpies i diferències amb la nostra experiència prèvia és clau per a l’èxit d’un projecte de ciberseguretat industrial.
Casos d’èxit en projectes de ciberseguretat industrial
Per a una organització del sector de producció cimentera, GMV ha desenvolupat una sèrie de projectes encaminats a fer la separació, segmentació i racionalització de les comunicacions entre les xarxes de dades d’IT i OT a les seves plantes de producció en EMEA. Aquest tipus projectes, a part de la implantació i configuració de sistemes tallafoc en aquestes plantes, impliquen un procés de descobriment d’actius industrials, les comunicacions d’aquests amb la resta d’actius –no només de la planta, sinó també de l’empresa i fins i tot de tercers, com és determinades administracions públiques–, i la determinació de les polítiques de control dels fluxos d’informació, per acabar definint una arquitectura de xarxes que prevegin les millors pràctiques per evitar accessos innecessaris o indeguts, i garantir la disponibilitat i el correcte funcionament dels sistemes de producció industrial.
En tenim un altre exemple en el sector d’automoció, on el repte plantejat era sensoritzar la línia d’acoblament de vehicles per optimitzar el procés de logística interna de peces per als vehicles. En aquest projecte GMV va preveure la seguretat des del disseny com a peça clau de la proposta d’arquitectura, fet que va comportar l’elecció de sistemes IoT la funcionalitat dels quals inclogués l’origen i la protecció de les comunicacions, l’ús de credencials en l’àmbit de dispositiu per mitigar el risc d’aparició de dispositius maliciosos o que poguessin produir problemes de funcionament. A més, es va fer ús d’un disseny d’arquitectura de sistemes, basat en microserveis, que busquen no només la granularitat en el desenvolupament d’elements programari, sinó el màxim control de les comunicacions, tant en l’àmbit intern del producte desenvolupat, sinó en les comunicacions amb tercers elements, com el sistema ERP del client, del qual depèn el subministrament final de les peces.
Quan la ciberseguretat forma part indivisible del cicle de vida del projecte, es pot desenvolupar amb èxit qualsevol iniciativa encaminada a desenvolupar processos de digitalització industrial.