La consultora multinacional española del entorno de las TIC, Grupo CMC, alerta sobre las nuevas amenazas y vulnerabilidades de las instalaciones industriales, como consecuencia de la creciente automatización de este sector, la expansión del Internet de las Cosas (IoT) o el auge del concepto Industria 4.0.
Según CMC, esta nueva situación, que expuso en el XI encuentro de la Voz de Industria sobre el marco normativo de Ciberseguridad Industrial, exige abordar de forma integral la ciberseguridad de las infraestructuras industriales. A juicio de la consultora, esta aproximación se apoya en cuatro puntos fundamentales: el análisis de riesgos, la creación o desarrollo de una normativa interna para cada empresa con el objetivo de estandarizar una arquitectura de alto nivel en torno a la ciberseguridad industrial, implantación de medidas de acuerdo a esta normativa y la formación y soporte al personal encargado.
Respecto al primero de estos pilares, el análisis de riesgos, CMC recomienda abordar una evaluación ICS (Industrial Control Systems) que incluya realizar una consultoría de seguridad para analizar el impacto en el negocio (BIA – Business Impact Analysis).
Grupo CMC recuerda que las auditorías en los entornos industriales tienen peculiaridades debido al ciclo de vida de los dispositivos de automatización y control industrial, y otros equipos asociados. Según Carlos Navares, director de la unidad de negocio de Eficiencia Energética de Grupo CMC, “las limitaciones de este tipo de hardware y el uso de determinados protocolos específicos elevan el nivel de compromiso de estos recursos y el riesgo de sufrir ataques de denegación de servicio (DoS) u otro tipo de ataques que comprometan la disponibilidad y la seguridad”.
En cuanto al segundo eje de esta aproximación integral, la definición o desarrollo de una normativa interna para cada empresa permite determinar el estado actual respecto a las mejores prácticas, definir arquitecturas seguras, evaluar los riesgos y determinar los planes de actuación, valorando las inversiones necesarias y su retorno (ROI).
Respecto al tercer eje del ciclo comentado, según CMC, únicamente en base a ese conocimiento es posible implantar las soluciones de ciberseguridad más adecuadas y responder con éxito a los requerimientos de las fases de diseño, construcción, mantenimiento y soporte.
Por último, Grupo CMC pone el acento en el soporte y, muy especialmente, en la formación. Según Navares, “en los entornos industriales son muchos los puntos en los que se pueden llevar a cabo ataques, pero al final siempre tienen que ver con personas: desde empleados, a proveedores o consumidores; de ahí la importancia de concienciar y formar a todo el personal involucrado.
Organización, operación e infraestructura
Las recomendaciones de Grupo CMC en la vertiente organizacional tienen justamente el objetivo de reducir este riesgo y pasar por el establecimiento de roles y procesos, junto con la definición y la puesta en marcha de Planes de Continuidad de Negocio (BCP).
En la vertiente operacional, las recomendaciones de Grupo CMC se centran en una serie de métodos, tecnologías y técnicas de seguridad fundamentales. Además de la actualización permanente del software, la gestión de parches y la protección anti-malware, Grupo CMC considera fundamental el bastionado de sistemas, es decir, su securización mediante la reducción de nivel de vulnerabilidad ante ataques; sin olvidar la encriptación y el control de los accesos NAC (Control de Acceso a la Red) y NBA (Análisis de Comportamiento de la Red). Y por supuesto, la monitorización permanente SIEM (Security Information Event Management).
A nivel de infraestructuras y para fortificar o asegurar la seguridad del software, Grupo CMC recomienda usar aplicaciones de whitelisting o listas blancas que, de acuerdo a estadísticas publicadas por ICS-CERT, reducen los riesgos un 38%. Y, para el bastionado del hardware, aconseja el uso de firewalls industriales con Deep APP Control, IPS (Sistema de Prevención de Intrusión) e IDS (Sistema de Detección de Intrusión) para los protocolos industriales, así como la utilización de antivirus y de herramientas de sandboxing, que simulan entornos de ejecución para aislar los potenciales ataques.