Hay mucho de lo que hablar en cuanto a las normas de seguridad y salud en la industria, ya sea en las fábricas o en las plantas más pequeñas. Un tema que a veces pasa desapercibido es la seguridad de la red industrial. En general, donde una persona puede verse amenazada por el más mínimo peligro, hay toda una serie de normas, sistemas de seguridad, protocolos de actuación, etc… A nadie le sorprende, la vida es lo más preciado. Sin embargo, se habla muy poco de la seguridad de los datos y de las redes TIC, que al fin y al cabo se utilizan cada vez más en la automatización. Hoy en día, el objetivo es la automatización total de los procesos, la movilidad de las soluciones, el uso de las TI en los sistemas de automatización, las soluciones IoT e IIoT y muchas más.
Controlar la fundición a través de un HMI de forma inalámbrica… O una enorme excavadora que trabaja a varias decenas de kilómetros ya no es ingeniería aeroespacial. En la industria de las TI, los ingenieros se enfrentan a los problemas de asegurar las redes y los datos contra las filtraciones o los ataques desde el exterior. Pero, ¿significa eso que el problema no está en la industria de la automatización?
Inicialmente, los dispositivos se comunicaban en la red interna, ya sea a través de Modbus, Can, DeviceNet o Profibus, en los estándares RS-232 o RS-485, etc. De hecho, sigue siendo así, y los propios protocolos en términos de seguridad no han cambiado mucho desde los años 70. El acceso a estos dispositivos desde el exterior era prácticamente imposible desde fuera de la instalación. La única amenaza hace años era la intromisión física de terceros en la red corporativa interna o de un descuido de los empleados.
Hoy en día cuando utilizamos a menudo el acceso remoto y la comunicación a través de Internet, prácticamente todos los dispositivos de la red industrial están expuestos a los ataques. Desgraciadamente (y afortunadamente) hoy en día es difícil imaginar el funcionamiento de los sistemas industriales sin el uso de amplias redes TIC. Una mayor eficiencia en el trabajo, el acceso a un número mucho mayor de dispositivos al mismo tiempo desde un punto final, que puede ser un trabajador de mantenimiento, un programador, una resolución de fallos mucho más rápida o incluso la supervisión de los parámetros de rendimiento y los estados de los dispositivos. Estas son solo algunas de las ventajas de la automatización industrial en las extensas redes del TIC.
Un gran poder conlleva una gran responsabilidad…
Basta con que el controlador esté conectado a un conmutador, el conmutador a otro conmutador, en algún lugar del camino habrá un Hub, tal vez un convertidor de medios, un router y una red pública. También podemos comunicarnos desde la oficina o desde casa con un PLC a través de un módem GSM…
Sin una buena política de seguridad y una serie de protecciones, nuestra red industrial nunca será segura.
Amenazas en la red industrial
En 2010, se detectó un fallo en los sistemas industriales iraníes (incluidos los de líbia y Natanz) que infectaba el software de los PLC. Su nombre era Stuxnet. Se utilizó otro tipo de software infectante para «reconocer» la zona. Stuxnet comprobaba y reconocía si los dispositivos Siemens (principalmente S300/S400, inversores y SCADA Siemens) estaban conectados al ordenador infectado. Como resultado, cambió gradualmente la configuración de los parámetros de funcionamiento de las centrifugadoras, lo que, con el tiempo, provocó su daño.
El virus era suficientemente inteligente como para poner a dormir las alarmas y las notificaciones del sistema, haciéndolo prácticamente invisible. Además, periódicamente se ponía el mismo a dormir, con lo cual era más complicado de detectar. ¿Cómo sucedió esta infección? Probablemente debido a una negligencia del personal o un fallo en la seguridad. ¿Cuáles fueron las consecuencias de Stuxnet? A veces se habla de daños en las plantas de enriquecimiento de uranio de Irán y de retrasos en el propio programa nuclear. Los ingenieros, incapaces de identificar el problema, se vieron a menudo obligados a sustituir los conjuntos de dispositivos dañados.
¿Puede imaginar las consecuencias de que un sistema de automatización gigantesco se vuelva loco debido a una infección de un virus? A la imaginación se nos vienen imágenes cómo Terminator o Matrix, pero no sería tan espectacular, pero el daño podría ser muy notable.
Años después, también aparecieron muchas versiones de malware, como Flame, Gauss y Duqu. Según los últimos datos, cada año se producen decenas de miles de accesos no autorizados y de intrusiones en sistemas de control en procesos industriales. Y no es nada raro que este tipo de ataques se detecten tarde o no se detecten nunca. Según la investigación de Cisco, el tiempo medio para detectar un incidente de seguridad desde que ocurre es de 400 días…
CyberX realizó un análisis de la seguridad de las redes industriales, que muestra que:
- Un tercio de las plantas industriales están conectadas a Internet – No hace falta que expliquemos que este tipo de redes son un blanco fácil.
- En 3 de cada 4 plantas industriales existen equipos Windows obsoletos, como el XP y el 2000. Estos sistemas no se actualizan, no tienen nuevas barreras de seguridad y no reconocen nuevas amenazas.
- Casi 3 de cada 5 plantas usan contraseñas sin encriptar, es decir, solo texto. Muchas veces estas contraseñas se escriben en el mismo equipo o con notas adhesivas.
- La mitad de las webs industriales no cuentan con ninguna protección antivirus.
- Casi la mitad de las compañías tienen al menos un dispositivo desconocido o extranjero, y el 20% tiene puntos de acceso inalámbricos (WAP).
- De media, casi un tercio de los dispositivos en una planta es susceptible.
- El 82% de las webs industriales usan protocolos para conexión remota: RDP, VNC y SSH.
Protección y prevención de la red industrial
La forma más básica de combatir los ataques es la de diseñar como es debido toda la red TIC. Una segmentación como hace falta y la separación de la red resulta lo más importante.
Primero, la red debería estar dividida en subredes dependiendo de la destinación. Una red de oficina debería incluirse en un grupo separado, una red industrial y una red pública en otro. Cada uno de los grupos superiores deberían estar divididos en departamentos de nuestra planta. Y a su vez deberían dividirse en subredes según dispositivos.
Además, es necesario usar dispositivos con cortafuegos incorporado. Un elemento importante de la separación de la red es su división en VLANs. Esto permite lógicamente los distintos segmentos en el tercer nivel TCP del modelo OSI. El tráfico entrante y saliente debe controlarse mediante ACLs definidas por el dispositivo. La mejor solución para garantizar un cortafuegos fuerte, además de configurarlo en los dispositivos individuales, es conectar a la red un dispositivo independiente que supervise el tráfico y la seguridad, que es lo que hacen los Firewalls o los servidores UTM. Los UTM son cortafuegos muy útiles alojados en un único dispositivo tipo switch. También se puede configurar un cortafuegos en la capa de aplicación del modelo OSI.
Una buena práctica, y quizás la más lógica, es desconectar de Internet los dispositivos que simplemente no lo necesitan. Por ejemplo, los operadores solo deberían tener acceso al segmento de la red industrial en la que opera el PLC que se comunica con el HMI, para que los empleados tengan acceso a los parámetros de control y proceso.
La totalidad de la red debería ser cuidadosamente monitorizada. Es extremadamente fácil obtener información con demasiada autorización, con lo cual, gente competente y entrenada con derechos exclusivos. Cuándo se trata de conexiones remotas y conexiones VPN, es necesario incluso utilizar protocolos de encriptación de las transmisiones. El conocido sistema de credenciales PKI y otros certificados de seguridad. Además, todos los certificados deben estar actualizados y renovarse periódicamente. Es de vital importancia que las claves y contraseñas de los usuarios se protejan son seguridad adicional y en dispositivos inaccesibles para terceros.
Seguridad de red industrial en Equipos Nuevos
Nuestra red de administradores deben tener el control de todos los dispositivos de la red. Los demás empleados o contratistas que deseen conectar nuevos dispositivos a la red u obtener direcciones IP deben recibir la formación adecuada, el historial completo de cambios y accesos debe guardarse y almacenarse en el sistema, y los dispositivos deben someterse a un control exhaustivo de seguridad y conformidad.
Otro problema puede ser la transferencia de datos. Es necesario usar transmisión encriptada de datos sensibles, contraseñas, configuraciones de equipos, etc. Esto no siempre es posible, ya que en muchas situaciones se envía por email, o se escribe en una hoja de papel.
El método más adecuado para la seguridad, es asegurar físicamente los dispositivos e infraestructuras directamente. Y con esto me refiero a los dispositivos en sí, las salas, habitaciones, servidores y demás. Para hacerlo podemos:
- Lectores y tarjetas RFID
- Uso de contraseñas complicadas de descifrar, actualizadas periódicamente.
- Seguridad mecánica de dispositivos y salas (candados, cerraduras electrónicas, etc.)
- Control del personal autorizado. Limitar la confianza con el personal no autorizado.
- Formación del personal para sensibilizarlo sobre la importancia de la seguridad
- Realizar auditorías de seguridad periódicamente.
RESUMEN
Como puedes observar, la seguridad de la red industrial de tu empresa es muy importante, según muchos, más importante que la seguridad informática. Vale la pena considerar cómo mejorar la seguridad de tu red. Como se suele decir, es mejor prevenir que curar. Así que es mejor formar al personal, realizar auditorías de seguridad, introducir protocolos interno, introducir políticas de seguridad y tener en cuenta todos los puntos anteriormente mencionados. Se vuelve prácticamente necesario expandir el departamento informático de tu compañía con un departamento de seguridad. Esto va a permitir detectar y prevenir ataques en nuestra red en un breve periodo de tiempo, ahorrar tiempo, trabajo y estrés de reparar los posibles fallos en paradas de máquinas.
Si aun así se producen paradas en las máquinas debido a fallos en los equipos que controlan la maquinaria industrial, no dude en ponerse en contacto con nosotros para la reparación de estos quipos o el suministro de equipos nuevos o reacondicionados.