• Cómo proteger los sistemas de control industrial contra los ataques cibernéticos

Worker with tablet computer in front of oil rig, oil and gas, sustainability reporting, internet of things.
El enfoque de defensa en profundidad desarrollado por la Agencia Nacional de Seguridad (NSA) e incorporado en la estrategia de Schneider Electric para la seguridad cibernética

Las agencias federales reconocen hoy la amenaza mayor de la intrusión cibernética y están tomando medidas para proteger sus sistemas de control industrial (ICS), que incluyen los sistemas de construcción y gestión de la energía, SCADA y sistemas PLC. Sin embargo, la mejora de la seguridad cibernética sigue siendo un desafío constante y en evolución.

Cada año hay más ataques cibernéticos

Según el estudio del Instituto Ponemon de 2013 sobre el coste del crimen cibernético, el coste promedio anualizado de los delitos cibernéticos ese año fue de 11,6 millones de dólares; y resolver un ataque tardaba en promedio 65 días. El equipo de Preparación de Emergencias Informáticas de Estados Unidos (CERT) vio que el número de incidentes de seguridad cibernética notificados por las agencias federales aumentó un 782% entre 2006 y 2012. Además de la economía, las agencias federales deben dar cuenta de las consecuencias de delitos cibernéticos en términos de su impacto en sus actividades y en la vida de los ciudadanos.

Frost a & Sullivan, una empresa de estudios globales de mercado, de análisis y de consultoría informa de que los vectores de los ataques cibernéticos incluyen: allanamiento, el factor humano, la falta de experiencia en seguridad y los defectos estructurales de la red.

Un ataque cibernético puede provocar pérdidas significativas a través de la producción o de la inactividad o la interrupción de procesos, así como daños en equipos y en la infraestructura, y se corre el riesgo de sanciones por incumplimiento normativo. La mayoría de los usuarios finales han tomado algunas medidas para protegerse contra los ataques cibernéticos, pero la eliminación de vulnerabilidades requiere superar diversos obstáculos.

Barreras para mejorar la seguridad cibernética

De acuerdo con la investigación de Frost & Sullivan, las barreras que impiden a las agencias federales mejorar la seguridad cibernética incluyen, entre otras:

  • La naturaleza abierta y colaborativa de los sistemas de control industrial: Muchas agencias federales han adoptado sistemas abiertos por sus ventajas de productividad; sin embargo, los sistemas abiertos son más vulnerables a los ataques.
  • La sensibilización y la acción de los usuarios finales son inadecuadas: Los usuarios pueden no ser conscientes del riesgo de los ataques cibernéticos o pueden tener dudas a la hora de aplicar estrategias de seguridad por temor a influir en el funcionamiento del sistema.
  • Aumento del uso de soluciones de IT generales: La economía y la facilidad de funcionamiento y de integración han hecho que las agencias se decanten por soluciones de IT estándar, lo que las expone a amenazas dirigidas a sistemas similares utilizados en el sector comercial.
  • Falta de experiencia: Una mano de obra industrial orientada a los sistemas de automatización y procesos no tiene por qué ser experta en redes de IT industriales.

Una estrategia de protección y prevención

Para ayudar a abordar estos obstáculos, muchas agencias se están asociando con proveedores de soluciones para mejorar la seguridad en los sistemas nuevos y existentes. Por ejemplo, el enfoque de "defensa en profundidad", desarrollado por la Agencia Nacional de Seguridad (NSA) de EE. UU., subyace bajo una estrategia de múltiples capas que proporciona seguridad integral en la totalidad de una empresa industrial.

Schneider Electric, en colaboración con el proveedor de soluciones de software Industrial Defender, ofrece una plataforma unificada para la seguridad, el cumplimiento y la gestión del cambio basada en el enfoque de defensa en profundidad. Una opción de la solución son las «listas blancas», que bloquean las posibles amenazas al permitir que solo las aplicaciones aprobadas se ejecuten en una red.

Si bien el enfoque de defensa en profundidad anima a las agencias a crear e implementar una estrategia integral de seguridad cibernética, existe la idea equivocada de que se trata de una estrategia de "todo o nada". Pero también es posible avanzar con mejoras de seguridad en pasos medidos.

Implementar un plan paso a paso

De acuerdo con el Principio de Pareto, aproximadamente el 80% de los impactos proceden del 20% de las causas. Sabiendo que el motivo de la inacción a veces puede ser lo desproporcionado de la tarea, descomponer una estrategia de seguridad cibernética en pasos es un enfoque más accesible:

Paso 1: Identificar el mayor impacto en una organización en términos de una brecha de seguridad.

Paso 2: Delimitar el área específica de las operaciones de planta que se vinculan a ese impacto.

Paso 3: Destacar las mayores vulnerabilidades en relación con esa zona de operaciones.

Paso 4: Minimizar o eliminar esas vulnerabilidades.

Después de seguir estos pasos, una organización puede pasar a la siguiente zona de impacto o problema de vulnerabilidad. En lugar de renovar todo un sistema a la vez y ser víctima de «parálisis por análisis», un enfoque paso a paso asegura que los cambios para corregir las mayores vulnerabilidades se produzcan inmediatamente. También impide a una organización trate de abarcar demasiado y ayuda a lograr la mayor rentabilidad del dinero invertido.

Para obtener más información sobre la protección de los sistemas de control industrial frente a la intrusión cibernética, descarga el White Paper “Ciberseguridad para entornos industriales de automatización y control”.

Más información