Los entornos industriales, o también llamados OT (por las siglas en inglés de Operation Technology) necesitan una supervisión de seguridad que proporcione una mayor y mejor visibilidad y trazabilidad.
A medida que la manufactura e industria incorporan estrategias de transformación digital para ser más competitivas, aumenta su exposición a riesgos cibernéticos. Las plantas industriales ahora están implementando más sensores y dispositivos conectados que nunca antes; sin embargo, con este aumento de la conectividad se incrementa el riesgo.
Las amenazas son nuevas y en rápida evolución, y están aprovechando el hecho que muchos de los sistemas de tecnología operativa (OT) son vulnerables; no sólo para robar información, sino para causar pánico y caos. Por lo tanto, a medida que el entorno OT evoluciona, la seguridad es clave para frustrar ataques con el potencial de causar grandes y costosas interrupciones de servicio.
La amenaza de seguridad OT
Para asegurar adecuadamente el entorno OT, primero se le debe entender. Desde una perspectiva de seguridad, tanto los sistemas de TI como los sistemas OT son vulnerables a amenazas similares: botnets, scripts kiddies, virus y otros programas maliciosos.
La diferencia clave entre los dos entornos, sin embargo, tiene que ver con la seguridad humana. En OT se trata de interacción entre los dispositivos computarizados y el mundo exterior: los semáforos, la red eléctrica, los sistemas de agua y otras infraestructuras críticas. Por lo tanto, un entorno OT tiene menos puntos de exposición que el entorno de TI (es decir, menos estaciones de trabajo, menos integraciones con servidores en la nube y menos componentes web públicos), pero los que tiene requieren de más protección. Mientras que un ataque a la infraestructura de TI puede resultar en costosas pérdidas de datos y reputación, un ataque a los sistemas industriales tiene el potencial de causar interrupciones generalizadas de producción y pánico, o incluso poner en riesgo la vida de las personas.
Pese a su exposición a recibir ataques devastadores, los entornos de OT a menudo tienen deficiencias en defensas de seguridad. ¿La razón? Los plazos de producción no negociables, normas de seguridad y métricas financieras que cumplir, Las prioridades relevantes en la planta son la disponibilidad y la seguridad de los equipos y personas— mantener los sistemas en funcionamiento y el medio ambiente seguro a toda costa — no la seguridad de los datos. Eso significa que, en caso de un ciberataque, es poco probable que los operadores cierren los puertos de firewall, reinicien los servidores o tomen alguna medida que, para frenar el ataque, de algún modo desacelere la producción; ya que las pérdidas financieras resultantes y los posibles riesgos para la seguridad de la operación serían peores que el riesgo que representa la amenaza cibernética en sí.
Asegurar el entorno OT
Sin embargo, hay buenas noticias. Pese que las amenazas dirigidas al entorno OT se vuelven más numerosas y sofisticadas, existen múltiples pasos que las plantas pueden tomar para reducir el riesgo de compromiso y ataque. Dentro de estos destaca el monitoreo continuo del entorno, de manera de detectar tempranamente cualquier vulnerabilidad, amenaza o ataque. Esto se realiza desde un SOC (Security Operation Center, por sus siglas en inglés).
No debería sorprendernos, un centro de operaciones de seguridad (SOC) exitoso comienza con las personas. El personal de seguridad necesita conocer las diferencias entre un entorno OT y uno de TI, las defensas de seguridad que cada uno requerirá y contar con la capacidad de responder a tres preguntas básicas:
• ¿Qué hay en su entorno OT?
• ¿Qué está haciendo?
• ¿Cuáles son las vulnerabilidades?
Sin embargo, conseguir que las personas adecuadas entiendan el entorno de seguridad aborda solo una parte del problema. Desde una perspectiva tecnológica, el entorno OT necesitará una supervisión de seguridad que proporcione una mayor visibilidad y trazabilidad en los sistemas OT. Entre otras cosas, los entornos OT requerirán tecnología que pueda capturar información de enrutadores y dispositivos de protección de endpoints, que a su vez permiten a los administradores identificar cuándo se produce un problema y localizar su origen.
Y por último, aunque puede aumentar los costos a corto plazo, los fabricantes eventualmente tendrán que actualizar los equipos obsoletos y los sistemas heredados (legacy), muchos de los cuales tienen décadas y contienen numerosas vulnerabilidades que son puertas abiertas para los atacantes.
Mirando hacia adelante
En el futuro, y a medida que las amenazas de OT continúen aumentando, las organizaciones eventualmente serán más receptivas a adoptar un SOC que incorpore la seguridad de OT, haciendo que los entornos OT e TI converjan en un SOC más grande e integrado, el cual monitoree simultáneamente ambos ambientes. Esto allanará el camino para una mejor inteligencia de amenazas y permitirá nuevas tecnologías que puedan entender los protocolos industriales y su funcionamiento; y predecir patrones de ataque tanto desde el propio OT como indirectamente desde el entorno TI.
