Lo que realmente ocurre dentro de una red industrial cuando nadie mira
En los últimos años se ha avanzado a pasos agigantados en la digitalización industrial y en la conectividad del mundo corporativo (IT) al mundo industrial (OT), lo que ha transformado la forma en la que se gestionan las infraestructuras industriales. Estos avances también han provocado que la superficie de un ciberataque se haya multiplicado al exponer los sistemas OT a una mayor cantidad de amenazas.
Tras analizar multitud de sectores industriales, como transporte, energía, química o manufactura, se ha podido confirmar que gran parte de las organizaciones industriales siguen con una madurez en fases muy iniciales en cuanto a ciberseguridad industrial. Esto se ve reflejado al comprobar la inexistencia o inexactitud de inventarios industriales, el uso de redes planas sin segmentar, la falta de formación al personal y en la falta de visibilidad de lo que ocurre en las redes OT en tiempo real.
Lo que sí está aumentando es la preocupación ante este tipo de ciberataques, por lo que es imprescindible intentar anticiparse a ellos intentando cambiar el enfoque tradicional que era reactivo a uno más preventivo.
Desafíos y consecuencias de entornos más expuestos
Hasta ahora, las redes industriales siempre se han diseñado para realizar tareas concretas, repetitivas, con las mismas comunicaciones a los mismos equipos. Tanto es así que los equipos industriales perduran durante años más allá de su fin de soporte (EoL) y sin actualizaciones, lo que provoca que exista multitud de vulnerabilidades que pueden ser utilizadas por atacantes.
Si a todo ello le sumamos la más creciente interconexión de estas redes con la red corporativa, la nube (privada y pública) e Internet hace que el nivel de exposición a un ciberataque industrial se haya multiplicado.
Como conocemos, las consecuencias pueden ser impredecibles: desde interrupciones en la producción con pérdidas millonarias, a impactos en la calidad del servicio entregado y hasta riesgos para la seguridad física de las personas.
Es por ello por lo que hay que defenderse y actuar preventivamente contra estos ataques, pasando del papel a la acción, construyendo un roadmap de ciberseguridad OT en el que se alineen los riesgos reales de negocio a la evaluación de controles y priorización de medidas correctivas y preventivas que ayuden a mejorar el nivel de madurez en base a impacto, coste y tiempo.
De la anticipación a la inteligencia: el siguiente paso
A las herramientas que se utilizan habitualmente para prevenir estos ciberataques, se le añade, cada vez más, la influencia de la inteligencia artificial aplicada a los entornos OT.
En soluciones de visibilidad y detección de amenazas, el aprendizaje automático de los patrones de uso de los equipos industriales permite detectar anomalías y predecir posibles vectores de ataque a la infraestructura industrial conectada. Sin embargo, es importante que dicho aprendizaje se base en una buena calidad de la información, visibilidad total de las comunicaciones y el estudio de falsos positivos.
Otra manera de anticiparnos a un ataque es mediante tecnologías de deception, que son sondas “señuelo” que simulan ser PLCs, SCADAs o HMIs de la infraestructura expuestas a Internet, que permiten obtener información de atacantes para transformar ese conocimiento en medidas aplicables a los equipos reales.
Por lo tanto, está claro que la ciberseguridad industrial ya no es opcional debido a la creciente conectividad de estas infraestructuras con el exterior y que la mejor defensa siempre será estar un paso por delante.
Jorge Rubio Álvarez, Coordinador de proyectos de ciberseguridad en entornos industriales (OT/ICS) en Telefónica Tech
