La ciberseguridad industrial en el ámbito de la automatización industrial es una prioridad. La adopción de nuevas tecnologías de fabricación que se basan cada vez más en el Internet de las Cosas (IoT) y el Internet Industrial de las Cosas (IIoT), la Inteligencia Artificial y el Aprendizaje Automático, ha aumentado la complejidad y la vulnerabilidad de nuestros ecosistemas de producción. De ello se deduce que la ciberseguridad se convierte en un aspecto fundamental para proteger datos sensibles y garantizar la continuidad operativa.
La ciberseguridad en la industria 4.0
Los ataques de ransomware a empresas industriales, como puede verse en el reciente informe de Informe de análisis de ransomware industrial la empresa de seguridad informática industrial Dragos, casi se duplicaron en el segundo trimestre de 2024 en comparación con el primer trimestre.
Además, según el informe, en el segundo trimestre también se produjo un cambio significativo en el panorama de la Ransomware como servicio (RaaS), ya que grupos como BlackSuit y RansomHub surgieron con tácticas y técnicas actualizadas, como algoritmos de cifrado más sofisticados, métodos de movimiento lateral mejorados dentro de las redes y una evasión más efectiva frente a los mecanismos de detección.
El informe de Dragos revela que, en el segundo trimestre de 2024, los incidentes de ransomware registraron un marcado aumento, con un impacto diferente en varias regiones, a saber:
- Norteamérica: 187 incidentes de ransomware (aproximadamente el 60 % de los 312 ataques de ransomware observados en todo el mundo) han tenido un impacto en las organizaciones industriales y la infraestructura de Norteamérica. Una parte importante de estos incidentes se produjo en los Estados Unidos.
- Europa: Alrededor del 26 % de los incidentes de ransomware mundiales (82 en total) han tenido un impacto en Europa.
- Asia: Se registró el 10 % de los incidentes de ransomware a nivel mundial, y se registraron 29 incidentes.
- Sudamérica: El 2 % de los incidentes mundiales de ransomware (6 en total) tienen un impacto en Sudamérica.
- Oriente Medio, Australia y África: Cada una de las tres regiones registró alrededor del uno por ciento de los incidentes de ransomware a nivel mundial, y 8 incidentes se registraron colectivamente en estas regiones.
En cuanto a los impactos sectoriales, el informe de Dragos revela que el sector manufacturero fue el más afectado, con 210 incidentes observados, lo que representa aproximadamente el 67 % de todos los incidentes de ransomware. Además, los desarrolladores y fabricantes de equipos y software de sistemas de control industrial (ICS) sufrieron 47 incidentes, lo que representa el 15 % del total de incidentes.
Riesgos en la ciberseguridad industrial
Las organizaciones del sector industrial, además del ransomware, también deben tener en cuenta las siguientes ciberamenazas:
- Ataques a la cadena de suministro: Organizaciones del sector industrial forman parte de cadenas de suministro complejas. De ello se deduce que un ciberataque contra una empresa de la cadena de suministro puede tener un efecto en cadena y afectar a otros fabricantes, distribuidores, minoristas y, posteriormente, incluso a los consumidores, y provocar problemas de seguridad como la alteración del diseño o la funcionalidad del producto, la contaminación o la mala calidad de los componentes, la interrupción de los servicios esenciales o las amenazas a la seguridad pública.
- Amenazas internas: Históricamente, las personas con información privilegiada han seguido siendo un desafío importante para las organizaciones industriales, ya que las acciones maliciosas o involuntarias de los empleados, contratistas o socios de confianza pueden representar un riesgo significativo en términos de filtraciones de datos o interrupciones en los procesos de producción.
- Controles de acceso y autenticación inadecuados: Los usuarios internos y externos deben acceder de forma remota a los activos industriales para realizar tareas de mantenimiento y otras actividades. Sin embargo, esto requiere que los administradores administren una infraestructura compleja y costosa. Los usuarios de OT remotos también pueden crear riesgos no autorizados para las operaciones, especialmente cuando no existen políticas y controles de acceso basados en roles o no se dispone de visibilidad de las actividades de los usuarios, lo que impide que las organizaciones gestionen los problemas e incidentes de seguridad.
La ciberseguridad en la industria inteligente
La ciberseguridad para la industria inteligente requiere un enfoque de seguridad nuevo, integral y de varios niveles, capaz de abarcar todo el ecosistema.
Es esencial enfatizar que, en el contexto industrial, es esencial monitorear todos los niveles de los productos y procesos de producción. La ciberseguridad tradicional representa un primer nivel de protección, ya que utiliza herramientas como el software antivirus y los escaneos activos de vulnerabilidades. Un nivel adicional se refiere a la supervisión de la infraestructura de producción, mientras que otro se centra en la vigilancia de las placas y chips electrónicos integrados en los propios productos.
Si un oponente logra insertar una puerta trasera en una carta o ficha, todo el dispositivo se ve comprometido. Por este motivo, es fundamental adoptar una estrategia de defensa unificada, empezando por los componentes más pequeños y extendiéndose a todos los niveles, prestando especial atención a los aspectos que las herramientas de seguridad tradicionales no pueden detectar.
La ciberseguridad para la industria inteligente debe tener en cuenta que las empresas suelen operar con una combinación de sistemas modernos y avanzados, junto con sistemas heredados que requieren la misma atención en materia de protección.
Este contexto crea una arquitectura mixta, compuesta por sistemas antiguos, más vulnerables y difíciles de proteger, y por tecnologías más nuevas. Reemplazar sistemas obsoletos puede resultar complejo y costoso, teniendo en cuenta que estos sistemas suelen tener vulnerabilidades conocidas que aumentan los desafíos de seguridad y los costos asociados. Además de estas dificultades específicas, la industria inteligente se enfrenta a problemas comunes a otros sectores, como la escasez de expertos, los riesgos relacionados con la ingeniería social y el creciente impacto de la Inteligencia Artificial.
Estrategias de ciberseguridad industrial
La ciberseguridad en las fábricas inteligentes se ha vuelto más importante que nunca para proteger los activos críticos. Por lo tanto, se recomienda al sector de la fabricación inteligente que implemente ciertos controles, como parte integral de una estrategia de ciberseguridad eficaz, con el objetivo de garantizar la confidencialidad, integridad y disponibilidad de la información y los procesos. Y, precisamente:
- Gestión de activos: Esto implica mantener un inventario completo, actualizado y centralizado de todos los Sistemas Ciberfísicos (CPS).
- Gestión de la exposición: Se trata de implementar un programa eficaz de gestión de la exposición para proporcionar visibilidad de los riesgos dentro de los dispositivos conectados y priorizar los indicadores y soluciones de probabilidad de explotación actuales y futuros.
- Segmentación de la red: La implementación de una segmentación adecuada de la red OT puede prevenir la propagación de ataques cibernéticos al limitar el movimiento en toda la red. Las organizaciones, al separar los procesos y sistemas críticos, también pueden aplicar la mitigación de riesgos, reduciendo el impacto de fallas o interrupciones.
- Detección de amenazas: Ningún entorno de fabricación industrial es inmune a las amenazas, por lo que las organizaciones deben poder detectarlas y responder a ellas de manera efectiva. Esto implica implementar múltiples motores de descubrimiento para perfilar todos los recursos, comunicaciones y procesos.
- Acceso remoto: El impacto operativo de un acceso de terceros mal administrado, debido a la naturaleza crítica de los entornos de producción, puede ser tan grave como las amenazas a la ciberseguridad. Por lo tanto, es fundamental equilibrar el acceso necesario para mantenimiento o resolución de problemas con protocolos de seguridad rigurosos.
De hecho, se trata de adoptar un enfoque holístico y hacer de la ciberseguridad una parte integral del programa de resiliencia empresarial, considerando la convergencia cada vez mayor entre TI y OT.
Un modelo
Lograr la ciberresiliencia requiere un enfoque estructurado y lógico que tenga en cuenta lo siguiente:
- Evaluación de riesgos: Implica realizar una evaluación de riesgos exhaustiva para identificar vulnerabilidades y amenazas potenciales a los sistemas de información de la organización.
- Estrategias de prevención y mitigación: Es necesario implementar software y herramientas de ciberseguridad sólidos, es decir, cortafuegos, sistemas de detección de intrusiones y software antivirus, además de actualizar periódicamente estas herramientas para garantizar su eficacia.
- Detección y respuesta a incidentes: Esto implica establecer un sistema para detectar y responder a incidentes cibernéticos. Esto incluye sistemas de monitoreo para detectar actividades sospechosas, investigar incidentes y tomar medidas rápidas y apropiadas para contener y mitigar los daños.
- Capacitación y concientización: La capacitación adecuada de los empleados sobre las mejores prácticas de ciberseguridad es más necesaria que nunca. Esto incluye capacitación sobre cómo identificar y reportar actividades sospechosas, cómo utilizar eficazmente las herramientas de seguridad y cómo responder a incidentes cibernéticos.
- Planificación de la continuidad del negocio: Debe desarrollar un plan de continuidad del negocio que describa cómo continuará operando su organización en caso de un incidente cibernético. Esto incluye la identificación de funciones comerciales críticas, el establecimiento de sistemas de respaldo, el diseño de los diversos planes (es decir, plan de emergencia, plan de recuperación ante desastres, plan de continuidad del negocio, plan de gestión de crisis y plan de comunicación de crisis) y pruebas y ejercicios relacionados de forma periódica.
- Colaboración e intercambio de información: Es importante subrayar que hoy en día es más necesario que nunca colaborar con otras organizaciones de la industria y agencias gubernamentales para intercambiar información sobre amenazas cibernéticas y mejores prácticas, de modo que pueda mantenerse actualizado sobre las últimas amenazas y mejorar su seguridad. enfoque de la seguridad TI.
La Cyber Resilience Act, la directiva NIS2 y la IEC 62443 son ejemplos de legislación y regulaciones europeas que buscan hacer cumplir los estándares de ciberseguridad e indican la importancia de implementar las llamadas medidas básicas de ciberhigiene preparatorias para hacer de nuestros ecosistemas industriales ciberresilientes.
El éxito de las fábricas inteligentes en la actualidad depende fundamentalmente no solo de la protección de las redes, sino también de la adopción estratégica de la ciberseguridad industrial en los procesos operativos. Además, es muy esencial que el personal comprenda su importancia.
Por tanto, se trata de adoptar los principios de la gestión de riesgos, la continuidad del negocio y la ciberseguridad industrial, ya que su intersección es fundamental para lograr la ciberresiliencia, garantizando así un futuro seguro y sostenible para los ecosistemas industriales. Es decir, un enfoque reforzado aún más por la evolución del marco regulatorio europeo, cada vez más orientado al riesgo y la resiliencia.