Equilibrio entre seguridad e interconectividad en la industria manufacturera

Las operaciones en la industria manufacturera solían estar aisladas según la ubicación, con la seguridad centrada en restringir el acceso físico a la maquinaria. Los dispositivos de interfaz hombre/máquina para controlar las operaciones en una planta o fábrica estaban en la misma ubicación que la propia maquinaria, y cada fábrica o planta estaba ubicada dentro de zonas desconectadas.

Pero esos días han quedado atrás, ya que las máquinas son cada vez más operadas por Software y procesos automatizados. Y debido a que los líderes empresariales necesitan información actualizada y procesable sobre las máquinas y sus entornos físicos para gestionar y mejorar las operaciones globales, las fábricas deben estar conectadas a internet.

Este nuevo paradigma presenta varias ventajas de eficiencia, incluyendo el mantenimiento predictivo, la estandarización de procesos y otras formas de automatización, pero con esas ventajas vienen desafíos. Con el crecimiento exponencial de dispositivos en el Internet de las Cosas (IoT), garantizar la interconectividad entre múltiples sitios debe equilibrarse con el tiempo de actividad de la máquina y las operaciones fluidas en el sitio.

Esta interconectividad significa que muchos de los principios rectores de la seguridad empresarial deben aplicarse ahora al ámbito de la fabricación. Incluso las cuestiones de jurisdicción están en debate, ya que si la tecnología de fabricación entra dentro del ámbito de TI o TO depende de una serie de factores. 

El ámbito de la fabricación es responsable de construir la tecnología utilizada en otros campos. A medida que esa tecnología se vuelve más compleja, también debe hacerlo la maquinaria utilizada para construirla. Añadir conexiones entre máquinas en todo el mundo abre un número creciente de vectores de ataque que pueden ser explotados.

Lo que está en juego para la seguridad en la fabricación no podría ser mayor: Cuando una fábrica se detiene, las pérdidas financieras para la organización pueden calcularse en términos de tiempo y producción, por lo que a cada posible violación de datos a menudo se le puede asignar un precio concreto.

Tener operaciones y datos distribuidos en múltiples ubicaciones —e incluso países con diferentes niveles de regulación— puede causar dificultades a las organizaciones que intentan implementar un enfoque consistente para la seguridad de los activos, y la incorporación de nuevos socios añade otra capa de complejidad. Añada la rápida migración a Software alojado en la nube, y el endurecimiento de la seguridad se convierte en la prioridad número uno para cualquier fabricante.

Con una enorme cantidad de inversión de capital impulsando la fabricación hacia una automatización cada vez mayor, a menudo se pasan por alto las posibles vulnerabilidades de seguridad, ya que muchos dispositivos IIoT comparten información con los sistemas de control. Según la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA), la automatización de los sistemas de control industrial conlleva un mayor riesgo de que las vulnerabilidades sean explotadas por actores de amenazas. 

Con muchas funciones cruciales ahora automatizadas, se han producido numerosos ataques exitosos contra la fabricación empleando una variedad de métodos, incluyendo denegación de servicio y ataques de intermediario (Man-in-the-Middle). Muchas empresas están completamente desprevenidas, y algunas de ellas siguen utilizando protocolos no cifrados, como FTP, Telnet y HTTP.

Según algunos informes, la fabricación es la industria más atacada por ciberataques, especialmente por ransomware. A medida que la producción se acelera en respuesta a la recuperación económica mundial post-pandemia, podemos esperar que esta tendencia se acentúe aún más.

Las consecuencias de una filtración de datos en la fabricación pueden ser a menudo más graves que las experimentadas por otras industrias. Si una fábrica se detiene debido a un ciberataque, puede costar inmediatamente a la empresa millones de dólares no solo por la disminución de la productividad de los trabajadores –como ocurre en cualquier organización–, sino también por la interrupción del proceso de producción, lo que afecta directamente a los resultados. Debido a esta conexión directa e inmediata con los ingresos, los sistemas de fabricación son un objetivo lucrativo para el ransomware.

Entonces, ¿qué pueden hacer las organizaciones de fabricación para proteger sus sistemas de control industrial frente a una avalancha cada vez mayor de amenazas de seguridad?

A medida que la industria manufacturera se adapta a un nuevo panorama de amenazas, los controles de seguridad a menudo se aplican de manera desigual o ad hoc. Esto crea un entramado de controles que inevitablemente tendrá vulnerabilidades que pueden ser explotadas por los actores de amenazas.

Para que las organizaciones de fabricación protejan completamente sus activos, deben implementar iniciativas de seguridad en toda la organización que se adhieran a los estándares de la industria y de la empresa. Siempre que surgen nuevas amenazas, la estandarización permite a la dirección de la empresa implementar las medidas necesarias y reforzar la seguridad antes de que se produzca un ciberataque.

Dado que los sistemas de control industrial son cada vez más dependientes del Software e interconectados, los fabricantes deben implementar rigurosas iniciativas de firma de código para garantizar que cualquier sistema de control que ejecute firmware solo permita la ejecución de código si su autenticidad es verificada por certificados seguros o claves privadas. 

El código no debería poder instalarse ni ejecutarse a menos que esté verificado, desde la implementación inicial de la aplicación hasta las actualizaciones y parches de Software. Los líderes de TI en la industria manufacturera deben realizar su debida diligencia para determinar qué fuentes de certificados son de confianza, tanto internas como de terceros.

En el contexto de la firma de código, existe cierto potencial para la implementación de aprendizaje automático e inteligencia artificial para detectar y analizar cambios en un entorno que podrían no ser inmediatamente evidentes para el personal. Pero si bien el análisis de amenazas con IA puede ser una adición prometedora a su estructura de seguridad, es predominantemente reactivo en su forma actual y no resuelve el problema de qué fuentes de autenticación confiar.

Muchos fabricantes construyen máquinas pensando únicamente en su función principal, sin abordar las posibles vulnerabilidades hasta etapas avanzadas del proceso de diseño o incluso después de que ocurra una explotación. Esto no solo crea un producto menos seguro, sino que también puede ser mucho más costoso, ya que los controles de seguridad deben adaptarse a la máquina de una manera que mantenga la productividad.

Para implementar una estrategia de Seguridad por Diseño donde la seguridad de la identidad, la protección del firmware y la gestión de parches se implementan en cada punto del proceso de diseño, considere lo siguiente:

• • Asegúrese de comprender los impulsores comerciales de alto nivel de la empresa (por ejemplo, tiempo de actividad de la fábrica, calidad del producto) y diseñe la máquina en función de esos objetivos. 
  • Conozca a sus representantes de seguridad e involúcrelos desde el principio en el proceso de diseño. No les pida que aseguren el producto cuando ya esté casi terminado.
  • Aproveche las herramientas probadas en torno a la gestión de claves y la firma de código. No tiene que empezar de cero.
  • Asegúrese de que la máquina sea capaz de adaptarse a las nuevas tecnologías (por ejemplo, la computación cuántica) y a las amenazas cibernéticas en evolución.

Adoptar este enfoque no solo crea una máquina más segura, sino también una en la que los controles de seguridad tienen menos probabilidades de obstaculizar la productividad porque están más plenamente integrados en la función de la máquina.

Si bien la automatización en la industria manufacturera puede ser una enorme fuente de riesgo, cuando se implementa correctamente, la automatización puede ser un activo. Los humanos pueden ser a veces el eslabón más débil en lo que respecta a la seguridad, y eliminar los posibles puntos de fallo puede reducir significativamente su superficie de ataque.

Para ponerse al día sobre los desafíos que enfrentan otros fabricantes y cómo los están abordando, consulte la Encuesta de Seguridad de Dispositivos IoT de 2022 realizada por Pulse y Keyfactor. Al comprender lo que otras empresas de su sector están haciendo (o dejando de hacer) para proteger sus sistemas críticos de IIoT de las ciberamenazas, puede empezar a implementar estrategias para prevenir interrupciones, mantener la producción y proteger la reputación de su empresa.

Para obtener información adicional sobre cómo puede habilitar nuevos modelos de negocio digitales con comunicación segura en la fábrica conectada, vea nuestro seminario web a la carta: Asegurando la fábrica conectada del mañana.