La ciberseguridad debe ser una prioridad absoluta para toda empresa industrial: no sólo por la creciente amenaza de ciberataques, sino también porque el cumplimiento de normativas de seguridad como la CRA (Cyber Resilience Act) y la NIS2 es más importante que nunca.
Y todo empieza con la gestión de certificados y la infraestructura de clave pública (PKI), que proporcionan los bloques de construcción fundamentales para implantar y cumplir la normativa de ciberseguridad. He aquí un vistazo a lo que se necesita.
Motivaciones y retos de la transformación digital industrial
La digitalización de la red de tecnología operativa industrial se está produciendo mientras hablamos. Empresas de todo el mundo están abriendo entornos de red antes cerrados al mundo de la conectividad en la nube y los servicios distribuidos.
Considerando que la red industrial ha seguido tradicionalmente una pirámide de comunicación muy clara y estructurada desde el nivel de campo hasta el de empresa, estas comunicaciones se abren ahora hasta el punto de que cada pieza y cada sensor pueden comunicarse con cualquier otro actor de la malla de servicios.
Este nuevo nivel de conexión tiene enormes ventajas por su flexibilidad, pero también suscita nuevas preocupaciones en materia de seguridad y confianza. Como resultado, es absolutamente esencial establecer un nuevo paradigma de seguridad para la Industria 4.0, en el que la seguridad esté integrada en cada paso del camino. Con una base de PKI (infraestructura de clave pública) sólida y robusta como fundamento de la confianza en los procesos y procedimientos.
Situación de las normas y reglamentos PKI para la industria IoT
Hasta hace poco, las normas y reglamentos que rigen la necesaria seguridad PKI para la industria IoT se asemejaban al Salvaje Oeste. Pero, afortunadamente, eso ha cambiado en los últimos años. Y no hemos hecho más que empezar.
En la actualidad disponemos de varias normas y reglamentos que regulan la industria IoT, entre otros:
62443 Norma CEI: Esta norma ofrece un marco básico para la seguridad y funcionalidad del entorno de fabricación de maquinaria y componentes. Es un marco muy sólido en el que se basan todos los reglamentos y directivas venideros, ya que ofrece directrices claras en términos de desarrollo de productos, proveedores de servicios, operadores, fabricantes de maquinaria y lo que se necesita para alcanzar un nivel de seguridad específico, así como la funcionalidad necesaria para aplicar dichas directrices. Es importante señalar que PKI es uno de los principales componentes de esta norma.
Ley de Ciberresiliencia, NIS2 y Directiva de Máquinas: Estos reglamentos y directivas de la UE establecen requisitos para los productos con elementos digitales, normas generales de ciberseguridad y cómo aumentar la confianza en las tecnologías digitales. Las organizaciones deben plantearse ahora cómo cumplir estos requisitos dentro de su infraestructura.
Estándar de identidad segura IEEE 802.1 AR: Se trata de una norma más antigua, pero proporciona una guía para la emisión de identidades seguras de dispositivos y máquinas. Se hace referencia a ella en muchas otras normas, como la OPC 10000-12, que regula la detección y los servicios globales, incluida la necesidad de un servicio de gestión de certificados integrado, y la OPC 10000-21, que aborda la incorporación segura de dispositivos.
RFC 8995 (BRSKI): Esta norma aborda la infraestructura de clave segura remota bootstrapping, que adopta un ángulo diferente para la incorporación segura de dispositivos, con el mismo objetivo que la norma OPC de introducir dispositivos en una red de tal forma que los equipos puedan confiar en la red que tienen delante.
Dado que la norma IEC 62443 sustenta todo lo demás, es importante entender exactamente lo que implica. Se trata de un conjunto de normas internacionales centradas en la ciberseguridad para la automatización industrial y el entorno de los sistemas de control. Divide el mercado en el fabricante de componentes, el constructor de máquinas y el operador de la planta, con el objetivo de establecer una relación de confianza y seguridad entre cada uno de ellos.
La norma 62443 define varios requisitos que deben cumplirse, como la identificación y el control de acceso, el control de uso, la integridad del sistema, la confidencialidad, el flujo de datos y la disponibilidad. En última instancia, las empresas deben utilizar la tecnología PKI para cumplir estos requisitos. Por ejemplo, necesita una identificación y un control de acceso adecuados para emitir certificados, necesita una firma de código y unos procesos de actualización en el aire adecuados para establecer la integridad del sistema y necesita la conectividad TLS para mantener la confidencialidad de los datos.
La norma también establece niveles de seguridad que van de cero a cuatro, basados en escenarios de piratería informática, recursos, habilidades y motivación, que dictan las medidas necesarias que deben aplicarse. A partir del nivel 2, que cubre un escenario sencillo para un hacker con pocos recursos, aptitudes generales y escasa motivación, la PKI pasa a ser obligatoria.
Sentar las bases de la confianza para las identidades digitales con PKI
¿Cómo se ponen en práctica todas estas directrices? En última instancia, los certificados digitales (gestionados a través de PKI) son la base de la confianza para todas las comunicaciones seguras.
En cuanto a la autenticación, el hecho de que todos los componentes dispongan de certificado garantiza que sólo las partes de comunicación autenticadas puedan conectarse al entorno de OT y establecer una red de comunicación de confianza. En cuanto a la firma, disponer de funciones de firma y cifrado basadas en certificados certificados X.509 protege contra la interceptación de datos en todas las comunicaciones, incluidas las actualizaciones de software , las actualizaciones por aire, etc.
Sin embargo, esos requisitos son tan buenos como la tecnología y la gobernanza aplicadas. Desgraciadamente, estas implementaciones a menudo se quedan cortas. Por ejemplo, muchas empresas se enfrentan a problemas relacionados con los certificados autofirmados, que no se gestionan y pueden provocar interrupciones. Estas situaciones pueden crear graves vulnerabilidades.
El problema se reduce a TLS, que es la base de muchos protocolos en el entorno OT para establecer una conectividad segura. Lo hace a través de dos pasos:
- TLS apretón de manos: Autentica al interlocutor de comunicación solicitando un certificado.
- TLS registro: Utiliza la clave simétrica para establecer un canal de comunicación seguro.
Pero, ¿y si utilizas un certificado autofirmado? Un certificado autofirmado significa que alguien genera un certificado por su cuenta, algo similar a escribir tu nombre en un trozo de papel y presentarlo en el control fronterizo como tu pasaporte. Sencillamente, no hay prueba de identidad ni base para la confianza. Además, la fecha de caducidad del certificado no se gestiona en absoluto, lo que dificulta aún más la autenticación en el futuro.
Un programa PKI gestionado adecuadamente resuelve este problema creando una infraestructura de confianza con las unidades fundacionales necesarias para:
- Emisión de identidades digitales en forma de certificados X.509
- Vinculación de cada identidad a una clave criptográfica
- Verificación de la fiabilidad del emisor
Juntos, crean una identidad digital de confianza para dispositivos y unidades como servidores y componentes. Y, dado que un programa PKI centralizado emite los certificados, también permite a los equipos de seguridad gestionarlos y realizar un seguimiento a lo largo de su ciclo de vida para renovaciones más fluidas a medida que los certificados caducan o se ven comprometidos.
El futuro de PKI y los certificados para la industria IoT
Ahora contamos con varias normativas y directrices que han creado normas claras para el uso de PKI y certificados X.509 en la industria IoT y más allá. Y veremos aún más normas en el futuro.
En este contexto, todas las empresas que trabajan en el sector industrial IoT deben tener una estrategia de ICP clara y centrada, basada en su caso de uso y construida sobre una infraestructura escalable.
Keyfactor Command y EJBCA Enterprise son ejemplos de soluciones PKI modernas construidas para soportar este enfoque y escalabilidad. También se ofrece una versión de EJBCA como solución open-source , disponible en un extenso repositorio de GitHub, que proporciona una variedad de muestras, especialmente para el mundo industrial, de cómo implementar y configurar certificados para identidades de dispositivos y máquinas basados en los estándares actuales. También puede encontrar Keyfactor en el Node-RED, donde puede utilizar nodos EJBCA en su motor de flujo de trabajo para diseñar sus flujos de trabajo e implementar mecanismos de gestión y obtención de PKI directamente en el motor de flujo de trabajo Node-RED.
Por último, Keyfactor se ha unido recientemente a un nuevo proyecto llamado TrustPoint, con el objetivo de desarrollar una solución PKI como pila de open-source para el constructor de máquinas y el fabricante de plantas. Esta solución se basa en el entendimiento de que, especialmente en el entorno del fabricante de maquinaria, no se necesita una PKI completa, sino más bien un pequeño servicio dedicado disponible fuera de línea que pueda emitir y gestionar certificados dentro de su entorno.
¿Desea obtener más información? Vea nuestro reciente seminario web sobre PKI y certificados para la industria IoT.
