La ciberseguridad debe ser una prioridad máxima para toda empresa industrial: no solo por la creciente amenaza de ciberataques, sino también porque el cumplimiento de normativas de seguridad como la CRA (Cyber Resilience Act) y NIS2 es más importante que nunca.
Y todo comienza con la gestión de certificados y la infraestructura de clave pública (PKI), que proporcionan los pilares fundamentales para implementar y cumplir con las normativas de ciberseguridad. A continuación, analizamos lo que se necesita.
Motivaciones y desafíos de la transformación digital industrial
La digitalización de la red de tecnología operativa industrial está ocurriendo en este mismo momento. Empresas de todo el mundo están abriendo entornos de red previamente cerrados al mundo de la conectividad en la nube y los servicios distribuidos.
Mientras que la red industrial ha seguido tradicionalmente una pirámide de comunicación muy clara y estructurada desde el campo hasta el nivel empresarial, estas comunicaciones ahora se abren hasta el punto en que cada componente y sensor puede comunicarse con cualquier otro actor en la malla de servicios.
Este nuevo nivel de conexión ofrece enormes ventajas debido a su flexibilidad, pero también plantea nuevas preocupaciones sobre la seguridad y la confianza. Como resultado, es absolutamente esencial establecer un nuevo paradigma de seguridad para la Industria 4.0, en el que la seguridad esté integrada en cada paso del proceso. Con una base de PKI (infraestructura de clave pública) sólida y robusta como fundamento de la confianza en los procesos y procedimientos.
El estado de los estándares y regulaciones de PKI para el IoT industrial
Hasta hace poco, los estándares y regulaciones que rigen la seguridad PKI necesaria para el IoT industrial eran similares al Salvaje Oeste. Pero, afortunadamente, eso ha cambiado en los últimos años. Y apenas estamos comenzando.
Ahora contamos con varios estándares y regulaciones que rigen el IoT industrial, entre ellos:
Estándar IEC 62443: Este estándar ofrece un marco básico para la seguridad y funcionalidad del entorno de fabricación de maquinaria y componentes. Es un marco muy sólido en el que se basan todas las próximas regulaciones y directivas, ya que proporciona directrices claras en términos de desarrollo de productos, proveedores de servicios, operadores, fabricantes de máquinas y lo que se requiere para alcanzar un nivel de seguridad dedicado, así como la funcionalidad necesaria para implementar esas directrices. Es importante destacar que la PKI es uno de los principales pilares de este estándar.
Ley de Ciberresiliencia, NIS2 y Directiva de Máquinas: Estas regulaciones y directivas de la UE establecen requisitos para productos con elementos digitales, estándares generales de ciberseguridad y cómo aumentar la confianza en las tecnologías digitales. Las organizaciones deben ahora considerar cómo cumplir estos requisitos dentro de su infraestructura.
Estándar IEEE 802.1 AR Secure Identity: Este es un estándar más antiguo, pero proporciona una guía para la emisión de identidades seguras de dispositivos y máquinas. Se hace referencia a él en muchos otros estándares, como OPC 10000-12, que rige el descubrimiento y los servicios globales, incluyendo la necesidad de un servicio de gestión de certificados integrado, y OPC 10000-21, que aborda el onboarding seguro de dispositivos.
RFC 8995 (BRSKI): Este estándar aborda el arranque de la infraestructura de clave segura remota (bootstrapping remote secure key infrastructure), lo que adopta un enfoque diferente para el onboarding seguro de dispositivos, con el mismo objetivo que el estándar OPC de integrar dispositivos en una red de tal manera que los equipos puedan confiar en la red que tienen delante.
Dado que el estándar IEC 62443 sustenta todo lo demás, es importante comprender exactamente lo que implica. Se trata de un conjunto de estándares internacionales centrados en la ciberseguridad para la automatización industrial y el entorno de sistemas de control. Divide el mercado en el fabricante de componentes, el fabricante de máquinas y el operador de planta, con el objetivo de establecer una relación de confianza y seguridad entre cada uno.
El estándar 62443 define varios requisitos que deben cumplirse, incluyendo la identificación y el control de acceso, el control de uso, la integridad del sistema, la confidencialidad, el flujo de datos y la disponibilidad. En última instancia, las empresas deben utilizar la tecnología PKI para satisfacer estos requisitos. Por ejemplo, se necesita una identificación y un control de acceso adecuados para emitir certificados, se requieren procesos de firma de código y de actualización inalámbrica (over-the-air) apropiados para establecer la integridad del sistema, y se necesita conectividad TLS para mantener la confidencialidad de los datos.
El estándar también proporciona niveles de seguridad que van del cero al cuatro, basados en escenarios de hacking, recursos, habilidades y motivación, que dictan las medidas necesarias a implementar. A partir del Nivel 2, que cubre un escenario simple para un hacker con pocos recursos, habilidades generales y baja motivación, la PKI se vuelve obligatoria.
Estableciendo la base de confianza para las identidades digitales con PKI
¿Cómo se aplican exactamente todas estas directrices en la práctica? En última instancia, los certificados digitales (gestionados a través de PKI) son la base de la confianza para todas las comunicaciones seguras.
En el lado de la autenticación, tener todos los componentes habilitados para certificados garantiza que solo las partes de comunicación autenticadas puedan conectarse al entorno OT y establecer una red de comunicación de confianza. En el lado de la firma, disponer de funcionalidades de firma y cifrado basadas en certificados X.509 protege contra la interceptación de datos para todas las comunicaciones, incluyendo las actualizaciones de Software, las actualizaciones inalámbricas (over-the-air) y más.
Sin embargo, esos requisitos son tan buenos como la tecnología y la gobernanza implementadas. Desafortunadamente, esas implementaciones a menudo se quedan cortas. Por ejemplo, muchas empresas enfrentan desafíos relacionados con certificados autofirmados, que no se gestionan y pueden causar interrupciones. Estas situaciones pueden crear vulnerabilidades graves.
Comprender el problema subyacente se reduce a TLS, que es la base de muchos protocolos en el entorno OT para establecer una conectividad segura. Lo hace a través de dos pasos:
- Handshake TLS: Autentica al socio de comunicación solicitando un certificado
- Registro TLS: Utiliza la clave simétrica para establecer un canal de comunicación seguro
Pero, ¿qué sucede si utiliza un certificado autofirmado? Un certificado autofirmado significa que alguien genera un certificado por su cuenta, similar a escribir su nombre en un trozo de papel y presentarlo en el control fronterizo como su pasaporte. Simplemente no hay prueba de identidad ni base para la confianza. Además, la fecha de caducidad del certificado no se gestiona en absoluto, lo que crea desafíos adicionales para la autenticación futura.
Un programa PKI gestionado correctamente resuelve este problema creando una infraestructura fiable con las unidades fundamentales necesarias para:
- Emitir identidades digitales en forma de certificados X.509
- Vincular cada identidad a una clave criptográfica
- Verificar la fiabilidad del emisor
En conjunto, esto crea una identidad digital de confianza para dispositivos y unidades como servidores y componentes. Y, dado que un programa PKI centralizado emite los certificados, también permite a los equipos de seguridad gestionarlos y rastrearlos a lo largo de su ciclo de vida para renovaciones más fluidas a medida que los certificados caducan o se ven comprometidos.
El futuro de la PKI y los certificados para el IoT industrial
Ahora contamos con varias regulaciones y directrices que han establecido estándares claros para el uso de PKI y certificados X.509 en el IoT industrial y más allá. Y veremos aún más estándares en el futuro.
En este contexto, toda empresa que trabaje en el IoT industrial debe tener una estrategia PKI clara y enfocada, basada en su caso de uso y construida sobre una infraestructura escalable.
Keyfactor Command y EJBCA Enterprise son ejemplos de soluciones PKI modernas diseñadas para soportar este enfoque y escalabilidad. Una versión de EJBCA también se ofrece como una solución open-source, disponible en un extenso repositorio de GitHub, que proporciona una variedad de ejemplos, especialmente para el mundo industrial, sobre cómo implementar y configurar certificados para identidades de dispositivos y máquinas basados en los estándares actuales. También puede encontrar Keyfactor en Node-RED, donde puede utilizar nodos EJBCA en su motor de flujo de trabajo para diseñar sus flujos y aplicar mecanismos de gestión y obtención de PKI directamente en el motor de flujo de trabajo de Node-RED.
Finalmente, Keyfactor se unió recientemente a un nuevo proyecto llamado TrustPoint, con el objetivo de desarrollar una solución PKI como un stack open-source para el fabricante de máquinas y el fabricante de plantas. Esta solución se basa en la comprensión de que, especialmente en el entorno del fabricante de máquinas, no se necesita una PKI completa, sino un servicio pequeño y dedicado disponible offline que pueda emitir y gestionar certificados dentro de su entorno.
¿Listo para saber más? Vea nuestro reciente webinar sobre PKI y certificados para el IoT industrial.
