Phoenix Contact asegura los dispositivos IoT con una moderna plataforma PKI

Phoenix Contact es líder mundial en tecnología de automatización y lleva más de 100 años desarrollando soluciones innovadoras en tecnología de conexión, electrónica y automatización. Con sede en Alemania, la empresa presta servicio a diversos sectores, como la producción industrial, las energías renovables y las infraestructuras.

El cumplimiento de la normativa en la fabricación automatizada es difícil, especialmente cuando se trata de proteger los dispositivos de IoT . Las normativas cambian constantemente. Pero Phoenix Contact vio una oportunidad donde otros vieron un reto. Al replantearse su enfoque de la infraestructura de clave pública (PKI), transformaron todo su funcionamiento.

"La ciberseguridad es algo muy difícil y, hasta hace poco, nadie prestaba demasiada atención a la ciberseguridad de los dispositivos en el taller. Ahora, todo está cambiando gracias al creciente panorama de amenazas y a las nuevas normativas europeas", explica Lutz Jänicke, responsable de seguridad de productos y soluciones corporativas de Phoenix Contact. Era una oportunidad para reforzar su postura de seguridad y proteger a sus clientes".

Dos normativas recientes, en particular, han impuesto un nuevo nivel de escrutinio en torno a la ciberseguridad entre empresas europeas como Phoenix Contact. La primera, NIS 2, se dirige a los operadores introduciendo normas de seguridad dentro de las empresas y en el propio taller, mientras que la segunda, CRA, se centra en los productos industriales y de consumo y en el nivel de protección que ofrecen.

En respuesta, Phoenix Contact está reforzando la gestión de la ciberseguridad de sus operaciones y creando procesos seguros para las identidades de los dispositivos como parte del desarrollo de productos de IoT . Muchos de estos procesos ya existen en distintas áreas de la empresa, pero ahora deben extenderse a toda la compañía y a la cartera de productos.

"Una de las cosas más importantes es la integridad de nuestros productos. Así que tenemos que asegurarnos de que todo nuestro software y firmware está correctamente firmado, lo que requiere un sólido programa PKI para gestionar esas firmas y certificados. Al mismo tiempo, queremos que nuestros clientes puedan verificar si compran productos Phoenix Contact auténticos. Eso significa que también tenemos que soportar identidades de dispositivo seguras", comparte Jänicke.

En concreto, Jänicke cita la IEC 62443, una norma para la automatización industrial que exige el uso de firmas digitales seguras e identidades digitales seguras. Señala que el equipo de seguridad de Phoenix Contact está trabajando actualmente para asegurarse de que pueden cumplir plenamente esa norma en todos sus procesos. Cumplir esta norma ha sido un hito importante en el camino de Phoenix Contact hacia la excelencia en el cumplimiento.

El equipo de Phoenix Contact sabía que necesitaría una solución PKI que le ayudara a cumplir sus objetivos de conformidad de forma estandarizada y racionalizada. La investigación de mercado sobre posibles soluciones llevó a Jänicke a Keyfactor EJBCA .

"Enseguida me gustó que Keyfactor tuviera un producto de edición comunitaria que nos permitiera evaluarlo sin muchas discusiones y comprobar por nosotros mismos la calidad de la oferta. Y tras utilizar ese producto y compararlo con otras ofertas, optamos por trabajar con Keyfactor a largo plazo", afirma.

Jänicke señala que uno de los principales argumentos de venta de Keyfactor era la flexibilidad que ofrecía, con opciones de PKI como servicio y mucho más. Con Keyfactor, Phoenix Contact encontró un socio que podía ayudarles a reducir la complejidad y tomar el control de su PKI.

Además, Keyfactor cumplía todos los requisitos de Phoenix Contact, incluido un proceso totalmente automatizado para emitir identidades de dispositivos y admitir firmas digitales seguras en diversos casos de uso.

Por otro lado, Jänicke comparte que la mayoría de las otras ofertas que el equipo evaluó no eran tan sólidas como Keyfactor y requerían más procesos manuales, lo que dificultaba la verificación de la calidad de esas soluciones en general.

Tras más de cuatro años de trabajo con Keyfactor, Phoenix Contact ha estandarizado y racionalizado con éxito la ciberseguridad en toda la organización. En concreto, Jänicke cita tres áreas clave de impacto desde que trabaja en la introducción de Keyfactor EJBCA :

Phoenix Contact tiene una gran variedad de casos de uso, y esto requiere que el equipo de seguridad admita numerosos tipos diferentes de firmas. Aunque Jänicke descubrió que Keyfactor no era compatible de forma nativa con todos estos casos de uso, pudo trabajar con el equipo de Keyfactor para desarrollar formatos de firma adicionales según las necesidades. Esta flexibilidad y capacidad de respuesta resultaron muy valiosas para garantizar que Keyfactor pudiera satisfacer todas las necesidades de la empresa.

A partir de ahí, Jänicke señala que sigue encontrando nuevas formas de utilizar Keyfactor para diferentes necesidades de PKI. Así lo explica: "Actualmente estamos evaluando cómo podemos ampliar nuestro uso de Keyfactor para la gestión de identidades de dispositivos, ya que el enfoque que adoptamos para asegurar nuestros productos evoluciona constantemente. Además, estamos estudiando cómo podemos utilizar un producto como Keyfactor Command para mejorar nuestra gestión del ciclo de vida de los certificados."