La ciberseguridad de los entornos OT en el sector energético y ‘utilities’
El IIoT (Internet Industrial de las Cosas) conecta personas, procesos y activos. Tradicionalmente, los dispositivos en entornos OT - máquinas, sensores, PLCs, etc. - estaban aislados o conectados a un sistema de control industrial. El IIoT les proporciona un enlace con Internet, permitiendo a los usuarios interactuar con ellos en tiempo real, extraer datos y analizarlos mediante análisis estadísticos o predictivos. El valor de esa inteligencia es incalculable y las oportunidades, infinitas. Entre los beneficios destaca la mejora de la eficiencia operativa, la reducción de los costes a través del mantenimiento predictivo, la optimización de la planificación y programación de las adquisiciones y la mejora de la seguridad de la experiencia del cliente.
El sector de la energía y utilities ha aprovechado y adoptado el potencial de los dispositivos inteligentes aplicado a la gestión inteligente del agua, el gas y la red eléctrica inteligente. En la gestión de la red eléctrica inteligente, los contadores pueden controlar el consumo y la transmisión de electricidad en tiempo real, lo que redunda en una generación y distribución de electricidad más eficiente y basada en la demanda. También pueden alertar a las eléctricas de los cortes de suministro, lo que les permite restablecer los servicios con celeridad. Asimismo, los contadores inteligentes son un elemento fundamental del modelo de energía descentralizada, ya que facilitan el crecimiento de fuentes de energía sostenibles como los paneles solares y las turbinas eólicas, fomentando la eficiencia en la producción y la distribución.
Pero ser inteligente sólo te hace más atractivo para los hackers. Cada nuevo dispositivo inteligente que se introduce en la red es un potencial punto de entrada para los atacantes. A esta ecuación se le añade el 5G, que, aunque es más seguro que sus predecesores, constituye un campo de juego totalmente nuevo para los hackers. Por ello, seguirá siendo necesaria una seguridad adicional.
Los dispositivos del IIoT tienden a funcionar con un hardware limitado con poca o ninguna interfaz de gestión. No suelen ser actualizables sobre el terreno y pueden tener limitaciones para determinar si funcionan correctamente. A menudo tienen capacidades de autenticación y cifrado limitadas y muy débiles. Se instalan a menudo en lugares de difícil acceso y deben ser capaces de funcionar sin supervisión durante largos períodos y ser resistentes a intentos de manipulación física.
Con la llegada del 5G se obtienen velocidades más rápidas, mayor ancho de banda y soporte para un gran número de dispositivos. Una actualización defectuosa de un gran número de dispositivos podría provocar fácilmente una tormenta de señales que podría afectar al nivel de servicio de toda la red móvil si no se gestiona adecuadamente.
Con la introducción de las redes privadas móviles y el edge computing, la concentración de infraestructura de red y de computación se convierte en una parte crítica del entorno de producción y su protección es primordial. Actualmente, los ataques a los dispositivos IIoT son limitados porque el retorno de la inversión es mayor en otros, como el ransomware. Pero a medida que aumente la adopción del IIoT, es probable que se convierta en una rica fuente de ingresos para el cibercrimen.
La realidad es que un ataque al IIoT, especialmente si se utiliza para supervisar operaciones y procesos críticos, puede tener un impacto muy significativo no solo en la propia empresa, sino también en el medio ambiente y en la salud y seguridad del personal e, incluso, del público en general. Y dado que el mercado de los dispositivos IIoT no está regulado y no se le exige que cumpla ciertas normas de seguridad, es vital adoptar un enfoque holístico e integral de la seguridad.
A la hora de asegurar cualquier sistema que incluya dispositivos inteligentes, hay que tener en cuenta tres factores importantes.
El primero es la visibilidad: tener una visión global del sistema y sus componentes, entender qué dispositivos están conectados a la red y si funcionan con normalidad. Saber “qué” está conectado a la red es un principio básico de ciberhigiene. Se requiere una solución que incluya el control de acceso a la red, la gestión de dispositivos, eventos e inventario, además de un análisis detallado.
El segundo factor es la prevención del ataque. Los dispositivos del IIoT suelen tener necesidades de conectividad limitadas, por lo que debe utilizarse la segmentación para restringir el acceso. Los firewalls de aplicaciones pueden asegurar que solo se permitan los protocolos y aplicaciones autorizados. La prevención de intrusiones puede detectar y bloquear los intentos de escaneo de vulnerabilidades y evitar cualquier intento de explotarlas.
El tercer factor es reconocer cuando un dispositivo ha sido comprometido. Tras una intrusión, el atacante reunirá toda la información sobre el entorno, identificará los activos de alto valor y determinará cómo monetizar el ataque. Es una ventana de oportunidad para contener y bloquear el ataque. Soluciones como el anti-botnet, la detección de compromisos y el análisis del comportamiento de usuarios y entidades (UEBA), están diseñadas para detectar un ciberataque inmediatamente. La tecnología SOAR (Orquestación Automatización y Respuesta de Seguridad) realiza una investigación y da respuesta automatizada para identificar, aislar o eliminar estos dispositivos antes de que se produzca daño.
Por último, todos los componentes de seguridad anteriores deben integrarse en una arquitectura de seguridad que ofrezca inteligencia sobre amenazas accionable, basada en IA y que proporcione una verdadera integración y automatización en toda la infraestructura de seguridad. Una postura de seguridad consistente, en tiempo real y de extremo a extremo, protege los dispositivos inteligentes, minimiza el impacto y reduce el tiempo necesario para devolver los sistemas críticos a un estado seguro y disponible.