Vulnerabilidades en el entorno industrial. La crisis de la ciberseguridad industrial

26 de agosto de 2021, by David Purón

¿Qué diferencia el mundo industrial (OT) del mundo informático (IT) y por qué cada vez la sensación de inseguridad es más alta en las empresas industriales? La respuesta está en la incapacidad de las empresas industriales en actualizar software y firmware.

Hace unas semanas, la empresa Israelí Armis, descubría una nueva vulnerabilidad crítica de ciberseguridad que afecta a varias familias de autómatas industriales del fabricante Schneider.

Según la información publicada, un atacante que fuera capaz de entrar en una red OT con autómatas de esta familia, podría no sólo controlarlos remotamente, sino también usarlos para distribuir malware o robar datos.

Crisis de la Ciberseguridad Industrial 

Esta vulnerabilidad es un síntoma más de lo que algunos analistas llaman una “crisis” de la ciberseguridad industrial, cuyos productos cada vez se muestran más débiles ante las capacidades y herramientas de cibercriminales e investigadores. 

Las vulnerabilidades de seguridad no son exclusivas del mundo industrial. Cualquier software empresarial, compuesto por complejas y grandes estructuras de código creadas por humanos, contiene vulnerabilidades que podrían ser descubiertas y aprovechadas. 

Pensar en empresa invulnerable es prácticamente imposible. Entonces, ¿Qué diferencia el mundo industrial (OT) del mundo informático (IT) y por qué cada vez la sensación de inseguridad es más alta en las empresas industriales?  La clave está en la incapacidad de las empresas industriales en actualizar software y firmware.

Lectura Recomendada: La Importancia de actualizaciones OTA para Dispositivos IoT

¿Por qué las empresas industriales no actualizan sus sistemas?  La respuesta más extendida es que necesitan priorizar la continuidad del negocio.  

Schneider Electric ha indicado que se encuentra desarrollando un parche de seguridad para evitar esta vulnerabilidad que estará disponible en Q4 de 2021. Sin embargo, es altamente probable que muy pocas empresas terminen instalando esta actualización, dejando sus sistemas vulnerables o teniendo que realizar altísimas inversiones para poner seguridad perimetral y vigilancia que blinde sus redes. 

En una infraestructura IT una parada para tareas de mantenimiento es mucho más asumible que un infraestructura como por ejemplo la eléctrica, que da servicios críticos a sus usuarios. No falta razón. Sin embargo, desde Barbara IoT pensamos que hay un amplio margen de mejora que puede ayudar a las empresas industriales a actualizar sus sistemas mucho más frecuentemente, haciéndolas mucho más seguras y competitivas.

Las claves para ello, se encuentran en una combinación de herramientas y procesos.

Nodos de Edge Computing Ciberseguros

Herramientas

Automatizar las actualizaciones a través de Edge Computing, en contraposición a que sean realizadas manualmente por operadores, implica reducir las ventanas de mantenimiento al máximo. Podemos reducir la intervención de varios minutos u horas, a segundos, además de evitar errores humanos.

El Edge Computing es un habilitador clave para ello. A través de nodos de Edge Computing ciberseguros, situados en la intersección de la red IT y OT, podemos programar remotamente estas rutinas de actualización, arrancarlas en horas de baja actividad, o incluso programarlas en lotes para minimizar cualquier riesgo.

Sistema de actualizaciones a través de nodos de Edge Computing – Imagen de Barbara IoT

Esto es especialmente relevante para aquellas empresas que tienen activos muy distribuidos y redes muy segmentadas, tales como las utilities, empresas de movilidad o telecomunicaciones. 

La arquitectura propuesta permite:

  • Distribuir las actualizaciones por canales seguros preparados para ello
  • Desplegar parches de seguridad más rápidamente a través de rutinas programadas
  • Escalar lanzando las rutinas de actualización a cientos o miles de equipos, de manera remota y simultáneamente
  • Que los desarrolladores puedan realizar pruebas en equipos muy localizados o plantas concretas antes de lanzarse a un despliegue global
  • Tener rutinas de backup o recuperación contra errores

Puede interesarte leer sobre: La computación en el Edge aplicada al sector eléctrico

Implementar estrategias de desarrollo SecDevOps

Procesos

De nada serviría una puerta blindada, si comúnmente está abierta. Esta simple analogía sirve para entender que la ciberseguridad no sólo es cuestión de herramientas, sino también de procesos. 

Para ello, recientemente se están definiendo una serie de filosofías, prácticas, organizaciones y procesos, que permiten a las empresas incorporar la ciberseguridad en sus ciclos de desarrollo de producto u operaciones. Son las denominadas prácticas “SecDevOps”.

La filosofía DevOps promueve que los equipos, procesos y herramientas de desarrollo y sistemas, no deben estar separados. Todo el ciclo de vida de una aplicación, desde su diseño hasta su instalación en producción y mantenimiento, debe concebirse como algo integrado. De esta manera, son los mismos ingenieros los que codifican tanto la aplicación, como herramientas para probarla e instalarla de manera automatizada en diferentes entornos.

Como un paso más hacia la madurez tecnológica, la filosofía “SecDevOps” añade la seguridad como tercera pieza fundamental en estos procesos de desarrollo e integración continua. 

Para poner en marcha “SecDevOps” en una organización, los desarrolladores deben incluir la seguridad en todas las decisiones a lo largo del ciclo de vida de un producto o servicio. Se deben realizar análisis de riesgos durante el diseño, incluir las pruebas de seguridad automatizadas como parte del flujo de trabajo, y tener recursos -preferentemente internos al equipo de desarrollo- dedicados a la identificación temprana de amenazas o vulnerabilidades. 

Con esta combinación de herramientas y procesos modernizados, las empresas industriales podrán responder de manera mucho más efectiva a los retos que presenta la ciberseguridad a día de hoy, tales como la vulnerabilidad Modipwn descubierta hace semanas. 

Si te ha interesado este artículo y quieres saber cómo implantar proyectos de IoT de manera cibersegura  ¡Contacta con nosotros!

Si buscas desarrollar un proyecto IoT, contáctanos