Crisis de ciberseguridad industrial

Hace unas semanas, la empresa israelí Armis descubrió una nueva vulnerabilidad de ciberseguridad crítica que afecta a varias familias de controladores industriales de Schneider.

Según la información publicada, un atacante que fuera capaz de entrar en una red de OT con autómatas de esta familia podría no sólo controlarlos de forma remota, sino también utilizarlos para distribuir malware o robar datos.

Crisis de ciberseguridad industrial

Esta vulnerabilidad es un síntoma más de lo que algunos analistas denominan "crisis" de la ciberseguridad industrial, con productos cada vez más debilitados por las capacidades y herramientas de los ciberdelincuentes e investigadores.

Las vulnerabilidades de seguridad no son exclusivas del mundo industrial. Cualquier software empresarial, compuesto por complejas y grandes estructuras de código creadas por el ser humano, contiene vulnerabilidades que podrían ser descubiertas y explotadas.

Es prácticamente imposible pensar en una empresa invulnerable. Entonces, ¿cuál es la diferencia entre el mundo industrial (OT) y el mundo informático (IT) y por qué la sensación de inseguridad es cada vez mayor en las empresas industriales? La clave está en la incapacidad de las empresas industriales para actualizar el software y el firmware.

Lectura recomendada: La importancia de las actualizaciones OTA para los dispositivos IoT

¿Por qué las empresas industriales no actualizan sus sistemas? La respuesta más común es que necesitan dar prioridad a la continuidad del negocio.

Schneider Electric ha indicado que está desarrollando un parche de seguridad para evitar esta vulnerabilidad que estará disponible en el cuarto trimestre de 2021. Sin embargo, es muy probable que muy pocas empresas acaben instalando esta actualización, dejando sus sistemas vulnerables o teniendo que invertir mucho en seguridad perimetral y vigilancia para blindar sus redes.

En una infraestructura informática, un tiempo de inactividad por mantenimiento es mucho más manejable que en una infraestructura como la eléctrica, que presta servicios críticos a sus usuarios. Esto no es descabellado. Sin embargo, en Barbara IoT creemos que hay mucho margen de mejora que puede ayudar a las empresas industriales a actualizar sus sistemas con mucha más frecuencia, haciéndolos mucho más seguros y competitivos.

La clave está en una combinación de herramientas y procesos.

Nodos de Edge Computing Ciberseguridad

Herramientas

Automatizar las actualizaciones mediante Edge Computing, en lugar de que las realicen manualmente los operarios, significa reducir al mínimo las ventanas de mantenimiento . Podemos reducir la intervención de varios minutos u horas a segundos y evitar errores humanos.

La informática de borde es un elemento clave para ello. A través de nodos de computación de borde ciberseguros, situados en la intersección de la red de TI y OT, podemos programar a distancia estas rutinas de actualización, iniciarlas en horas de poca actividad o incluso programarlas en lotes para minimizar cualquier riesgo.

Actualizaciones del sistema a través de los nodos de Edge Computing - Imagen de Barbara IoT

Esto es especialmente relevante para las empresas con activos muy distribuidos y redes segmentadas, como las empresas de servicios públicos, movilidad o telecomunicaciones.

La arquitectura propuesta permite:

• Distribuir las actualizaciones a través de canales seguros preparados para ello.
• Despliegue más rápido de los parches de seguridad mediante rutinas programadas
• Escala lanzando rutinas de actualización a cientos o miles de ordenadores, de forma remota y simultánea
• Los desarrolladores pueden hacer pruebas en equipos muy localizados o en plantas individuales antes de embarcarse en un despliegue global.
• Disponer de rutinas de copia de seguridad o conmutación por error

Aplicar las estrategias de desarrollo de Devsecops

Procesos

Una puerta reforzada no sirve de nada si suele estar abierta. Esta sencilla analogía sirve para entender que la ciberseguridad no es sólo cuestión de herramientas, sino también de procesos .

Para ello, recientemente se han definido una serie de filosofías, prácticas, organizaciones y procesos que permiten a las empresas incorporar la ciberseguridad a sus ciclos de desarrollo de productos u operaciones. Estas prácticas se conocen como "DevSecOps".

La filosofía DevOps promueve que los equipos de desarrollo y de sistemas, los procesos y las herramientas no estén separados. Todo el ciclo de vida de una aplicación, desde el diseño hasta el despliegue en producción y el mantenimiento, debe concebirse como algo integrado. De este modo, son los mismos ingenieros los que codifican tanto la aplicación como las herramientas para probarla e instalarla de forma automatizada en diferentes entornos.

Como un paso más hacia la madurez tecnológica, la filosofía "DevSecOps" añade la seguridad como un tercer bloque de construcción en estos procesos de desarrollo e integración continua.

Para implantar DevSecOps en una organización, los desarrolladores deben incluir la seguridad en todas las decisiones a lo largo del ciclo de vida de un producto o servicio. Deben realizar un análisis de riesgos durante el diseño, incluir pruebas de seguridad automatizadas como parte del flujo de trabajo y disponer de recursos -preferiblemente internos al equipo de desarrollo- dedicados a la identificación temprana de amenazas o vulnerabilidades.

Con esta combinación de herramientas y procesos modernizados, las empresas industriales podrán responder de forma mucho más eficaz a los retos actuales de ciberseguridad, como la vulnerabilidad Modipwn descubierta hace semanas.

Si te ha interesado este artículo y quieres saber cómo implementar proyectos IoT de forma cibersegura, ¡contacta con nosotros!

‍