Seguridad Cibernética en procesos industriales: Diferencias entre IT y OT
Con los avances actuales en materia de Automatización y el desarrollo de nuevas tecnologías y servicios orientados a conectividad, las industrias evolucionan hacia el concepto de Industria 4.0, donde uno de los pilares fundamentales es la posibilidad de intercambio de datos y servicios entre las distintas Tecnologías de Información (IT), los Sistemas de Control Industrial (ICS), otras Tecnologías Operacionales (OT) y el
mundo exterior (Internet).
Las ventajas que se generan a partir de este intercambio son innumerables y van desde mejorar la eficiencia de los procesos, incluyendo la flexibilidad y adaptación ante imprevistos, hasta la creación de nuevos modelos de negocio. Sin embargo, la creciente exposición de los sistemas de control hacia el mundo de IT, los han convertido en un blanco fácil de ataques cibernéticos; por lo que, es importante establecer las diferencias principales entre estas tecnologías a la hora de preparar medidas efectivas para evitar las consecuencias de estos ataques.
Las Tecnologías Operacionales (OT) tienen su origen en la necesidad de supervisar y mantener en control procesos físicos. Inicialmente, dispositivos aislados de control – como controladores lógicos programables (PLC) o las unidades terminales remotas (RTU) – eran conectados mediante protocolos cerrados orientados a la transmisión de datos aislados. La información intercambiada se limitaba a unos pocos comandos, valores de referencia para estos controladores y las variables clave del proceso como temperatura y presión; de este modo, era posible centralizar la información en una sala de control. A medida que los dispositivos que formaban parte del sistema de control evolucionaban, estos pocos datos pasaron a ser información cada vez más compleja y abundante que podía ser utilizada para la toma de decisiones a otros niveles de las compañías, para mejorar y optimizar los procesos e incluso para generar nuevos modelos de negocio. Las redes de control que antes permanecían confinadas al área operativa, ahora se conectan con las redes locales, e incluso a la internet, muchas veces sin los debidos controles y con protocolos de comunicación que no están adecuados a las necesidades de seguridad de la actualidad.
Las Tecnologías de Información (IT) tienen un origen muy distinto y diverso, podría decirse que se remonta al correo tradicional, pero en realidad es la conjunción de muchas necesidades de intercambio de información. Actualmente, a través del internet se establecen millones de conversaciones independientes que hacen uso de medios comunes para transmitirlas en formas muy distintas y complejas; estas incluyen correos electrónicos, transacciones bancarias, transmisión de video, voz y datos, solo por nombrar algunos. En este ambiente, donde todos tienen acceso, la prioridad es evitar que un mensaje o documento que puede contener información sensible, llegue por error a un tercero o termine en poder de alguien que pueda tomar ventaja de su contenido, que pueda alterarlo a su favor o simplemente evitar que llegue a su destino.
De estos orígenes se puede establecer una primera diferencia, las Tecnologías de Información (IT) han crecido con la premisa de dar prioridad a la confidencialidad de la información y su integridad sobre la disponibilidad de los datos; en cambio, para las Tecnologías Operacionales (OT) la disponibilidad y la integridad del dato tienen prioridad sobre la confidencialidad, para las OT contar con la información precisa en el momento adecuado es imprescindible para cumplir con las funciones de control programadas.
Por otro lado, las Tecnologías de Información (IT) han tenido una demanda masiva a nivel mundial, cada día surgen nuevos modelos de negocio y necesidades de mejorar sus prestaciones en cuanto a desempeño y sobre todo a la seguridad. Es muy común en este entorno la actualización continua, tanto del Software como del Hardware, así como nuevas versiones de sistemas operativos que generan a diario actualizaciones parciales para corregir alguna no conformidad o mejorar alguna función. Cabe destacar que gran parte de estas actualizaciones están orientadas, de una u otra manera, a solventar vulnerabilidades en materia de Seguridad Cibernética.
Para el caso de las Tecnologías de Operación (OT), la demanda de desarrollo es más específica y depende de las áreas de proceso, por lo que los tiempos de desarrollo y actualización son mucho más largos. Adicionalmente, aun cuando se disponga de una nueva tecnología, su implementación puede involucrar la necesidad de detener el proceso productivo, lo que implica pérdidas de producción que eventualmente superan los beneficios de esta actualización. Generalmente, se espera una oportunidad operacional que puede tardar años en presentarse y ha generado un desfase importante entre las soluciones que encuentras en ambos entornos.
Los fabricantes frecuentemente optan por adaptar las tecnologías existentes de Tecnologías de Información (IT) en lugar de invertir en nuevos desarrollos, generando ambientes mixtos que aprovechan lo mejor de ambas tecnologías pero que, a su vez, generan nuevas vulnerabilidades y oportunidades para un posible ataque cibernético al exponer las deficiencias de cada sector. En muchos de los casos estas vulnerabilidades son corregidas en el mundo de Tecnologías de Información (IT), pero no pueden ser actualizadas o corregidas a la misma velocidad en el mundo de Tecnologías de Operación (OT).
En los últimos años, se ha evidenciado un creciente número de ataques cibernéticos que han afectado Sistemas de Control Industrial (ICS), algunos de ellos muy complejos y diseñados para afectar una instalación o tipo de dispositivo en específico. Estos ataques han puesto en estado de alerta a todos los sectores, desde entes gubernamentales hasta los fabricantes y, por su puesto, los usuarios de estas tecnologías.
La mayoría de los fabricantes están invirtiendo en fortalecer sus tecnologías para adaptarlas a las exigencias de normas internacionales, como la IEC-62443, que regulan sobre Seguridad Cibernética en la industria de los procesos; sin embargo, esto es un trabajo a mediano y largo plazo.
El reto para los usuarios en los próximos años radica en seguir siendo competitivos aprovechando todas las ventajas que se plantean con esta integración entre los entornos de Tecnologías de Información (TI) y Tecnologías de Operación (OT) y, a la vez, prepararse mediante la implementación de políticas claras de Seguridad Cibernética que permitan identificar y reducir, en la medida de lo posible, las vulnerabilidades que surgen de estas diferencias entre estos dos mundos.
La pregunta de todos los días no es si somos vulnerables, sino ¿qué tan vulnerables somos?
Carlos Guilarte.
FSEng TÜV SÜD TP17051343
Seguridad Cibernética en procesos industriales: Diferencias entre IT y OT Leer más »