El poder de las gateway en el IIoT
El Internet Industrial de las Cosas (IIoT) hace referencia al uso de diferentes dispositivos interconectados en el ámbito industrial, ya sea dentro de las fábricas, empresas de energía u otro tipo de industrias.
El Internet Industrial o también conocido como Industria 4.0, implica el uso de sensores y actuadores inteligentes para mejorar los procesos industriales y de fabricación, utilizando todos los beneficios proporcionados por las máquinas inteligentes y la obtención de datos a alta velocidad y en tiempo real. Todo esto sumado a la interoperabilidad entre sistemas otorgada por diferentes protocolos a nivel industrial, se ha conseguido mejorar diferentes aspectos, como la detección de errores (reduciendo costes), ahorro de tiempo (mejora de la eficacia), mejora del control de calidad, prácticas sostenibles, trazabilidad de la cadena de suministro, gestión de la energía o el seguimiento de activos.
Todas estas ventajas, han supuesto un avance sustancial de los procesos industriales que incorporan dispositivos IIoT, aunque esto también les ha vuelto objetivo de atacantes, ya que la posibilidad de obtener gran cantidad de información y datos es sencilla si la Red está mal protegida.
Con la necesidad de aumentar todavía más si cabe esta interoperabilidad, tan característica y necesaria en los sistemas industriales IIoT, surgen los IIoT gateways, capaces de conectar dispositivos industriales de nueva generación con dispositivos industriales antiguos, evitando así a las empresas la necesidad de actualizar todos los dispositivos a una versión de ‘next generation’ y reduciendo, por lo tanto, costes.
Despliegue de gateways y su importancia
Entrando de manera más profunda y técnica al concepto de IIoT gateway (puertas de enlace industriales), se puede decir, que estos dispositivos son un punto de vital importancia en las infraestructuras industriales. Las gateways industriales cierran la brecha entre los dispositivos del “Edge” (dispositivos y red local) y la nube, gracias a la recopilación, procesamiento y estandarización de datos de sensores, dispositivos de E/S y PLC antes de enviarlos a la nube, garantizando una completa conectividad sin importar el tipo de dispositivo base.
Una de las principales características de estos dispositivos es su capacidad para conectarse a diferentes tipos de equipos, sistemas y dispositivos, y ser capaz de transformar los datos en un modelo estándar para que puedan ser usados y transmitidos a sistemas basados en la nube.
Por otro lado, las IIoT gateways aportan diferentes funciones o capacidades para aumentar la eficiencia en entornos industriales. A continuación, se detallan algunas de estas capacidades principales dentro de los entornos industriales, algunas integradas en ciertos modelos hardware, otras como módulos desarrollados por terceros, compatibles con muchas gateways software dependientes del sistema operativo instalado.
- Funciones de actualización remota: esta capacidad es de suma importancia en los entornos industriales, ya que reduce en gran medida los riesgos de indisponibilidad del servicio por errores en el firmware o por vulnerabilidades de seguridad en la IIoT gateway. Gracias a esta capacidad, la gateway puede comprobar periódicamente si tiene instalada la última versión de firmware, descargarla e instalarla automáticamente.
Conectividad, recopilación de datos y comunicación: los sistemas basados en la nube suelen tener recursos limitados para el almacenamiento y análisis de datos y requieren de conectividad a la Red, lo cual aumenta la latencia de los sistemas. Las IIoT gateways solucionarían dicho problema en el ámbito industrial, gracias al procesamiento de los dispositivos perimetrales y la estandarización de datos antes de su envío a la nube, reduciendo así notablemente la carga de procesamiento en los sistemas finales. Además, posibilitan también:
- Almacenamiento local de datos de dispositivos IoT, como contraseñas, modelos, parámetros de configuración etc.
- Capacidad para automatizar la comunicación gracias a los datos almacenados.
- Capacidad de reinicio de dispositivos industriales, ejecución de comandos de forma remota y actualización o modificación del comportamiento de dichos dispositivos
- Procesamiento en tiempo real y toma de decisiones: son capaces de procesar una gran cantidad de datos en tiempo real, descartar la información irrelevante y enviar únicamente los datos necesarios a los sistemas en la nube. Además, posibilitan la capacidad de almacenar una cierta cantidad de datos (dependiendo del modelo) para que en caso de fallo en los sistemas nube, estos datos se puedan almacenar hasta que esté disponible el servicio.
- Monitorización y mantenimiento: uno de los principales problemas de los equipos de mantenimiento en los sistemas industriales, es la capacidad de monitorizar, tanto dispositivos individuales como plantas industriales completas de forma eficaz. La inclusión de los IIoT gateways, permite a los equipos y fabricantes la monitorización del estado de los activos de forma sencilla, gracias a la estandarización realizada por el software de las puertas de enlace. Se pasa de un mantenimiento reactivo a un mantenimiento predictivo o basado en condiciones.
Estas funciones en forma de aplicaciones dentro de las gateways IIoT, se conoce como edge computing, siendo esta, una forma muy eficiente de distribuir el proceso entre nodos, reduciendo la carga de trabajo, los tiempos de respuesta de ejecución y pudiendo ejecutar acciones mucho más cerca de los dispositivos industriales finales.
Cómo defenderse de los malos
Una vez se han definido y explicado las capacidades de los IIoT gateways, así como su importancia en los sistemas industriales con gran cantidad de dispositivos interconectados, queda patente que, un ataque sobre estos dispositivos puede detonar en un grave incidente de ciberseguridad en cualquier proceso industrial. Es por ello por lo que las gateways disponen de ciertas medidas de seguridad implementadas de serie o que se pueden implementar de forma manual y que son similares al bastionado de otros dispositivos del entorno OT:
- Uso de criptografía: la implementación de esta técnica, resulta en un mejor control de accesos al dispositivo, la posibilidad de cifrar las sesiones de administración y gestión remota.
- Uso de la función PUF: la función Physical Unclonable Function permite la generación de una clave única para la autenticación del dispositivo y de la comunicación.
- Capacidad de cifrado de comunicaciones con los dispositivos IoT: la inclusión de un módulo específico puede permitir cifrar las comunicaciones de forma segura, evitando así los ataques basados en capturas de tráfico por parte de un atacante (sniffing).
- Función firewall: si la puerta de enlace actúa como proxy de seguridad, puede implementar la funcionalidad de firewall gracias a la posibilidad de definir listas blanca y reglas para el filtrado de tráfico.
- Protección física: en una gran cantidad de casos, las gateways IIoT están expuestos de forma física a posibles ataques, es por ello, que se debe realizar un bastionado físico de estos equipos.
- Utilización de la función de actualización remota: esto evita el uso de otros dispositivos físicos sobre la puerta de enlace, los cuales pueden transferir malware o un firmware modificado por un atacante al gateway IIoT.
- Activación de la función de registro de eventos: esta funcionalidad permitirá tener un registro completo de todos los eventos que tienen lugar sobre los procesos ejecutados en la gateway, facilitando las auditorías de seguridad y automatizando la detección de amenazas.
- Funcionalidad IDS/IPS: esta función también está disponible en algunos firewalls industriales, permitiendo tener un control de diferentes intrusiones en la Red.
Conclusiones
A lo largo del artículo se han expuesto los beneficios y soluciones ofrecidas por los IIoT gateways, así como algunos métodos de protección ante posibles ataques, ya que estos dispositivos poseen gran cantidad de vectores de ataque al ser el punto de unión entre sistemas IT y sistemas OT.
Es por ello, que la securización de estos dispositivos es de vital importancia para poder defender el traspaso de datos entre entornos, así como la capacidad de controlar los dispositivos finales del entorno industrial. En el apartado anterior, se detallan algunas buenas prácticas para poder bastionar de la mejor manera las gateways industriales, asegurando así la arquitectura del sistema OT.