TI y TO, ¿ya somos amigos?
Importancia de una correcta convergencia TI-TO
Hace aproximadamente dos décadas, numerosas organizaciones de los sectores comercial e industrial comenzaron una evolución digital interconectando sus tecnologías de la información (TI) con sus tecnologías de la operación (TO). Parte de esta interconectividad se realizó usando redes de comunicación públicas, como Internet, para sistemas TI tradicionales, así como para sistemas TO - precursores de la IoT (Internet de las Cosas): sensores, dispositivos endpoint, interfaces hombre-máquina (HMI), controladores lógicos programables (PLC) y unidades terminales remotas (RTU). Durante los últimos años, se ha producido una proliferación de dispositivos y tecnologías de IoT, dando lugar a un importante incremento en el número de elementos y funcionalidades, hoy día hay más dispositivos, sensores, componentes middleware, servidores, tecnologías, plataformas, etc.
Si bien esta interconectividad ha ayudado a mejorar la colaboración, la fiabilidad y la eficiencia, la disponibilidad, el mantenimiento y la productividad de sus entornos operativos; la ciberseguridad apenas se ha tenido en cuenta. Esta falta de planificación ha derivado en un incremento de la superficie de ataque, ofreciendo más y mejores oportunidades a atacantes, creadores de código malicioso y grupos de cibercriminales, lo cual se ha confirmado a la vista del número de ciberataques exitosos (p.ej. BlackEnergy, Wannacry y Petya) que se han producido en diferentes sectores industriales (energía, transporte, fabricación, salud, etc.) durante los últimos años.
Hoy día es común que los ciberataques se lleven a cabo por equipos multidisciplinares con conocimientos de TI y del funcionamiento del sistema industrial objetivo del ataque. De esta forma, no solo son capaces de acceder al sistema de control industrial, sino que también identifican las partes más críticas y sensibles del proceso industrial de forma que al sabotearlo puedan producir graves daños que afecten a la producción de la planta, a la propia instalación e incluso a salud de las personas. Ya ha habido casos (p.ej. ciberataque en Ucrania 2015) en que los sistemas de control industrial han sido detenidos o dañados en ciberataques debido a que los atacantes han comprometido el entorno TO penetrando a través del entorno de TI.
Dado el aumento de ciberataques sufridos en las organizaciones, la ciberseguridad ha pasado a ser un asunto importante en la agenda y prioridades de los miembros de las juntas directivas, resultando en un incremento importante de los presupuestos dedicados a ciberseguridad TI y TO.
Dificultades y estado actual de la convergencia TI-TO
Como resultado de las diferencias de los entornos TI y TO, en el proceso de convergencia se están produciendo importantes desafíos de ciberseguridad para las organizaciones como, por ejemplo, la falta de conocimiento global e integral de la ciberseguridad de los entornos TI y TO o soluciones de ciberseguridad fragmentadas que no necesariamente funcionan en ambos entornos.
Otro problema es la falta de estándares y regulaciones específicas para las tecnologías de la IoT, lo cual dificulta su planificación e implementación. Además, es posible que algunos modelos de ciberseguridad habitualmente usados en el entorno TO, no se hayan integrado adecuadamente en el ciclo de vida de los dispositivos y plataformas de la IoT.
Habitualmente, el enfoque de ciberseguridad prevaleciente en el entorno TO es usar prácticas y tecnologías de TI. Desafortunadamente, esto no siempre funciona y, en algunos casos, ha causado problemas con los equipos y dispositivos de operación. Ambos entornos tienen diferentes puntos de vista sobre la ciberseguridad, ya que tienen diferentes necesidades de negocio. En consecuencia, se producen aplicaciones erróneas de tecnologías, metodologías o procedimientos habituales en TI en entornos TO, lo cual puede producir auto-denegaciones de servicio y otras complicaciones producidas por la propia organización. Por ejemplo, la gestión y uso de recursos y aplicaciones habituales de TI para realizar las pruebas de intrusión o las herramientas de mapeo de red pueden afectar los sistemas de TO, como p.ej. PLC o RTU antiguos. Del mismo modo, la aplicación tradicional de un software antivirus sobre dispositivos de campo, HMI o sistemas de control tradicional puede afectar su disponibilidad y rendimiento.
Si bien es cierto, como ya se ha comentado, que se ha producido un incremento importante en el número de ciberataques sufridos en todos los sectores de la industria, muy pocos de estos incidentes se han podido relacionar con el ciberespacio, lo cual evidencia significativamente las limitaciones en las capacidades de análisis forense en los sistemas de control industrial. Esta carencia se espera que se complique aún más con la llegada de la IoT, en general, y la IIoT (Internet Industrial de las Cosas), en particular.
La monitorización de red por medio de la correlación de eventos de seguridad de extremo a extremo (desde TI hasta TO) constituye una oportunidad para implantar una estrategia de defensa activa e identificación de amenazas para toda la organización.
Próximos pasos
Como se ha hecho patente a lo largo de los años, en el proceso de convergencia TI – TO deben existir diferentes enfoques de ciberseguridad para ambos, ¡y eso está bien! Por ejemplo, a la hora de realizar un análisis de riesgos, la estimación de los factores de probabilidad e impacto varían entre ambos entornos TI/TO, y así debe ser. Por tanto, algunas partes de la ciberseguridad tradicional (TI) pueden ayudar a guiar a las organizaciones, pero no se recomienda aplicarlas directamente sobre TO. Debería adaptarse la ciberseguridad de un entorno a otro donde tenga sentido, teniendo en cuenta las consideraciones propias del entorno TO, las cuales priorizan la seguridad de las personas, la disponibilidad de las operaciones y la protección de los activos físicos.
Se asume que muchos procesos industriales necesitarán convivir con productos (tanto dispositivos como aplicaciones) inseguros durante años, por tanto, uno de los puntos más prioritarios a abordar es la identificación y subsanación de las brechas existentes en los requisitos de seguridad entre ambos entornos, de cara a desarrollar controles de compensación, así como constituir un plan integral de ciberseguridad para toda la organización.
Otro aspecto en el cual hay que avanzar decididamente es la falta de una colaboración adecuada y eficiente entre equipos de trabajo de dichos entornos. Además de sesiones de concienciación y formación diseñadas específicamente para profesionales que vayan a trabajar en la zona de convergencia, deben establecerse grupos de trabajo multidisciplinares, de forma que todos los aspectos de un problema de seguridad en el ámbito industrial sean considerados. En paralelo, debe desarrollarse una cultura y lenguaje común en un ambiente de cooperación y comprensión mutua. Nada separa más a las personas que el lenguaje empleado. Por lo que la gestión de los aspectos culturales constituye el paso previo imprescindible para crear un entorno industrial verdaderamente seguro.
Por supuesto, deben darse pasos decididas y en la correcta dirección para resolver los aspectos y preocupaciones de ciberseguridad referentes a la adopción de nuevas tecnologías y plataformas ofrecidos por la computación en la nube y el IIoT. Si este no deja de ser una continuación de las tendencias vistas desde finales del siglo pasado, su complejidad reside en gestionar la ciberseguridad de los datos, comunicaciones, servicios, etc. de la gran cantidad de dispositivos “inteligentes” que se implementarán en entornos industriales. Se espera que la superficie de ataque de IIoT se expanda significativamente.
Por último, siendo conscientes de que no existen soluciones mágicas y únicas para solucionar los problemas de ciberseguridad asociados a la convergencia TI/TO, se sugiere aplicar las siguientes medidas básicas:
- La ciberseguridad debe incluirse en todos los niveles de la organización.
- La ciberseguridad de ambos entornos debe ser gestionada por un responsable último, la cual debe estar alineada con las directrices marcadas desde la Dirección.
- Las tecnologías y las amenazas de ambos entornos deben entenderse claramente. Es posible que las tecnologías de TI no funcionen necesariamente en el entorno de TO. Además, las amenazas pueden ser diferentes.
- Los controles de seguridad básicos deben implementarse en todas las capas y entornos de la organización.
- Se deben realizar análisis de riesgo periódicos en ambos entornos para identificar vulnerabilidades y garantizar que se implementan los controles de seguridad adecuados.
- Las organizaciones deben considerar normativas de ambos entornos como la NIST 800-5310 para TI y NIST 800-8211 e ISA / IEC 62443-1-2 para SCI y TO.
- Desarrollar políticas y procedimientos específicos de SCI que sean consistentes con la ciberseguridad de TI, la seguridad física y la continuidad del negocio.
Conclusiones
Es de vital importancia que las organizaciones reconozcan la criticidad de la ciberseguridad en todos los niveles del entorno convergente, no puede ser descuidado o tratado como una idea de futuro si quieren resistir o sobreponerse a los ataques cibernéticos.
Si bien es cierto que se ha avanzado mucho durante los últimos años, todavía es necesario establecer una colaboración más profunda entre TI y TO. Esta colaboración es imprescindible pues TI tiene el conocimiento en ciberseguridad mientras que TO tiene la experiencia para saber cómo las tecnologías de seguridad pueden afectar a los sistemas operacionales.
Por supuesto, debe asegurarse de que ambos entornos cumplan con los requisitos básicos de ciberseguridad y cuenten con los recursos necesarios para trabajar juntos sin problemas. Por último, es esencial que los ejecutivos de los niveles más altos de la organización incluyan la ciberseguridad en el plan de negocios general de la empresa.