Llegamos al final de este viaje, en el que hemos ido visitando muchas paradas que nos cuentan la actualidad y el contexto de los sistemas de control industrial, pero aún nos falta la última parada de todas: el futuro. Ya hemos comentado muchas veces el nuevo entorno que se presentó cuando el Internet entró en estos sistemas, pero lo cierto es que hoy en día se está abriendo otra puerta, con muchas otras amenazas y posibilidades. Hablamos de IIoT.
Ha habido bastante debate y especulación sobre el impacto potencial de Internet Industrial de las Cosas (IIoT) en el desarrollo, implementación y operación de sistemas de control industrial (ICS). Las predicciones van desde «Nada cambia» a «Va a cambiar todo lo que se hace». Como es habitual en situaciones como esta, tendremos que esperar a que el humo se aclare un poco para obtener una respuesta final. Independientemente de cómo se desarrolle finalmente, hay ciertos aspectos del control industrial que seguramente se verán afectados de alguna manera. Uno de estos es la ciberseguridad. Específicamente, ¿cuáles son los principios, estándares y prácticas necesarios para garantizar que un sistema de control industrial funcione de manera segura y esté protegido de amenazas involuntarias, colaterales y deliberadas?
Algunos de los expertos más cínicos de la comunidad de ICS incluso han bromeado con que, en este contexto, el término IIoT debería considerarse como la abreviatura de «Internet industrial de amenazas» threats en inglés. Esto se basa principalmente en la expectativa de que el crecimiento en IIoT tiene el potencial de explotar la cantidad de posibles fuentes de ataque, también conocida como «superficie de ataque», mediante la introducción de un gran número de sensores ampliamente distribuidos y otros dispositivos que pueden o no haber sido diseñados de acuerdo con los estándares de seguridad industrial. Por otro lado, los optimistas entre nosotros pueden suponer que dado que la práctica del control industrial tiene una larga historia de conexión y recopilación de datos de dispositivos de un tipo u otro, entonces esto es más de lo mismo.
Sin embargo, otros sectores opinan que se presentan unas oportunidades que no se pueden dejar pasar. Por ello, dicen que es necesario generar unos estándares que estén a la altura de los que existen ahora mismo.
Ante esta nueva perspectiva, surgen una serie de preguntas, entre ellas se incluyen:
¿Hay riesgos adicionales introducidos por esta clase de tecnología?
¿Esto requerirá o justificará requisitos nuevos o significativamente modificados en los estándares?
¿Para qué debería el reconocimiento del impacto del IIo tener en cuenta los estándares existentes y planificados?
Dado que la complejidad del tema de seguridad, ya hay organizaciones que se han puesto , la esperanza es que podamos evitar crear otros adicionales dedicados a áreas tecnológicas específicas, como IIoT.
El enfoque preferido es analizar el impacto en la intersección de IIoT y seguridad cibernética, con el fin de identificar áreas específicas donde las normas y los informes existentes y en desarrollo pueden necesitar modificarse para agregar la consideración y énfasis apropiados de IIoT en los planes de despliegue y operaciones.
CyberX ha realizado un análisis de los riesgos a los que se exponen las industrias, y ha llegado una serie de conclusiones que se resumen en este infograma:
- Un tercio de los sistemas industriales están conectados a Internet.
- Más de tres cuartos de los sitios tienen versiones de Windows obsoletas.
- Autenticación débil
- Ausencia de antivirus
- Dispositivos no deseados y acceso inalámbrico
- Acceso remoto
De la mano de estos riesgos, llegan unas recomendaciones que las empresas deberían implantar para plantarle cara a los nuevos riesgos que aparecen.
- Ofrecer una formación para aumentar la conciencia sobre la seguridad y reforzar políticas corporativas fuertes
- Iniciativas organizacionales que rompan las barreras entre el mundo IT y el OT
- Usar controles compensatorios y defensas multicapa para detectar ataques y amenazas rápido
- Identificar de forma proactiva las vulnerabilidades más críticas
CSO ha publicado un informe en el que aparecen las 10 compañías más emergentes proporcionan soluciones de ciberseguridad en IIoT y ICS:
Applied Risk, Amsterdam
Bayshore Networks, New York
Claroty, New York, NY
Dragos, Washington, D.C.
Indegy, Tel-Aviv, Israel
mPrest, Petach Tikva, Israel
NexDefense, Atlanta
Nozomi Networks, San Francisco
Veracity, Alisa Viejo, Calif.
Waterfall Security, Rosh Ha’ayin, Israel
Obviamente, esta es una lista en la que no aparecen todas las empresas que tienen un impacto en el tema de la protección sino las más emergentes y de las que habrá que estar pendientes. En esta lista no se incluyen las grandes compañías como Airbus, BAE Systems, Cisco, IBM, Intel, Siemens o Symantec.
Una vez más, aparecen nuevos retos en la industria y solo las empresas que hayan aprendido del pasado serán capaces de emerger en el futuro.
Referencias:
Announcing the CyberX “Global ICS & IIoT Risk Report”. Visitado el 29 de noviembre de 2017. https://cyberx-labs.com/en/blog/announcing-cyberx-global-ics-iiot-risk-report/
How will ICS cybersecurity standards be impacted by IIoT? Visitado el 29 de noviembre de 2017.https://industrial-iot.com/2017/05/will-ics-62443-cybersecurity-standards-impacted-iiot/
ICS / IIoT Security Diary. Visitado el 29 de noviembre de 2017. https://cybersecurityventures.com/ics-iiot-security-report-diary/
10 emerging ICS and IIoT cybersecurity companies to watch. Visitado el 30 de noviembre de 2017. https://www.csoonline.com/article/3211372/security/10-emerging-ics-and-iiot-cybersecurity-companies-to-watch.html
IT vs. OT for the Industrial Internet – Two Sides of the Same Coin? Visitado el 30 de noviembre de 2017. https://www.globalsign.com/en/blog/it-vs-ot-industrial-internet/
2020: Future automation. Visitado el 30 de noviembre de 2017. https://www.controleng.com/single-article/2020-future-automation/c33ed4679973dcb1ed2f53411520088d.html
G V M
Latest posts by G V M (see all)
- Un día más… - 22 enero, 2018
- Hablando de emociones de una forma racional - 20 diciembre, 2017
- IIoT ¿Es el futuro? - 30 noviembre, 2017
Muy bien Gaizka. Por si te interesa, http://isa99.isa.org/Public/Information/The-62443-Series-Overview.pdf