[15/05/2022] En nuestros días, la transformación digital y la industria 4.0 ha llegado para quedarse. Por esto, desde los gobiernos se está promoviendo la digitalización de la industria, así poder optimizar costos, producción y mitigar los posibles accidentes laborares que cuesten vidas. Hoy, actividades tan tradicionales como la minería o la manufactura, toman sus decisiones basadas en los datos que pueden obtener de los mismos dispositivos que permiten mejorar la producción.
Muchas de estas actividades han migrado en ocasiones por necesidad del negocio, pero sin tener en cuenta algunos de los requerimientos de seguridad de información más básicos, con la excusa de que las redes industriales no tienen salida a Internet. Sin embargo, cada día son más las operaciones que se gestionan desde un dispositivo móvil o un punto remoto.
Esta mala práctica ha evidenciado seis problemas de ciberseguridad en el mundo industrial, que son.
- Modernización al azar: Se presenta al mezclar equipos obsoletos o desactualizados con tecnología moderna y conexiones a Internet, como escritorios remotos o sistemas de VPN, para que los trabajadores puedan monitorear los procesos desde cualquier parte.
- Redes únicas: Es las redes industriales, los sistemas están conectados en una única red, lo que no permite las pruebas o las actualizaciones de forma simple. Generando que la aplicación de seguridad sea compleja e incluso inviable, pues los procesos no se pueden detener.
- Protocolos obsoletos: Suelen tener más de 20 años, donde sus cambios han sido muy pocos y no pensados en mejoras de seguridad. Uno de los ejemplos es ModBus, que es uno de los más extendidos en el mercado y no se ha modificado desde hace varios años.
- Software Propietario: Los fabricantes han tomado protocolos abiertos, modificándolos para convertirlos en protocolos exclusivos dentro de sus dispositivos; por ende, se requiere generar software asociado a ese manejo de comunicación propietario, haciendo que las actualizaciones y mejoras en ciberseguridad solo dependan del fabricante.
- Desarrollos sin seguridad: El mundo industrial se ha ido conectando lo que se ha llamado la IoT, o Internet Industrial of Things, para solucionar requerimientos puntuales de las empresas; pero en muy pocas ocasiones estos dispositivos cumplen con políticas de desarrollo seguro que garanticen que su software fue concebido en torno a la seguridad.
- Gestión de Ciberseguridad: Este es un problema de trabajo en equipo, donde el personal de OT hace responsable de la seguridad del sistema a personal TI, sin una capacitación o entrega de información de posibles amenazas o tendencias en incidentes, generando que la gestión no sea eficiente y que permita a los atacantes aprovechar esos vacíos de funciones y conocimientos.
Esto se ha visto reflejado en un incremento bastante grande en casos de secuestros de información, donde estudios como el realizado por el área de seguridad industrial de Kaspersky, evidencia el aumento de las muestras en estas redes. Perú se observa como uno de los países más afectados en el mundo.
Sin embargo, no ha salido a la luz pública ningún caso de secuestro como los del Colonial Pipeline o los sistemas agroindustriales en Estados Unidos, lo que no quiere decir que no haya sucedido o que no están cerca de que suceda.
Casos como el del Colonial Pipeline inicio con el robo de las credenciales de acceso de una VPN de uno de los trabajadores, permitiendo a los delincuentes acceder a la red de TI. Desde allí pasar a los equipos de gestión de OT, conocidos como bahías de ingeniería, y desplegar el Ransomware as a Service conocido como DarkSide, inhabilitando de todo proceso de control en las operaciones y llevando a detener forzosamente todo el sistema de distribución del poliducto y a pagar una cuantiosa suma por retomar la operación.
Según Dragos, una de las empresas especializadas en el sector de seguridad industrial, los ransomware más usados para afectar operaciones industriales son LockBit y Conti, con cerca del 51% de los incidentes en el 2021, siendo la manufactura de productos metálicos la más atacada con 37 casos.
Teniendo en cuenta este comportamiento en el mundo industrial, y como el ransomware se está orientando sus ataques a afectar los entornos industriales, se puede decir que es inminente el secuestro de partes de nuestra industria, y se requiere que las empresas de este sector entiendan la importancia de tomar medidas de control y de prevención.
De la mano de equipos especializados en ciberseguridad del mundo IT y OT, las industrias deben iniciar la implementación de mecanismos de detección de amenazas y comportamientos anómalos en estas redes. Para esto es fundamental que las empresas comiencen con una definición clara de las amenazas e impactos basados en el mapa de los equipos que componen sus procesos industriales, con esto es posible generar un plan de priorización de controles de seguridad.
Teniendo en cuenta que la mejor medida de prevención ante el secuestro de información es un respaldo robusto, con ese mapa de priorización empezar a validar los respaldos de esos dispositivos y hacer pruebas de emergencias cibernéticas para validar el óptimo funcionamiento de estos respaldos.
CIO, Perú