Fiabilidad | Mantenimiento

Fiabilidad y Ciberseguridad de redes OT

891
18
0
0
6 min. de lectura
Imagen del artículo Fiabilidad y Ciberseguridad de redes OT

Gorka Alcorta Ruiz de Alegría
CIBCOM Technologies S.L.

Las redes industriales de datos (redes OT) se han considerado tradicionalmente seguras, su función es conectar los diferentes elementos de cada máquina de nuestras plantas industriales, PLCs, HMIs, variadores, sensores, actuadores, …, para garantizar su correcto funcionamiento de una manera continua, para que no se pare la producción.

Aquí es donde entra el concepto de Fiabilidad, analicemos primero su definición:

“La fiabilidad de un sistema es la probabilidad de que ese sistema funcione o desarrolle una cierta función, bajo condiciones fijadas y durante un período de tiempo determinado” (definición según IEEE)

Posteriormente se fueron introduciendo elementos como los SCADA (Supervisory Control and Data Acquisition) o sistemas MES (Manufacturing Execution System) que necesitaban conexión con las máquinas y en la actualidad se unen estos sistemas a la red IT con el consiguiente resultado de tener la posibilidad de tener conexión a internet para incorporar los datos de planta a nuestros ERPs, realizar telemantenimiento, analizar el consumo de energía de nuestras líneas en tiempo real, consumos de materia prima, y tantas funciones como seamos capaces de imaginar y tengamos capacidad y presupuesto para abordar.

Estos últimos hechos han cambiado el concepto de fiabilidad de las redes OT ya que introducen nuevas problemáticas a las anteriormente existentes al introducir la Ciberseguridad en la ecuación, algo en lo que se trabaja desde hace tiempo en entornos IT pero es mucho más reciente en entornos OT. Al conectar todo ya tenemos una conexión entre las máquinas, de las maquinas a las redes IT e incluso a la web, y hay que ser conscientes de que este camino es bidireccional y por otro lado tenemos sistemas “IT” en nuestra red de planta, tales como PCs propios o de operarios externos, bases de datos y elementos con software vasados en sistemas Windows o Linux principalmente.

No es cuestión de asustarse ni ponerse nervioso, lo que tenemos que hacer es preparar nuestra planta para estar protegida y asegurar que esas nuevas tecnologías que hemos decidido implantar para ayudarnos lo hagan de forma Fiable y Cibersegura, para ello podemos comenzar por aplicar las recomendaciones de ciberseguridad propias de nuestro sector o en caso de no tenerlas ir a tiro fijo a las recomendaciones de la IEC 66443, considerado el modelo en ciberseguridad industrial en Europa y con el que adelantaremos mucho de lo que nos vendrá en octubre de 2024 con la transposición en España de la directiva europea NIS 2.

Vamos a centrar en este artículo la fiabilidad de nuestra red en 3 características que debe cumplir: Seguridad, Escalabilidad y por supuesto Fiabilidad. Hay más características a tener en cuenta en una red industrial, pero estas serían las primeras a tratar.

SEGURIDAD

Definamos primero qué es la seguridad en una red de datos: “La seguridad de red es el conjunto de estrategias, procesos y tecnologías diseñados para proteger la red de una empresa frente a daños y al acceso no autorizado. Las amenazas habituales a las que se enfrentan la infraestructura y los datos de una red incluyen hackers, programas maliciosos y virus, todos los cuales pueden intentar acceder a la red, modificarla o dañarla. Una prioridad esencial para la seguridad de la red es controlar el acceso e impedir que estas amenazas entren y se propaguen a través de ella” (Glosario de VMware). En el mundo industrial utilizaremos el concepto de defensa en profundidad, a diferencia de los sistemas del mundo IT las máquinas están diseñadas para durar décadas, por lo que deben de tener sistemas de protección para amenazas que no existían cuando fueron creadas, esto se consigue añadiendo capas de seguridad, veamos las que podemos aplicar actualmente.

Imagen 1

  1. La seguridad física es un concepto maduro, consiste en el control de acceso a la planta y a los componentes de la misma de manera que el personal no autorizado no pueda causar problemas, propongo contemplar una mejora enfocada a redes, utilizar switches gestionados de manera que podamos limitar que tomas de red están disponibles aun quedando libres e incluso que dispositivos se pueden conectar en cada toma aplicando filtrados por IP o MAC.
  2. Las políticas y procedimientos ya suponen un mayor esfuerzo a la organización ya que requiere que todos los empleados las acepten y no se relajen en su cumplimiento, realizaremos entre otros un análisis de riesgos, niveles de cumplimiento con las normativas de seguridad, simulacros de caídas y planes de contingencia, es importante contemplar la necesidad de tener actualizadas las copias de seguridad de nuestros elementos de planta, al menos de los que sea posible.
  3. Segmentas en Zonas y micro segmentar la zona OT en células o líneas de producción, esto consiste en primero separar IT de OT y luego nuestras diferentes zonas de producción mediante firewalls, de manera de que en caso de que alguna presente algún “problema”, podamos dejarla aislada y todas las restantes sean completamente funcionales y productivasundefined.
  4. Protección de los puntos de acceso, para ello primero hay que identificarlos y posteriormente asegurar cada uno de ellos con firewalls, control de usuarios o túneles seguros.
  5. Comunicación segura, debemos de asegurar no solo que no puedan ver la transmisión de nuestros datos sino también que no puedan modificarlos entre origen y destino de la transmisión, para ello entre otras acciones deshabilitaremos en nuestra red los protocolos de comunicaciones no seguros tales como Telnet, http o FTP.
  6. Robustez del sistema, o la capacidad de seguir funcionando ante situaciones cambiantes, muy relacionado con la redundancia de la red de datos, alimentación eléctrica y el entorno productivo, por ejemplo, PLCs o servidores.
  7. Gestión de cuentas de usuario, muy importante definir roles y usuarios, los accesos deben de ser nominales de manera que quede registrado quien ha realizado un cambio, cuando y donde por ejemplo en un syslog. Se terminó el usuario “admin” y la contraseña “admin”.
    undefined
  8. Gestión de parches, todos los dispositivos de planta deben mantenerse actualizados para evitar bugs que causen problemas de seguridad, esto puede suponer una parada de máquina por lo que es importante tenerlos planificados. Aquí podéis ver qué fácil es buscar en páginas web, en este caso Shodan PLC publicados en internet y ver que versión de firmware tienen, por lo cual son fácilmente atacables, por supuesto he tachado los datos identificativos, pero sí, es en España.
  9. Detección y prevención de malware, por supuesto tanto en planta cómo los operarios que se conectan a ella para trabajar poseemos sistemas basados en PCs con sistemas Windows o Linux, estos deben contar con medios de protección ante virus y malware al igual que los equipos de oficina.

ESCALABILIDAD

Definición de escalabilidad de la red OT: Consiste en la capacidad de la red para soportar cambios, crecer e incorporar nuevos elementos, tanto máquinas como sistemas, sin perder rendimiento ni interrumpir su funcionamiento.

Para que esto sea así es fundamental la fase de diseño de la red, donde definiremos su topología, y sistemas de redundancia referentes a los elementos de red, cableado (anillos o RSTP) redundancia de routers (VRRP) entre otras opciones.

FIABILIDAD

Cuando ya hemos diseñado correctamente la red, la hemos dotado de redundancias que aumenten su resiliencia ante averías de componentes o aumentos de carga de datos y hemos establecido unas bases de Ciberseguridad ya podremos hablar de la Fiabilidad, para ello debemos de medir calores tales como la Disponibilidad (Tiempo durante el cual el sistema estará disponible, se suele tomar como referencia un 99,98% del tiempo de trabajo), Tiempo de caída del sistema (El tiempo medio que permanece caído un sistema ante un evento no planificado) y el tiempo de Recovery (El tiempo que vamos a tardar en levantar el sistema ante una caída parcial o total, como ante un incendio o inundación), es fundamental tener un plan de contingencia.

Por supuesto sin olvidarnos nunca que estamos hablando de redes industriales, donde prioriza el funcionamiento de la planta, lo cual indica que esta red debe de ser determinista, muchas veces trabajar en condiciones ambientales hostiles y con protocolos de comunicaciones concretos de OT.

CONCLUSIÓN

Con esto espero al menos haber ayudado a entender la importancia de un buen diseño de red ligado a una correcta política de ciberseguridad para que nuestra red industrial sea un poco más Fiable, Eficiente y Segura.

Deja tu comentario

Consulta nuestra para evitar que se elimine

Principios y normas de participación en AEM Daily News

En AEM queremos fomentar la participación de los lectores a través de los comentarios en los artículos que publicamos en nuestra web y aplicación móvil. Así mismo, queremos promover una conversación de calidad con los usuarios, que enriquezca el debate y el pluralismo en temas de interés del sector del mantenimiento, en la que quedan excluidos los insultos, las descalificaciones y opiniones no relacionadas con el tema. El objetivo es ofrecer a los usuarios la revista un debate y discusión en la que se respeten los siguientes principios:

Son bienvenidos todos los comentarios de todos los usuarios que contribuyan a enriquecer el contenido y la calidad de la página web y app de AEM Daily News.

La discrepancia y el contraste de opiniones son elementos básicos del debate. Los insultos, ataques personales, descalificaciones o cualquier expresión o contenido que se aleje de los cauces correctos de discusión no tienen cabida en AEM Daily News.

La política de moderación garantiza la calidad del debate, acorde con los principios de pluralidad y respeto recogidos en el aviso legal de esta web y app. En AEM Daily News seremos muy estrictos a la hora de rechazar opiniones insultantes, xenófobas, racistas, homófobas, difamatorias o de cualquier otra índole que consideremos inaceptables.

El usuario publicará sus comentarios con su nombre y apellidos, y se compromete a no enviar mensajes que difamen, insulten, contengan información falsa, inapropiada, abusiva, pornográfica, amenazadora, que dañe la imagen de terceras personas o que por alguna causa infrinjan alguna ley.

La dirección editorial de AEM Daily News decidirá a diario qué contenidos se abren a comentarios. Esta selección se hará con criterios de valor informativo y siempre que resulte posible gestionar una moderación de calidad. La lista de contenidos abierta a comentarios aspira a ser lo más amplia posible y a estar en permanente actualización.

Los comentarios realizados en la página web y app de AEM Daily News pueden publicarse simultáneamente en las principales redes sociales dentro de la aspiración a ampliar la conversación a otros espacios.

Los mensajes escritos en mayúsculas, publicitarios o sobre cuestiones no relacionadas con el tema del artículo serán rechazados.

AEM Daily News se reserva el derecho de eliminar los comentarios que considere inadecuados y de expulsar a aquellas personas que incumplan estas normas.

Hazte socio de la AEM

Regístrate como socio y pasa a formar parte de la red de profesionales de Mantenimiento más importante de España.

Más información

Formación AEM

Consulta nuestra agenda de eventos y encuentra la formación que buscas en el área del mantenimiento.

Ver oferta formativa

Síguenos en las redes

No te pierdas ningún evento

Suscríbete a nuestro newsletter para recibir en tu correo o en nuestra app Android / iOS toda la información sobre formación, jornadas, webinars, etc.

Suscríbete al newsletter

Patrocinadores

Conviértete en patrocinador de la AEM

Infórmate de los beneficios y ventajas de asociarse a la AEM. Contacta con nosotros.

El sitio web utiliza cookies propias y de terceros con fines analíticos y técnicos para mejorar la experiencia de navegación. Puede aceptarlas todas o cambiar las preferencias de sus cookies en el botón de Configuración. Mas información en Política de cookies.