Ciberseguretat en Industria 4.0 

La transformació digital i la irrupció de la Indústria 4.0 està transformant la concepció dels sistemes de control industrial (ICS), passant d’un model aïllat, en el què els sistemes de control industrial no tenien connectivitat amb la resta de l’empresa o Internet, a un model basat en la interconnexió, no només amb la xarxa empresarial, sinó directament al núvol.

Tradicionalment els ICS han estat aïllats de les xarxes empresarials i Internet.

Aquesta necessitat de connectivitat creixent per accedir a la informació de les màquines i dels processos, pot suposar un greu risc, si no es realitza de manera adequada. Avui en dia, encara és habitual trobar sistemes de control que utilitzin Windows XP, Windows 2000 o Windows 7, ja que els cicles de vida de més de 20 anys són habituals en el sector industrial. Dotar de connexió a internet a aquests equips, que fa anys que no tenen suport d’actualitzacions de seguretat i que compten amb un gran nombre de vulnerabilitats, pot posar en greu risc la seguretat tant del procés com de tota l’empresa.

Les xarxes de control industrial són vulnerables i insegures per naturalesa.

La majoria de protocols industrials no disposen de cap tipus de seguretat integrada.

 

Aquesta connectivitat ha comportat la unió de les xarxes empresarials IT i les xarxes productives OT, dos tipus de xarxes amb característiques i necessitats oposades, que fa que els sistemes de defensa i protecció de les xarxes IT no siguin ni suficients ni adequades per protegir-les, i requereixin de nous mètodes de protecció.

Connectar un IACS a la xarxa empresarial o a Internet no es limita a connectar-li un cable Ethernet.

Els mètodes de detecció, anàlisi i protecció del món empresarial IT no es poden aplicar tal qual en el món industrial OT.

El creixent augment del nombre d’atacs, tant a infraestructures crítiques, com a sistemes de control industrial, fa necessari incloure la ciberseguretat en totes les etapes del cicle de vida d’un sistema ciberfísic, des de la concepció fins a la posada fora de servei. Per minimitzar l’impacte econòmic, de producció, de seguretat, mediambiental, d’imatge, de prestigi, etc., que podrien arribar a posar en joc la continuïtat de l’empresa.

La inversió en ciberseguretat no ha de veure’s com una despesa, sino com una inversió per minimitzar les pèrdues econòmiques, materials o en vides que pot causar un atac.

¿ Què podem fer per protegir els IACS?

La sèrie de normes ISA/IEC-62443, desenvolupada pel comitè ISA99 i adoptada per la Comissió Electrotècnica Internacional (IEC), proporciona un marc flexible per abordar i mitigar les vulnerabilitats de seguretat actuals i futures en els sistemes d’automatització i control industrial (IACS). El comitè es basa en l’aportació i el coneixement dels experts en seguretat de IACS de tot el món per desenvolupar estàndards de consens que siguin aplicables a tots els sectors industrials i infraestructures crítiques.

La norma ISA/IE-62443 esten la seguretat enfront de ciber atacants a: fabricants, integradors i propietaris d’equips de control industrial.

La Comissió Econòmica de les Nacions Unides per a Europa (UNECE) ha confirmat la integració de la sèrie de normes ISA/IEC-62443 en el seu pròxim Marc Regulatori Comú sobre Ciberseguretat (CRF). El CRF servirà com una declaració oficial de la posició política de l’ONU per a Europa.

La norma ISA/IEC-62443 proporciona un marc flexible per abordar i mitigar les vulnerabilitats de seguretat actuals i futures en els Sistemes d’Automatització i Control Industrial (IACS).

Defensa en Profunditat segons ISA/IEC-62443

La defensa en profunditat consisteix a no deixar la seguretat d’un equip en un únic control de seguretat (com ara un tallafocs), sinó que es disposen de forma coordinada diferents controls de seguretat en diferents capes, de manera que per a què un atac tingui èxit, aquest ha de travessar diferents mecanismes de protecció. Dificultant d’aquesta manera que l’atac pugui arribar a tenir èxit, al no dependre d’un únic element de protecció.

La ciberseguretat s’ha d’abordar d’una manera incremental i continuada, analitzant en cada moment la situació i adoptant les mesures que comportin un major increment en la seguretat a el menor cost possible. No es tracta de començar adoptant grans i caríssimes solucions tecnològiques, sinó que en moltes ocasions n’hi haurà prou amb adoptar petites accions.

La ciberseguretat depen de les persones, el procés i la tecnologia.