Ciberseguridad OT: Protegiendo las redes industriales

Acerca de los retos en esta área y qué tan preparadas están hoy las empresas, reunimos a destacados proveedores en la Mesa de Trabajo de Revista Gerencia.

Sin duda, los retos de ciberseguridad en las redes OT (Operational Technology) han evolucionado significativamente. Antes, la seguridad en estas se centraba principalmente en el aislamiento físico, utilizando sistemas propietarios y sin conectividad a Internet.

“Como este mundo comenzó mucho antes que la ciberseguridad, prácticamente no tenía ningún control embebido, porque nadie pensaba en ese entonces que esos equipos eran vulnerables”, explica Mauricio Espinoza, Business Development Manager Latam de Sonda.

Sin embargo, a medida que la digitalización fue avanzando y entró de lleno el mundo de Internet de las Cosas, Big Data y el análisis de sensores hacia la web, para procesar y obtener métricas, “se empezaron a interconectar redes que antes estaban completamente aisladas en el ámbito OT. De manera, un poco forzada, OT debió cambiar y unir ciertas conexiones hacia Internet o la red TI. En ese puente es donde empezaron a surgir brechas para las cuales no estaba preparado, porque la tecnología operacional en ese entonces no estaba enfocada en ciberseguridad, sino que en automatización”, detalla Felipe Schiappacasse, Gerente de Ciberseguridad de NetProvider.

Para Jorge Olivares, Gerente de Consultoría y Formación en Business Continuity, con la Industria 3.0, y luego 4.0, se integró fuerte la informática al ámbito industrial, con todos los retos que conlleva Internet: virus, troyanos, etc.

“Sin embargo, en Chile, mientras a una empresa no le ocurra algún problema serio no existe la preocupación. Además, hay una gran brecha entre lo que es un mercado regulado y uno no regulado en el mundo de la ciberseguridad. Hay varias iniciativas que buscan avanzar en materia normativa, como la Política Nacional de Ciberseguridad, la Ley Marco sobre Ciberseguridad e Infraestructura Crítica, o la Norma Técnica de Seguridad de la Información y Ciberseguridad Industrial en el Sector Eléctrico, siendo este un sector al que se le está exigiendo cada vez más un marco normativo más robusto y, por lo tanto, esas empresas se están preocupando, porque vendrían multas, pero el resto del mercado industrial (gas, petróleo, sanitarias) está más rezagado”, agrega.

OT v/s TI: un diálogo hacia la convergencia

En general, los proveedores coinciden en que cuando se habla con el equipo de OT, su desafío es uno y para el equipo de TI es otro, pero ambos mundos están convergiendo por las mismas aplicaciones que se integran. Por ejemplo, en las clínicas hay equipamiento tecnológico que se conecta a las redes industriales o incluso podemos ver esta integración de TI y OT en los mismos ascensores inteligentes. “El conjugar eso y que la estrategia desde arriba sea una sola, es clave también para poder entender la seguridad a nivel transversal e integrada, lo que es esencial para abordarla en forma efectiva”, indica Paula Pinto, Client Manager Ciberseguridad de NTT.

En tanto, para Julio Fuentes, Product Cybersecurity Consultant de Entel Digital, “es una conversación que cuesta llevar a la operación, ya que en el mundo OT es muy difícil aplicar el control que hoy se tiene en TI. Por ejemplo, hacer un ciclo de parchado o de remediación de vulnerabilidad de forma recurrente en la infraestructura en TI es fácil, pero en una red de OT impacta la continuidad operativa, que es lo primordial dentro de una red industrial”.

Existe consenso en que el problema radica en que el equipo de trabajo OT y el de TI no siempre dialogan. Así lo destaca el ejecutivo de Business Continuity, quien señala que “ambos tienen razón, pero no se reúnen para conversar. Esta situación nos motivó a publicar un modelo de madurez destinado a la convergencia de las personas de ambas áreas. Es decir, abordando la gobernabilidad de la ciberseguridad en TI y OT, considerando las relaciones humanas, un tema cultural”.

Si llevamos esta falta de diálogo a la práctica, por ejemplo, “vemos que lo normal es que en Chile una empresa, considerando un entorno TI, se demore 26 días en la mitigación de una vulnerabilidad grave después de la conclusión de un informe de ethical hacking. Tratándose de OT cuesta más, pues primero se debe defender el informe porque el técnico al otro lado dice que nada de eso es una vulnerabilidad, y menos que obedece a la clasificación de vulnerabilidad que se le ha dado. Finalmente, así se llega a triplicar el tiempo tomado en la mitigación”, enfatiza Katherina Canales, Gerente General de Nivel4.

No obstante, en opinión de Patricio Villacura, Enterprise Security Sales (SOLA) de Akamai Technologies, hoy día ha ido creciendo un poco el nivel de entendimiento: “Ya no es solo un firewall que se separa en dos redes. Es un firewall más otros componentes, lo que también trae como consecuencia que en algunas compañías los mundos de TI y OT, desde el punto de vista de seguridad, sean gobernados por una sola unidad, una gerencia que tiene una rama TI y una rama OT, que obligatoriamente tienen que conversar. Sin embargo, muchas herramientas no están homologadas y eso es una tremenda traba para poder avanzar con otros pasos dentro de la implementación de ese nivel de madurez”, añade.

Los diferentes pilares de la seguridad OT

“Un problema importante que existe a nivel de los tomadores de decisiones es que no están informados y creen que el costo en ciberseguridad, básicamente comprar infraestructura o implementar políticas, tiene que ver más con un gasto y no con una inversión para proteger esa continuidad operativa”, asevera Robert Arias, Gerente de Servicios y Socio de SegNet.

Por eso, agrega, debe haber una concientización: “Si hablamos de los tres pilares de la seguridad de la información, en una red TI estos son: confidencialidad, integridad y disponibilidad. Pero en una red TO, se invierte este orden, y disponibilidad (o continuidad operativa) pasa a primer lugar, por lo que debemos enfatizar cómo un incidente de ciberseguridad podría afectar esa continuidad y potenciar que se tome conciencia al respecto”.

Al respecto, Ariel Pérez, Business Development Manager MMM South America de Schneider Electric, puntualiza que “uno de los temas que impulsa que las personas se preocupen por su seguridad es el miedo y antes esto se resolvía de una manera muy simple: la red de OT estaba totalmente desconectada y conectarla era algo impensado. En el mundo de hoy es imposible tener redes desconectadas; todo está enlazado porque todos quieren disponer de información que sea confiable y usarla para diferentes objetivos. Entonces hay que cambiar el miedo por una confianza fundamental”. Es decir, ¿qué debemos hacer para que nuestro nivel de riesgo sea lo suficientemente bajo para que amerite estar totalmente conectados?

A los pilares de la seguridad TI mencionados, en el mundo OT se agrega otro clave, ya que si bien la disponibilidad es prioridad, aún más lo es la seguridad de las personas: una falla podría tener consecuencias graves, como la pérdida de vidas, además de también daños en equipos que pueden ser muy costosos. Asimismo, en algunos casos, el impacto ambiental es crítico, ya que un ataque puede desencadenar efectos catastróficos, generando daños financieros e irreparables a la reputación de una empresa. Según Leidivino Natal da Silva, CEO de Stefanini Rafael, en infraestructura crítica, por ejemplo, cualquier problema en el suministro de agua o energía tiene un impacto significativo en el país. Por eso, es crucial garantizar la coherencia entre la información de los sensores y el software, es decir, entre OT y TI. Y en general, el enfoque nos lleva a priorizar la parte operativa para asegurar que esté en condiciones óptimas.

Asimismo, en momentos convulsionados, como durante una guerra, se ven muchos más ataques a infraestructura crítica, enfatiza Miguel Satzger, Head of Sales America en BASE4 Security. “Los ataques a plantas pasan bastante más seguido de lo que uno se entera por los diarios. Para el ciberatacante hoy es mucho más redituable atacar una infraestructura crítica que un banco, por ejemplo. Y pasa más, solo que no nos enteramos tanto”, explica.

Y si proyectamos un escenario futuro: cuando el hacker entienda de sistemas de control industrial, sumado al avance de la Inteligencia Artificial, esto podría ser caótico y los ciberataques provocar importantes blackout, adelanta el profesional de NetProvider.

Conciencia desde el diseño y regulación

Tradicionalmente se ha tratado de blindar la tecnología industrial que es antigua, pero los sistemas siguen siendo los mismos. En este sentido, a juicio del ejecutivo de Sonda, “los fabricantes tienen mucho que decir en este tema, porque la automatización seguirá estando, los PLC, los SCADA, etc., y se debe apuntar a algo más embebido, que venga dentro de la solución como tal, y no empezar a parchar, porque esos parches se caen y nuevamente quedamos expuestos”.

En este sentido, la profesional de Nivel4, enfatiza que hace poco se empezó a hablar de desarrollo seguro. “Cuando hablamos, por ejemplo, de transformación digital, falta entender que todo lo que construimos es y debe ser en base a la ciberseguridad”, añade.

En este contexto, el ejecutivo de Schneider recomienda que los conceptos de ciberseguridad estén internalizados desde el diseño, incluso realizar un análisis de toda la cadena de suministro. Y por supuesto, después preocuparse de que esos estándares sigan cumpliéndose una vez que los equipos han sido instalados. La situación es clara -en opinión del ejecutivo de Entel Digital-, si no existe una normativa o algo que obligue a cumplir, no se hará. “Hoy en día, las empresas que realmente tienen un buen nivel de madurez son compañías extranjeras que importan sus políticas del país de origen, y tienen que cumplir con ciertos estándares. En Chile eso no existe, hay buenas intenciones, pero la única forma de que esto se concrete es que tiene que haber alguien que te esté auditando, que te controle y te diga que tienes que hacerlo”.

Al respecto, Katherina Canales explica que en Chile existen tres instituciones: una normativa, otra con la facultad de fiscalizar y otra con la autoridad de sancionar, por lo que lo anterior está diluido. “Sin embargo, este año he visto cómo los directorios están tratando de generar muchas más habilidades en temas de ciberseguridad”, indica. En este sentido, advierte que la regulación siempre debe mirar el nivel de madurez; no se puede exigir lo mismo a una gran empresa que a una pequeña.

Además, según coinciden los asistentes a esta mesa, suele pasar que las compañías se preparan para la auditoría, pero después se relajan y olvidan, y se generan las brechas; ahí hay una vulnerabilidad donde los atacantes pueden actuar. Lo mismo con el presupuesto, cuando ya se retomó el control, lamentablemente el presupuesto también muchas veces desaparece.

Sin embargo, a juicio de Ariel Pérez, hay muchas empresas serias que sí lo hacen, primero pensando en sus propios intereses y segundo en sus clientes, y están tomando esa conciencia de que un ataque de ciberseguridad podría hacer que dañen, por ejemplo, al medioambiente. Para el profesional de Akamai Technologies, “de alguna forma la regulación y fiscalización ayudan, pero creo que uno de los grandes errores que hemos cometido en Chile desde el punto de vista de la seguridad es que el manejo del discurso, ya sea OT o TI, siempre ha sido técnico.

Y esto tiene que permear al mundo legal de la compañía, a los directorios, al área comunicacional, etc”. Es así como es clave entender cómo un impacto desde el punto de vista del negocio puede traer consecuencias medioambientales, en la protección de datos personales, una parada operativa o hasta la pérdida de una vida. “Esa conversación va más allá de lo técnico y nuestra labor como representantes de la industria es llevar ese mensaje hacia el mundo legislativo y hacer presión”, asevera.

¿Cuáles son las claves para abordar estos proyectos?

Antes que todo, hay que destacar que en general todas las empresas, en mayor o menor medida, tienen retos de ciberseguridad OT y, para enfrentar este tema, lo primero, según aconsejan los proveedores, es descubrir todo lo que existe y es necesario para poder proteger esas plantas; segundo, ver la arquitectura de la red, y si está bien segmentada. Finalmente, considerar a los distintos interlocutores en la mesa.

En este sentido, es esencial tener una reunión presencial y visitar la planta, donde esté alguien encargado de esta y también alguien del área TI, ya que muchas veces en esta visita es posible darse cuenta de la realidad práctica de la operación. “Es esencial siempre entender primero antes de ofrecer algo. Incluso el análisis que el cliente tiene de sí mismo tiene muchas aristas desconocidas”, enfatiza la ejecutiva de NTT. Asimismo, es clave, por supuesto, enfrentar siempre un diseño con seguridad.

Respecto a los servicios en boga hoy, para la profesional de Nivel4, este es un mercado que se está autorregulando según la oferta. Hoy se exige algún tipo de auditoría con respecto a las cadenas de suministro; y se ha pasado de ethical hacking al ejercicio de crisis de Red Team. Por otra parte, explica, se están incrementando los assessments que abordan la arista normativa para saber cómo voy a cumplir o cuánto me falta para cumplir las normas del área. Y sin duda, el awareness, y es que la primera línea de protección que existe es tener a la gente capacitada y entender los riesgos, así como trabajar gestionando el cambio que, finalmente, es cultural, lo que hace que a la larga tengamos un comportamiento de higiene digital adherido.

También existe bastante necesidad de homologación, ya que hay muchos tipos de tecnologías y muchas que no están actualizadas, lo que genera una vulnerabilidad y problemas de seguridad a futuro, detalla Jorge Olivares. Asimismo, se ven también empresas pequeñas que no saben mucho qué hacer pero que toman modelos de las grandes y otras que buscan prevenir.

En este ámbito, tener foco y especialización es algo que los clientes valoran, pero que no es tan sencillo. “En Latinoamérica, por ejemplo, hay un déficit de profesionales especializados cercano a los 600 mil, y nos falta muchísimo por crecer no sólo en educación superior, sino que también en básica (científico humanista) y media (técnico-profesional) para enfrentar estos retos”, enfatiza el profesional de SegNet.

Hoy hay pocos especialistas y son costosos. Por lo mismo, a las empresas les es más difícil tener recursos propios para sustentar sus servicios de ciberseguridad internamente y salen a buscar un proveedor con el conocimiento necesario, lo que sumado al crecimiento de las amenazas hará que la ciberseguridad industrial siga siendo un mercado altamente demandante y desafiante.