Antonio Marco. CISO de Lanaccess
Las consecuencias de vivir en un mundo hiperconectado, donde cada vez crece más la necesidad de mantenerlo todo «online» hace que tanto los entornos OT como las infraestructuras críticas, que históricamente estaban aisladas, comiencen a tener la necesidad de interconectarse. Este hecho, que podríamos considerar fruto de la evolución normal en los procesos de digitalización, implica la necesidad de extender las redes, incrementar el uso del Wireless o recurrir a la instalación de dispositivos de tipo IoT, que pueden aumentar significativamente la permeabilidad en los entornos críticos, facilitando que se puedan llegar materializar incidentes de seguridad.
Las infraestructuras críticas «son sistemas que se consideran esenciales y los servicios que prestan son vitales para las operaciones cotidianas, la economía, la seguridad y el bienestar general de las sociedades modernas». ¿Pero y si un ciberataque dañara cualquiera de estos entornos críticos? Más allá del impacto en el plano digital – todos nos acordamos del incidente wannacry-, surgiría también la posibilidad de que se produjeran daños medioambientales, afectación a la salud pública o simple y llanamente poner en riesgo vidas humanas. Las consecuencias podrían ser de una extrema gravedad, ya que sin duda se trata de instalaciones que prestan servicios esenciales a la sociedad.
Los Planes de Protección Específicos de las diferentes infraestructuras incluyen todas aquellas medidas que se consideran necesarias en función de los análisis de riesgos realizados y en base a las amenazas que afecten a sus activos, incluyendo los sistemas de información. Las amenazas sobre infraestructuras críticas tienen un componente cibernético de enorme importancia que puede afectar tanto a las infraestructuras en sí, como a todos los demás entornos industriales relacionados que dependan de la tecnología para su control y funcionamiento.
El enorme impacto de la actual pandemia ha derivado en una aceleración forzosa hacia soluciones de teletrabajo, abonando el terreno a los ciberdelincuentes, que ahora disponen de un mayor radio de acción, sobre todo en lo que tiene que ver con las soluciones de acceso remoto, que nos permiten acceder desde casa a nuestro puesto de trabajo y que no siempre están correctamente securizadas.
Diferencias entre OT e IT
¿Pero que es OT?, ese gran olvidado. ¿Y que lo diferencia del IT? En el entorno industrial hablamos de Operational Technology OT, es decir dispositivos inteligentes como: sensores, sondas, controladores, actuadores, etc.; mientras que en el entorno corporativo IT nos referimos a bases de datos, repositorios documentales, servidores, etc. Además, las Tecnologías Operacionales son estructuralmente distintas, pues se componen de multitud de pequeños dispositivos diseminados en un amplio espacio. Diametralmente opuesto a lo que ocurre con los sistemas IT, que suelen agruparse en CPDs.
Otra gran diferencia es que mientras en entornos IT la confidencialidad de la información es uno de los aspectos más importante que debemos proteger, en los entornos OT la disponibilidad es el factor de mayor criticidad. Si ponemos el foco en las grandes diferencias técnicas que separan ambos mundos, observamos que el conocimiento tecnológico que poseen los profesionales de cada sector es claramente distinto, facilitando el distanciamiento entre ellos.
Desde el ámbito de la ciberseguridad nos enfrentamos a grandes retos, y más en el contexto de la actual pandemia. La adopción de nuevas tecnologías de la información unido, a la fuerte demanda de conectividad ha provocado que tecnologías utilizadas en entornos IT hayan pasado a formar parte de entornos OT, aumentando significativamente la superficie de contacto con las amenazas en el ciber espacio.
¿A qué tipo de brechas de seguridad se exponen los entornos OT?
Tanto la seguridad de las plantas industriales, como el de las infraestructuras críticas se ha visto cada vez más amenazada en los últimos años. Sobre todo, con el auge de diferentes formas de ciberdelincuencia y ciberterrorismo, con la proliferación del acceso web a los sistemas SCADA, con la adopción de los paradigmas cloud, móvil y BYOD (Bring Your Own Device) y con la confluencia de las tecnologías IT en el ámbito OT.
En muchas ocasiones, la criticidad y especificidad del entorno industrial no permite implementar las mismas contramedidas que en un entorno IT tradicional. De hecho, existen claras diferencias entre los ámbitos IT y OT, que justifican la necesidad de abordar el desarrollo e implantación de programas de ciberseguridad industrial específicos que estén alineados con las políticas de seguridad IT de la organización.
En los entornos OT, potencialmente más vulnerables, las directrices y políticas que afectan a todos los ámbitos relativos a ciberseguridad se deben desarrollar bajo metodologías de mejora continua, ya que los riesgos y las amenazas se encuentran en constante cambio y evolución. Por este motivo, o aumentamos el presupuesto destinado a la ciberseguridad del sector OT o directamente hacemos converger IT con OT, alineando las medidas de seguridad de ambos entornos. Esta acción comporta un aumento de la exposición, al expandir la superficie de riesgo e implica un completa redefinición de las medidas y políticas de seguridad.
La doble naturaleza IT-OT que hemos abordado, fruto de la digitalización de las tecnologías operacionales eleva de manera exponencial los riesgos de ciberseguridad. En este sentido la protección y la disponibilidad de las instalaciones se vuelve imprescindible, para no verse abocado a situaciones como la del mayor fabricante japonés de productos ópticos Hoya Corporation, afectado por un ciberataque a finales de febrero, que provocó una afectación en el entorno OT que acabó derivando en un cierre parcial de sus líneas de producción.
En este sentido, las organizaciones industriales necesitan evitar el distanciamiento entre IT y OT para así evitar brechas de seguridad.
Es imprescindible impedir que la explotación de alguna vulnerabilidad acabe provocando la permeabilidad entre entornos. Siendo el principal objetivo para alcanzar una verdadera convergencia, apostar por la respuesta conjunta, mejorar los Indicadores de Compromiso y crear un mando único que coordine nuestras defensas contra las ciber amenazas.
