Comprendiendo la ciberseguridad para la Tecnología Operacional

Comparte este post

Introducción al entorno y conceptos de ciberseguridad para OT.

Este es el primero de una serie de artículos en los que compartiré mis 30 años de experiencia en el campo de la Tecnología Operacional (OT) y la ciberseguridad, con la esperanza de que sirva para el beneficio general. Como introducción, este artículo revisará y explicará los elementos básicos en el entorno de OT y el lugar crucial que ocupa la ciberseguridad en él.

Capítulo 1 – Definiciones y clasificación general

A lo largo de los años, me he encontrado con múltiples variaciones de términos y definiciones en el ámbito de los sistemas operativos. Crear un lenguaje significativo y unificado es fundamental para comprender y comunicar ideas y pensamientos, por lo que este será mi punto de partida. Algunos lectores pueden tener diferentes formalidades, pero creo que mi enfoque presentará una convención simple y lógica.

«Control systems» es un término muy amplio que se refiere a cualquier sistema que pueda gestionar un proceso o comportamiento de manera controlada, es decir, proporcionando una respuesta consistente o confiable a una condición o condiciones dadas. Los sistemas de control se utilizan para controlar sistemas automatizados o de automatización. Los sistemas de automatización se refieren a cualquier sistema que realice tareas automatizadas. Esto incluye sistemas operativos, pero también electrodomésticos automatizados como lavadoras o cajeros automáticos. Lo que es común en todos esos sistemas es su capacidad para realizar tareas repetitivas o secuenciales de forma independiente, asegurando el resultado solicitado en base a entradas conocidas o proporcionadas. Esta capacidad se logra utilizando bucles de control que pueden corregir la salida hacia el resultado deseado, mediante un mecanismo de retroalimentación.

Los sistemas automatizados, desde una perspectiva histórica, incluyen sistemas mecánicos, sistemas neumáticos, sistemas hidráulicos, sistemas de control eléctrico y sistemas de control basados en computadora (la revolución industrial).

Los sistemas de control industrial (ICS, por sus siglas en inglés) o sistemas de automatización y control industrial (IACS, por sus siglas en inglés) son una sección de los sistemas de control y automatización que se utilizan en el ámbito industrial. La tecnología operativa (OT, por sus siglas en inglés) se refiere a los sistemas de control basados en computadoras, lo que significa que los procesos y bucles de control se gestionan a través de sistemas informáticos.

Los sistemas OT se pueden implementar en diferentes topologías, como SCADA (Supervisory Control and Data Acquisition), DCS (Distributed Control System) montado en skids o una combinación de ambos, formando así un sistema híbrido.

La parte de «Control» en «Automatización y Control» permite el control y supervisión sobre el proceso automatizado. La automatización industrial se refiere a los sistemas de automatización utilizados en el mundo industrial, principalmente para la automatización y control de procesos en plantas y fábricas, pero también para sistemas de instalaciones en edificios (energía, HVAC, instalación, entre otros).

La tecnología operativa (OT) se puede implementar con varios elementos de control, algunos de propósito general y otros orientados a tareas específicas. Entre los elementos de propósito general se encuentran los PLC (Controladores Lógicos Programables) y los DDC (Controladores Digitales Directos). En el lado orientado a tareas específicas se encuentran los controladores, sistemas integrados (embedded systems) y el IIoT (Internet Industrial de las Cosas).

Los sistemas de automatización difieren de la tecnología de la información (IT) principalmente porque los sistemas OT interactúan con el mundo físico (o gestionan dispositivos que interactúan con el mundo físico) y pueden generar resultados cinéticos (aunque hay algunas excepciones, como los escáneres y las impresoras que tienen partes móviles internas).

Los sistemas OT se utilizan en todos los aspectos de la vida, como sistemas de defensa, sistemas de control de infraestructuras críticas, sistemas de control de plantas manufactureras, sistemas de servicios públicos en edificios y campus, sistemas de gestión de edificios (BMS) y dispositivos médicos.

Los elementos de control mencionados anteriormente son máquinas lógicas que pueden generar una salida deseada en función de las entradas proporcionadas. Algunos son programables, como los controladores, PLC y DDC, y otros tienen lógica no programable, como los DDC, dispositivos IIoT y sistemas integrados. El último grupo puede ser más eficiente y admitir una mayor demanda de reacciones o respuestas en tiempo real y de alta velocidad, pero carece de la flexibilidad para procesos dinámicos que se encuentran en el primer grupo.

La tecnología operativa basada en computadoras se introdujo por primera vez en la década de 1960, lo que significa que en la actualidad debemos operar con base en sistemas de automatización heredados que fueron diseñados hace más de 60 años.

Capítulo 2 – Preocupaciones principales de TI vs OT

Los sistemas de TI están principalmente centrados en los datos, con las principales preocupaciones siendo la seguridad, integridad y accesibilidad de los datos cuando se requiere. Garantizar la autenticidad de los datos es otro enfoque clave. Los sistemas de TI tradicionales se adhieren a la triada CIA: Confidencialidad, Integridad y Disponibilidad.

Los sistemas OT operan y controlan sistemas físicos o cinéticos con piezas móviles, corrientes y voltajes altos, materiales peligrosos y maquinaria pesada. Por lo tanto, la preocupación número uno es la seguridad.

Los sistemas operativos deben mantener la producción y la calidad del producto, por lo que la continuidad del proceso y el rendimiento son las segundas preocupaciones más importantes.

El factor tiempo también es un aspecto crítico en los sistemas operativos que debe tenerse en cuenta al evaluar los riesgos. Los sistemas operativos que trabajan con demanda de respuesta en tiempo real son muy sensibles a la manipulación del tiempo de respuesta del sistema o a las características deterministas.

En consecuencia, las evaluaciones de riesgo operacional y de tecnología deben basarse en estas preocupaciones operativas.

Capítulo 3 – Diseño básico del sistema OT

Los sistemas OT desempeñan el papel de automatización utilizando procesos controlados por computadora. Para que esto ocurra, el sistema basado en computadora necesita tener una forma de comunicarse con el mundo real. La comunicación se basa en la capacidad de detectar el entorno y tener la capacidad de afectar el entorno. Esto se logra utilizando un dispositivo de control (PLC y sus equivalentes) que está equipado con un sistema de E/S que puede recopilar señales de sensores de campo y convertirlas en datos (ENTRADAS), y generar o enviar corrientes/voltajes/comandos a actuadores de campo (motores, relés, VFD y muchos otros) (SALIDAS) para operar el proceso.

Para controlar el proceso de acuerdo con una lógica solicitada, el dispositivo de control necesita tener una lógica interna que actúe sobre las salidas en función de las entradas proporcionadas. Esto se llama «lógica del proceso».

El sistema OT también incluye servidores de control que interactúan con el dispositivo de control, principalmente para recopilar datos de los sensores y presentarlos al operador a través de una aplicación de HMI en la estación de operador. La interacción se realiza utilizando protocolos industriales dedicados (como Modbus, Bacnet, Profibus, Profinet, entre otros).

La gestión del dispositivo de control se realiza utilizando una herramienta de ingeniería dedicada del fabricante. La herramienta permite configurar el dispositivo de control (diseño del dispositivo, protocolos, tiempo, direcciones y más), crear o actualizar la lógica del proceso (contenida en un «archivo de proyecto») y simular la ejecución de la lógica, cargar o recuperar la lógica en o desde el dispositivo de control.

Capítulo 4 – Amenazas y riesgos

Comprender las amenazas:

Las amenazas a los sistemas OT, al igual que cualquier otro sistema, se caracterizan por los actores de amenazas.

Estos actores van desde hackers que buscan ganancias monetarias y notoriedad, hasta sindicatos criminales que operan en la web oscura y profunda, grupos terroristas que buscan anonimato y ganancias rápidas, y estados y naciones que aprovechan las ciber capacidades para estrategias defensivas u ofensivas.

Dado el potencial de los sistemas OT para afectar el mundo físico, los actores principales se convierten en actores clave y los ciberatacantes aprovechan el temor al impacto potencial.

Los actores principales suelen ser ricos en recursos y altamente capacitados. Indicadores de un actor de amenaza significativo incluyen APTs (Amenazas Persistentes Avanzadas), marcos o herramientas de ataque dedicadas y ataques dirigidos basados en inteligencia.

Capítulo 5 – Comprensión de los riesgos

Los riesgos para los sistemas OT son riesgos para los procesos operativos creados o generados por ciber herramientas.

Los riesgos se pueden separar en dos categorías principales: riesgos operativos y ciber riesgos. Al tratar de comprender los ciber riesgos, es necesario comenzar por comprender los riesgos operativos y luego agregar a la fórmula un conjunto adicional de riesgos operativos basados en el punto de vista de los ciberataques. Un buen ejemplo del conjunto adicional es comprender que un riesgo operativo debido al mal funcionamiento del sistema probablemente ocurrirá en un punto o dispositivo de señal, mientras que un incidente basado en un ciberataque ocurrirá en múltiples puntos o dispositivos al mismo tiempo y creará un nivel de riesgo completamente diferente.

Los riesgos se pueden categorizar de varias formas. Personalmente, prefiero la siguiente clasificación, que es fácil de controlar: basada en elementos del sistema: red OT, servidores de control OT, elementos de control (PLC, DDC, controladores, IoT), estaciones de operadores, estaciones de ingeniería.

Capítulo 6 – Consideraciones de ciber conceptos en OT

Consideraciones en las etapas del ciclo de vida del sistema/proyecto:

Un concepto integral de protección debe abordar tres fases del ciclo de vida del sistema: Diseño y construcción, operación continua, desmantelamiento.

Cada fase implica consideraciones en aspectos tecnológicos, procedimientos, recursos humanos y aspectos económicos, y debe incorporar restricciones operativas técnicas, restricciones de procesos y ubicación del sistema, restricciones naturales, requisitos normativos, disponibilidad y nivel de habilidad del personal, presupuesto y plan de inversiones.

Las ciber consideraciones deben incluir el nivel de amenaza basado en inteligencia, el nivel de riesgo basado en análisis de impacto, el nivel de atractivo del sector o categoría, las tendencias de ataques y la postura de protección actual.

Cada fase del ciclo de vida tiene niveles de énfasis variables en las consideraciones y diferentes restricciones, todas las cuales deben abordarse para lograr una solución útil y rentable.

Fuente: Sr. Yigal Gueta

El Sr. Yigal Gueta posee una Maestría en Gestión Empresarial de la New York Polytechnic y una Licenciatura en Ingeniería Eléctrica de la Universidad Ben Gurion. Durante los últimos 30 años, Yigal ha estado involucrado, influyendo y liderando la comunidad de ciberseguridad en Tecnología Operativa. Comenzó en 1990 con el diseño y programación de sistemas de control AIPM, y luego gestionó el centro de capacitación de Applied Materials en Hayward, California. Es uno de los fundadores de la Autoridad de Seguridad de la Información Nacional de Israel (NISA, por sus siglas en inglés), que se convirtió en la Dirección Nacional de Ciberseguridad de Israel (INCD, por sus siglas en inglés). Ha sido jefe de la rama de la INCD durante dos mandatos, liderando la ciber guía de la infraestructura crítica nacional de Israel. Durante 8 años, fue el experto en defensa y ciber forense de OT en la unidad tecnológica de la oficina de defensa. Ha trabajado como consultor de ciberseguridad OT para empresas industriales a nivel mundial durante 20 años. Además, es CEO y fundador de Scadasudo Ltd, experto forense, auditor certificado en cadena de suministro y posee el certificado 3-DAN en artes marciales «Denis survival».

Más artículos

¿Necesitas asistencia inmediata?

Si eres víctima de un ciberataque contáctanos por WhatsApp, llamada o por correo electrónico, nuestro equipo está disponible y te brindará apoyo inmediatamente.

¿Te gustaría un diagnóstico de lo que necesitas?

Industria gubernamental

¿Te gustaría un diagnóstico de lo que necesitas?

Industria marítima

¿Te gustaría un diagnóstico de lo que necesitas?

Industria bancaria

¿Te gustaría un diagnóstico de lo que necesitas?

Industria hospitalaria

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Concientización

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Seguridad en la nube

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Comunicaciones seguras

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Ciberseguridad organizacional

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Consultoría y soporte de respuesta a incidentes

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Soluciones para crisis de ciberseguridad

ESCRÍBENOS

Déjanos tus datos y te contactaremos a la brevedad para resolver tus dudas, conocer las necesidades de tu organización y poder realizar una propuesta personalizada.

Book Your Free Session Now

Fill in the form below to book a 30 min no-obligation consulting session.

I will reply within 24 hours.