¿Y si sin Ciberseguridad… no hubiera Industria 4.0?
Desde que el término empezó a acuñarse en Alemania hace ya casi 10 años, existen fuertes tendencias de negocio y tecnológicas, agrupadas en lo que se ha dado en llamar Industria 4.0 (I4.0), Smart Industry, Industria conectada, y otros términos similares que impulsan la creciente automatización, digitalización e intercambio de grandes volúmenes de información en el entorno de fabricación para lograr una mejora de los procesos productivos y de negocio.
I4.0 propone interconectar entre sí el entorno Operativo/Productivo (OT) con el entorno corporativo y de negocio de las organizaciones (IT) o incluso con dispositivos y aplicaciones alojados más allá del perímetro corporativo; impulsando la productividad de toda la cadena de valor. Del mismo modo que las redes digitales contribuyen a una mayor productividad, crecimiento económico, y desarrollo sostenible y respetuoso con el medio ambiente de todas las empresas.
Aunque para algunos pueden no estar claros los límites potenciales de este proceso de digitalización en la industria, es un hecho constatable que se está produciendo una progresiva fusión de tecnologías IT y OT en el entorno productivo y que dicha fusión está siendo impulsada por los principales actores del mercado y los líderes tecnológicos bajo el concepto marco de I4.0.
El objetivo de I4.0 va más allá del entorno estrictamente operativo, abarca todos los niveles del negocio de las empresas industriales, para ser cada vez más competitivo y eficiente, siendo el dato y la información de que éste se desprende, el diferenciador principal para conseguir dicha ventaja competitiva; y permitiendo a partir de ellos, aprovechar mejor los recursos y adaptarse más rápido a una demanda cada vez más dinámica y personalizada. Esta cuarta revolución industrial se caracteriza por un impacto disruptivo de las tecnologías digitales aplicadas a los modelos de negocio de la industria. El objetivo final de sacar el máximo provecho de los datos del entorno productivo para la optimización, no sólo de los procesos industriales (optimización del OEE, mantenimientos predictivos, mejoras de calidad,…), sino también de los procesos de negocio y, de este modo, adaptarse a nuevas oportunidades y hábitos de consumo, a partir del análisis de toda la información existente en las organizaciones, incluyendo específicamente la generada en el entorno productivo.
A medida que el ecosistema OT se interconecta y el entorno IoT se expande, también lo hace la superficie de ataque para los delincuentes cibernéticos dentro del entorno industrial (OT). Cuanto más dependemos de la tecnología conectada en nuestras vidas diarias, más vulnerables somos a las amenazas que cada vez se adaptan más para explotar las vulnerabilidades y fallos en el diseño de seguridad en dispositivos, esta tendencia no es menos cierta en el entorno productivo.
Los dispositivos industriales, por su antigüedad y frecuentemente limitaciones de diseño son especialmente vulnerables, por lo que no podemos confiar en la capacidad de autoprotección de dichos dispositivos frente a ciberataques, debe dotarse a la infraestructura industrial de mecanismos de red y ciberseguridad adicionales, capaces de proteger los activos industriales de las amenazas internas y externas, reduciendo la superficie de ataque y asumiendo la protección de dichos dispositivos, que de otra forma resultarían tremendamente vulnerables.
De este modo, el entorno operativo, que tradicionalmente se ha encontrado considerablemente aislado del mundo exterior, cada vez se debe integrar más en nuestro "mundo conectado” en el que es difícil lograr un aislamiento completo y seguro. El paradigma común a todas las tecnologías de industria 4.0 es la necesidad de establecer una conectividad e intercambio de información de los elementos industriales, lo que podemos definir como Hiperconectividad.
Existe por tanto una necesidad de interconexión (Hiperconectividad) de las personas y máquinas del entorno productivo y el resto de la organización como núcleo fundamental de una evolución hacia Industria 4.0. Este concepto de Hiperconectividad está estrechamente relacionado con la tecnología de networking, en un sentido amplio, incluyendo tecnologías alámbricas (fundamentalmente ethernet industrial) e inalámbricas (nuevas generaciones WIFI, próximamente 5G,…), pero particularizado a las peculiaridades del entorno industrial.
Este proceso de Hiperconectividad parece claro e irreversible, las ventajas competitivas que promete ofrecer, justifica que no pueda ser ignorado como un habilitador del negocio. En gran medida ofrece también una reducción de costes y simplificación en la interconexión de los sistemas industriales. Una muestra clara es que ya desde más de tres años, la adquisición de dispositivos industriales con conectividad ethernet e IP, han superado a las tecnologías que podríamos considerar legacy, basadas en fieldbus y, desde entonces, la diferencia no hace sino aumentar rápidamente a favor de IP.
La nueva fábrica inteligente es el resultado de la convergencia de las tecnologías de la información con otras tecnologías industriales y el desarrollo de nuevos procesos de organización, y la conectividad es el mecanismo para unificar e interrelacionar todas estas tecnologías. Sin embargo, este proceso de Hiperconectividad conlleva un riesgo implícito, ya que amenaza con romper bruscamente el aislamiento tradicional de los sistemas industriales, si no se planifica simultáneamente una estrategia de protección de las infraestructuras interconectadas. Por tanto, la solución de seguridad debe acompañar esta evolución hacia Industria 4.0 del entorno operativo, ser capaz de garantizar la circulación de los datos requerida por los procesos de digitalización y modernización, al tiempo que mantiene el mayor aislamiento posible de los dispositivos industriales críticos, preservando su estabilidad y correcto funcionamiento ante amenazas cibernéticas. Es por ello que consideramos que la ciberseguridad no es una tecnología más de Industria 4.0, sino que debe formar parte del núcleo de la solución, del mismo modo que la Hiperconectividad es el paradigma sobre el que se basan las tecnologías que forman parte de I4.0.
Existen diferentes versiones que justifican qué tecnologías forman parte de I4.0, posiblemente sea complicado acotar realmente qué tecnología forma parte I4.0 y qué tecnología queda fuera de este marco tecnológico. Sin embargo, algunas de estas tecnologías aparecen recurrentemente en las diferentes propuestas de I4.0… robots colaborativos, fabricación 3D/Aditiva, IoT, Big Data, computación en la nube, realidad aumentada, cloud computing,… Dependiendo de la tecnología en cuestión y de la actividad industrial concreta, la relevancia de unas u otras tecnologías para una determinada actividad industrial puede variar considerablemente. Una de las tecnologías que recurrentemente se incluyen dentro de estos esquemas de I4.0 es la ciberseguridad.
Existen importantes consideraciones que llevan a pensar que la ciberseguridad industrial no es una tecnología más de I4.0, sino que forma parte íntegra e irrenunciable del núcleo de la cuarta revolución industrial, al igual que lo es la hiperconectividad, y debe formar parte siempre de cualquier solución I4.0. No se puede (o se debe) proporcionar conectividad a las máquinas sin tener en consideración la ciberseguridad de la arquitectura para proteger a los dispositivos de dicha conectividad, cualquier opción que proporcione conectividad sin tener en cuenta el diseño de ciberseguridad correspondiente, no hace sino poner en riesgo la disponibilidad de los sistemas industriales y, por tanto, afectar potencialmente de forma negativa al OEE global del proceso industrial. La importancia de la Ciberseguridad para una correcta estrategia hacia Industria 4.0, viene cimentada, además por una serie de características del entorno Operativo que lo hacen especialmente vulnerable a dicha exposición y que provocan que sean especialmente vulnerables cuando su aislamiento del mundo exterior desaparece.
- Los protocolos industriales, diseñados para el entorno productivo, frecuentemente no tienen en cuenta los criterios de seguridad más básicos como la autenticación o la encriptación.
- Aunque actualmente los fabricantes de material tienen en cuenta la seguridad en el diseño y fabricación de los sistemas industriales, no ocurre así con sistemas más antiguos que forman la mayor parte de los despliegues actuales.
- Del mismo modo, los principios de seguridad IT no siempre se incorporan a las fases de diseño, desarrollo y ciclo de vida de los sistemas OT que se encuentran operativos. Es frecuente encontrar sistemas conectados en el entorno operativo sin tener en cuenta principios básicos como la segmentación y la interconexión segura entre zonas.
- Los expertos de ciberseguridad que generalmente se encuentran en el entorno de IT, no siempre participan de la protección del entorno OT y están suficientemente familiarizados con las peculiaridades de OT como para diseñar soluciones de ciberseguridad específicas.
- El entorno productivo, frecuentemente, combina sistemas modernos con otros más antiguos que permanecen formando parte del proceso productivo durante muchos años, incluso varias décadas. Esto hace que formen parte del sistema, elementos sin ningún tipo de protección en su diseño y con escasos recursos para poder desplegar elementos de protección.
- La disponibilidad del proceso productivo evita que se pueda llevar a cabo una política eficiente de actualizaciones y parcheado de dispositivos de acuerdo a recomendaciones de ciberseguridad. Es muy frecuente encontrar sistemas operativos formando parte de los sistemas de control industrial, no sólo no actualizados, sino incluso descontinuados.
- Las actualizaciones de los sistemas de control son costosas y exigen un intenso testing por parte de los fabricantes, que evita que el usuario pueda desplegar su propia política de parcheo o actualización, tal y como habitualmente ocurre en el entorno IT, ya que en el caso industrial puede afectar a la garantía y estabilidad del propio proceso industrial.
- En muchas ocasiones el proceso productivo es real time y muy sensible a interferencias en el flujo de información, por lo que la introducción de elementos de seguridad activos se complica.
Todos estos factores hacen que la ciberseguridad industrial siga sus propias reglas y que las soluciones de ciberseguridad para el entorno industrial deban tener en cuenta estas peculiaridades. El expertise de ciberseguridad en entornos IT es una excelente base de conocimiento para entender las vulnerabilidades a las que te expone la conectividad con el mundo conectado, pero no es suficiente para adaptar las soluciones de ciberseguridad a entornos críticos como lo es el entorno productivo o el de la mayoría de infraestructuras críticas; además del conocimiento tecnológico en ciberseguridad, es preciso conocer las reglas del entorno industrial y las prioridades basadas en la disponibilidad y productividad que dominan en estos entornos y saber adaptar las soluciones de ciberseguridad al tipo de entorno productivo.
En resumen, la digitalización está afectando a todos los ámbitos de la economía y la sociedad. En el entorno industrial, el proceso de digitalización promete mejoras competitivas y se concreta en lo que se ha dado en llamar Industria Inteligente, que permite la incorporación de tecnologías operativas (OT) y de la información (IT) para la optimización del proceso industrial, bajo un paradigma de Hiperconectividad entre humanos y máquinas. Dar pasos hacia la Hiperconectividad de los dispositivos industriales sin desarrollar en paralelo la Ciberseguridad del entorno operativo supone poner el riesgo los pilares fundamentales del proceso industrial, como lo son la disponibilidad y la productividad del proceso industrial. Diseñar una solución de ciberseguridad industrial requiere, además de dominar tecnológicamente las soluciones de ciberseguridad, entender adecuadamente el entorno productivo en el que deben desplegarse.