Guía sobre controles de seguridad en sistemas OT – Ministerio del Interior de España

Sin lugar a dudas las tecnologías de la información y las comunicaciones(TIC) hoy soportan
la gran mayoría de los servicios que se prestan a nivel mundial. Persisten muy pocos servicios
esenciales para el ser humano cuyo correcto funcionamiento no dependa de las tecnologías
de la información.
Esto se está produciendo a gran velocidad de cambio y es consecuencia de la búsqueda de la
eficiencia en todos los sectores. En los últimos años estos procesos de cambio tienen como
vehículo conductor los programas de transformación digital, en los que prácticamente toda
institución está inmersa. El actual escenario hará que esa dependencia de la Tecnologías de
la información sea aún mayor en el futuro.
La digitalización de los procesos industriales incorpora grandes oportunidades, quizás algunas muy necesarias para la humanidad. Seguramente las tecnologías y la digitalización de
los sectores industriales ayudarán, entre otras cosas, a la reducción de las emisiones deCO2.
Frente a estas oportunidades que nos brindan las tecnologías disponibles, tales como cloud,
big data, machine learning, inteligencia artificial, IoT, 5G, etc., se encuentran también las
amenazas a las que dichas tecnologías están sometidas.
Hasta hace poco tiempo, en el entorno Industrial se tenía una falsa sensación de seguridad
debido a la creencia de no existencia de riesgo. Esa sensación estaba basada principalmente
en cinco ideas preconcebidas:
• La planta está aislada, no está conectada a internet.
• Tenemos un firewall que nos protege.
• Los hackers no saben de sistemas/procesos industriales.
• Mi planta no es objetivo de nadie.
• Los sistemas de safety de planta nos protegen de los ciberataques.
El riesgo que se debe gestionar está asociado a la probabilidad de que nuestros activossufran
una indisponibilidad o pérdida de integridad para prestar servicio o daños(impacto).
La visibilidad o superficie de exposición, que en las redes de entornos industriales, en adelante OT (Operation Technology),se ha visto incrementada en los últimos años y que por
tanto, aumenta la probabilidad de un incidente de ciberseguridad.

En la actualidad, los sistemas OT padecen de los mismos males tradicionales que los sistemasIT (Information Technology) debido a la convergencia y la conectividad que estamos viviendo.
Las consecuencias de un mundo convergente, donde cada vez crece más la necesidad de
mantener todo conectado, hacen que las redes industriales, históricamente aisladas, comiencen a tener la necesidad de conectarse, utilizando protocolos como TCP/IP, inseguros en su
definición, encapsulando paquetes tradicionales de protocolos propietarios, como MODBUS.
Aunque una organización decida mantener el sistema OT desconectado de sus redes corporativas o de internet, los dispositivos que se utilizan para configurar y mantener estos, son portátiles, pendrives, tabletas y smartphones, que han tenido contacto previo con internet y con sistemas operativos Microsoft Windows, por lo que sigue existiendo riesgo si no se aplican políticas de seguridad.
Los sistemas de automatización y control industrial o ICS (Industrial Control Systems), y los sistemas SCADA(Supervisor Control and DataAcquisition), ampliamente conocidos estos últimos en el sector, estaban aislados de la red pública internet, incluso de la LAN privada de la organización. Disponían de sus propiasredes OT, pero, poco a poco, sus protocolos propietarios y cerrados, convergieron hacia protocolos de red abiertos, buscando en ocasiones una reducción de costes en la programación y la gestión, que se decide hacer de forma remota aprovechando la infraestructura IT existente.
Anadie se le escapa el que existan instalaciones industriales ,soportadas actualmente por
sistemas operativos o hardware, cuyos fabricantes dejaron de dar soporte hace varios
años o cuya incorporación de perfiles de ciberseguridad y por ende, cultura de
ciberseguridad en los entornos industriales, es aún incipiente.
Seamos o no conscientes de lo que implica el párrafo anterior, el problema introducido esmayor de lo que parece, debido a que estamos juntando dos entornos IT y OT, con necesidades de conocimiento específico y ciclos de vida diferentes, que complicarán el establecimiento de prioridades, a la hora de disminuir el riesgo de ciberataque en la organización.
Se debe tener en cuenta también, que un incidente de ciberseguridad en un entorno industrial,
puede tener un impacto más allá del mundo digital, donde un ciberataque IT tradicional
podrá disminuir el valor de la organización, dañar su imagen de marca, etc., un entorno
industrial es capaz de poner en marcha de forma automática actuadores y mecanismos que
modifican nuestro mundo físico pudiendo provocar:

• Daños medioambientales.
• Afectación a la salud pública y a las vidas humanas.
• Interrupción de servicios esenciales para la ciudadanía.
Nos enfrentamos pues a grandes retos debido a la convergencia, la adopción de lasIT en las
OT, y la fuerte demanda de conectividad, donde han salido a la luz debilidad estradicionales
en lossistemasIT, ahora en instalaciones críticas, y en ocasionessin tener en cuenta que:
• En muchas ocasiones, el personal de planta o terceras personas, que hacen uso de estas
tecnologías, no están debidamente formados.
• Derivado de lo anterior,se desconocen los riesgos que supone la utilización de ciertas
tecnologías IT sobre entornos OT, no aplicando medidas de control.
• También sucede, que el personal de IT, OT y ciberseguridad no aúnan esfuerzos y conocimientos para aplicar medidas y controles de seguridad.