Ciberseguridad en automatización industrial: ¿Especializada o mejor integración?

Ciberseguridad en automatización industrial: ¿Especializada o mejor integración?

 

La digitalización ofrece numerosas oportunidades, pero también plantea riesgos. Por ejemplo, la red de fábrica podría quedar sujeta a ataques no deseados, tales como acceso no autorizado, malware, una operación incorrecta o un mal funcionamiento.

Para abordar estos riesgos, la ciberseguridad deberá incluir medidas técnicas diseñadas para prevenir o al menos contener los daños. Básicamente, son métodos que limitan el acceso y protegen la integridad. Las medidas individuales se complementan entre sí en cuanto a sus efectos.

 

Protección contra un acceso no autorizado

Independientemente de si se debe prevenir un ataque dirigido o un uso indebido, la protección de un acceso probablemente sea el instrumento más importante de ciberseguridad. Comienza con la protección física contra un acceso no autorizado y continúa a nivel de comunicación. Si el atacante no logra acceder a la red, el potencial de daño es obviamente mucho menor.

 

Protección a nivel de red

Los firewalls son la primera línea de defensa para evitar intrusiones no autorizadas a través de enlaces de comunicación. Filtran las conexiones de comunicación para que sólo se puedan establecer las conexiones permitidas. Este filtrado puede estar integrado en un dispositivo o implementado mediante un componente de firewall dedicado en la red.

Un firewall incorporado ofrece ventajas en términos de costo, pero es más vulnerable a un ataque de acuerdo a la calidad de la implementación del sistema principal.

Si se van a usar muchos dispositivos diferentes con un firewall integrado, es necesario manejar y mantener todas las variantes. Pero aun así, si el sistema principal es atacado con éxito, el firewall también podría resultar infiltrado. Además, la configuración de alta calidad de un firewall requiere conocimientos específicos, que no siempre están disponibles.

Un firewall dedicado, por ser un dispositivo externo, requiere una inversión aparte, pero permite una selección independiente de los demás componentes de automatización. Además, se puede realizar una gestión central. El dispositivo de seguridad independiente ha probado ser robusto contra puntos débiles en otros componentes de automatización. Acepta parches y actualizaciones sin afectar la función del sistema general. En caso de una sobrecarga de la red, el firewall brinda protección ya que él mismo puede asumir la carga y, por lo tanto, blindar los componentes de automatización ubicados detrás de él.

 

Protección de conexiones remotas

Las conexiones remotas a través de la Internet siempre deben estar encriptadas, por ejemplo vía VPN. Por lo general, los protocolos utilizados a tal fin no sólo protegen contra la interceptación y escucha de información, sino que también contienen mecanismos para proteger contra manipulación.

En cuanto a su implementación, también es cierto que la integración a través de software o como una función ya incorporada ofrece ventajas de costo, mientras la ejecución como componente dedicado tiene un efecto positivo sobre la calidad de la implementación y la gestión. Es por eso que las funciones de un gateway VPN y un firewall se encuentran combinadas en un gran número de soluciones.

 

Ciberseguridad en automatización industrial: ¿Especializada o mejor integración?

 

Protección a nivel de usuario

Si la comunicación ha sido permitida por un firewall o si es posible a través de un acceso local, debe estar protegida por un inicio de sesión de usuario. La gestión del usuario puede tener lugar localmente, pero después es difícil de manejar. Los sistemas de gestión central han probado ser más prácticos.

Si el sistema de automatización no soporta control de acceso, un firewall dedicado puede ser una solución. Este firewall sólo permitirá conexiones predefinidas si el usuario ya ha iniciado sesión en el firewall.

 

Protección contra malware

Son muchos los daños causados por un malware cuyo efecto dañino sólo ocurre cuando se lo ejecuta. No obstante, para evitar que el malware se implemente, se dispone de software antivirus como producto de seguridad clásico. Sin embargo, su calidad depende de la tasa de detección y de actualizaciones periódicas. Además, las demandas de potencia computacional y las detecciones de errores que ocurren en ocasiones llevan a un mal funcionamiento en aplicaciones de automatización.

En este caso, conviene recurrir a soluciones que impiden directamente la ejecución de un software desconocido (palabra clave: listas blancas), o a componentes de automatización con protección de integridad incorporada. Un elemento clave es un parche seguro y un proceso de actualización que sólo permite la instalación de software o firmware original.

 

Conclusión

La comparación de las funciones de seguridad integradas con los productos de seguridad especializados deja en claro que ambos conceptos tienen sus puntos fuertes y, en el mejor de los casos, deberían complementarse entre sí.

Las funciones incorporadas resultan especialmente útiles si, por ejemplo, toda la aplicación es operada por una sola unidad de control que también se usa para conectarse a la Internet.

Los sistemas más complejos que constan de varios dispositivos se conectan mejor mediante firewalls especializados y gateways VPN. El uso simultáneo de las funciones de seguridad integradas en los componentes puede aumentar aún más el nivel de ciberseguridad.

 

Preparado en base a una presentación del Dr.-Ing. Lutz Jänicke, de Phoenix Contact.

Modificado por última vez en Viernes, 19 Noviembre 2021 13:20
© 2018 Editorial Control. Desarrollado por Estudio Pionero.