Abordar la solución a la Ciberseguridad con la propuesta tradicional de IT de seguridad de la información es insuficiente para los sistemas de control, y está lejos de satisfacer las necesidades de las plantas industriales, y mucho más lejos de mitigar el riesgo cibernético en la cantidad mínima necesaria.

Este acercamiento se limita a visualizar a los sistemas industriales como redes de comunicaciones (basadas en Ethernet). La solución se fundamenta en la escucha de tráfico sobre una porción de las redes industriales con la finalidad de identificar Ciber-Activos conectados y su comportamiento. Se identifican interfaces de comunicaciones, direcciones IP, MAC Address y con ello se consigue, en muchos casos, identificar marca, modelo y otros datos relativos al Ciber-Activo. Esta información es utilizada para la elaboración de múltiples informes y reportes, indicadores, vulnerabilidades, detección de intrusiones, anomalías, y una serie de abundantes recomendaciones, entre otras funcionalidades.

Problema #1

Indentificación Incorrecta de los Ciber-Activos Industriales

Los Ciber-Activos Industriales como por ejemplo un Servidor, una estación de operación, u otros, suelen tener más de una interfaz de comunicaciones, y muchas veces redundantes. Identificar y contar la cantidad de interfaces de comunicaciones existentes en una o más redes, no es lo mismo que identificar correctamente y contar la cantidad de Ciber-Activos. Especialmente porque los Ciber-Activos industriales suelen tener varias interfaces de comunicaciones, conectadas a distintas redes.

Problema #2

Todos los conductos son Importantes

Los Ciber-Activos Industriales como por ejemplo un PLC suele tener fácilmente 10 interfaces de comunicaciones o más. Algunas de ellas basadas en Ethernet y su mayoría basadas en protocolos tradicionales industriales. Para la Ciberseguridad todos los Ciber-Activos son importantes y todos los conductos, no solamente aquellos basados en Ethernet.

Problema #3

¿Y los Ciber-Activos que están descontados o alejados?

¿Qué sucede con aquellos Ciber-Activos que están fuera del alcance del dispositivo de escucha de red y de captura de tráfico? ¿Qué sucede con aquellos Ciber-Activos que no están conectados en redes LAN? ¿Y con aquellos que están aislados del resto de la planta? ¿A caso estos Ciber-Activos no presentan riesgos a la Ciberseguridad Industrial? Aunque un Ciber-Activo no se encuentre conectado a ningún tipo de red industrial, sigue presentando riesgos para la organización, y más aún cuando estos están conectados a procesos industriales (mundo físico).

Problema #4

Mirando con un solo ojo

Las soluciones de seguridad de IT están utilizando a la captura de tráfico como la solución maestra para la Ciberseguridad Industrial. En los cursos oficiales de ISA (IC32, IC33, IC34, e IC37) enseñamos diversos métodos y mecanismos que son necesarios y complementarios para poder identificar y tratar adecuadamente a los sistemas industriales. Es necesaria una buena comprensión de los Ciber-Activos industriales y de las funciones que cumplen en la planta industrial para poder brindar la seguridad adecuada.

Problema #5

Fijando Prioridades Incorrectas

¿Cómo hacen con este abordaje de IT para saber qué Ciber-Activo es más importante y relevante en el ámbito industrial? ¿Cómo se hace para fijar prioridades? ¿Y las alertas? ¿Y para elaborar un plan de respuesta? Claramente, la falta de contexto del mundo físico hace que el abordaje sea completamente insuficiente y no distribuye las prioridades de forma adecuada, generado alertas cuando en realidad no lo son. Uno de los principios fundamentales en los sistemas industriales consiste en definir alertas, notificaciones, de forma correcta.

Si bien este abordaje resuelve algunos aspectos de las redes industriales, podríamos continuar con una extensa lista, explicando las variadas razones por la cual el abordaje de escucha de tráfico es completamente insuficiente y está lejos de atender las necesidades de los sistemas industriales. Vemos como muchas empresas están gastando muchísimo dinero sin realmente mitigar riesgo cibernético industrial.

Problema #6

¿Y la evaluación de Riesgos?

¿Estas soluciones basadas en las escuchas de tráfico, se utilizan para calcular el riesgo cibernético? ¿Cómo lo calculan? ¿Y si lo calculan, este cálculo se utiliza para tomar decisiones?, ¿Y estas decisiones … serán las correctas? Ciertamente no lo son y las decisiones son con certeza, en su gran mayoría, incorrectas o insuficientes.