Para hablar de Convergencia entre los ambientes de IT y de OT deberíamos antes aclarar que este no es un tema nuevo. Desde hace décadas que se viene desarrollando la convergencia. Se han ido incorporando las tecnologías de IT en los ámbitos industriales y con importantes beneficios. Resulta difícil encontrar en el mercado un criterio común al respecto de este tema ya que la palabra convergencia es empleada de muchas formas y con diferentes objetivos. En los últimos años con la nueva tendencia de CiberRiesgos en los Sistemas Industriales, habituales en el ambiente de IT, vuelve a agitarse el tema.

Históricamente, la tecnología de la información y la tecnología operacional se han desarrollado por caminos independientes, con diferentes objetivos y responsabilidades, operando en ambientes muy distintos. Sin embargo, hubo y aún hay mucho que ganar, alineando e integrando el trabajo entre ambos. La tecnología de OT involucra a numerosos sectores e industrias, donde cada uno tiene sus propias normas, tecnologías, requerimientos, etc. Con la creciente sofisticación y aplicación de tecnologías de redes inteligentes en la industria, aplicaciones de TI trabajan en sincronismo con aplicaciones de OT para aumentar el rendimiento, mejorar la eficiencia operacional con la eliminación de los silos de información, la mejora de los procesos, reducción de costos, incremento de la seguridad, entre otros beneficios.

La gran mayoría de las industrias han desarrollado y gestionado OT e IT como dos dominios diferentes (que de hecho lo son), donde cada uno mantiene tecnología, protocolos, estándares, modelos de gobernanza y unidades organizativas. Durante las últimas dos décadas, OT ha ido adoptando progresivamente tecnologías de IT, como IP (Internet Protocol), que ha ganado aceptación como un protocolo de red común, y Microsoft Windows que es más frecuente en una amplia gama de sistemas. En la actualidad se requiere de una gestión de gobernanza más integrada, que no es lo mismo que decir “comunes”, ya que las mismas reglas no son válidas en ambos dominios, y disponer de equipos de trabajo con profesionales de ambos dominios.

La integración o convergencia entre IT y OT se viene desarrollando desde hace por lo menos dos décadas, habiendo tomado un muy fuerte impulso la incorporación de redes industriales y el uso de protocolos industriales basados en TCP/IP, como así también en la incorporación de sistemas operativos comerciales, tales como Microsoft Windows, en una gran cantidad de sistemas.

Para una descripción más comprensiva de IT y de OT, debemos hacer referencia a una de las normas de ISA, conocida como ISA95, que define un modelo para el intercambio de información entre los ambientes de IT y de OT. ISA es una organización sin fines de lucro que desarrolla estándares aceptados globalmente en todos los sectores industriales y de todas partes del mundo. ISA95 se compone de modelos y terminología que puede utilizarse para determinar la información a ser intercambiada entre sistemas comerciales (por ejemplo, finanzas y logística), sistemas de producción, mantenimiento y calidad. La información se estructura modelando los procesos, que también sirven como base para el desarrollo de interfaces entre sistemas de IT y OT. Existen en la norma mecanismos y procesos específicos para realizar dichos intercambios con validaciones y confirmaciones. Es muy buena práctica emplear una Zona de Intercambio de Información denominada como Nivel 3,5 estableciendo una Zona Demilitarizada o DMZ.

Históricamente, el diseño de sistemas de OT tuvo que cumplir con requisitos específicos incluyendo la disponibilidad en tiempo real y la introducción de datos técnicos, como temperatura y presión, así como resistencia a condiciones ambientales de trabajo muy agresivas, como la humedad, corrosión, interferencias electromagnéticas severas y la vibración. En el pasado, las comunicaciones Ethernet y TCP/IP no eran consideradas una opción para OT debido a su fragilidad y otras limitaciones técnicas. Desde entonces, y con el aumento de las velocidades, esto ha cambiado dramáticamente. Dispositivos recientes que soportan TCP/IP y otras formas de conexión Wi-Fi (IEEE 802.11) de red pueden cumplir la mayoría de requisitos de OT. Si bien es cierto que las Redes Industriales basadas en tecnologías de IT se han ido incorporando de forma progresiva, al momento de analizar la totalidad de las Redes del tipo industriales, estas no llegan a cubrir la cuarta parte. Es decir que, a pesar de la gran aceptación tres cuartos de las redes Industriales no son TCP/IP. Además de ello el hecho de que sean basadas en TCP/IP las compañías y proveedores de automatización han agregado funciones específicas, poco comunes para los ambientes de IT, aun basados en TCP/IP. Las redes industriales requieren de un comportamiento determinístico. Por lo tanto, los fabricantes agregan funcionalidades para construir protocolos con un comportamiento cercano al “determinístico” aun basadas en TCP/IP. El diseño de estas Redes industriales, tienen requerimientos específicos que resultan inusuales en los ámbitos de IT.

Otro importante alineamiento se refiere a los sistemas operativos (OSs). Tradicionalmente, una elección necesaria entre tiempo compartido (IT) y sistemas operativos en tiempo real (OT). Con el aumento de capacidad de sistemas embebidos y el despliegue de arquitectura dirigida por eventos (‘RT-SOA’ o en tiempo real Service Oriented Architecture), un creciente uso del tradicional OS (Unix-like o Windows MSFT) fue siendo integrado en el entorno de OT. Este tipo de restricciones tecnológicas históricas condujo al desarrollo de un conjunto completo de normas específicas de OT, que cubren las áreas de comunicaciones, seguridad industrial, automatización, mediciones, y muchas otras hasta los procesos de integración IT/OT. La mayoría de estas normas son ahora de facto y promovidas por grandes fabricantes de OT, como Siemens, Rockwell, Emerson, ABB, Yokogawa, GE, Schneider y tantos otros.

El Camino a la Convergencia

La incorporación de DOS, Windows NT, Windows 32, la creación de OPC (OLE for Process Control), y así sucesivamente en los ambientes industriales vienen siendo una clara demostración de esta convergencia. La creación de innumerables protocolos industriales basados en tecnologías Ethernet TCP/IP. La propia creación de la norma ISA95, como muchas otras normas, son también una clara evidencia de la necesidad y conveniencia por la convergencia.

OPC Foundation, en la actualidad una organización mundial soportada por un gran número de compañías de todas partes del mundo, fue creada en el año 1995 por 5 empresas innovadoras líderes con una clara visión de futuro. Estas empresas fueron: Microsoft, Intellution, Opto22, Camstar, y SAP. Si bien OPC es un protocolo industrial basado en TCP/IP este contiene características y funciones inusuales para los ambientes de IT.

En la industria de OT como en IT, hemos sido testigos del famoso Y2K, donde muchos “expertos” nos decían que los sistemas fallarían, si no hacíamos un up-grade, por un problema de la cantidad de dígitos en el manejo de las fechas por los dispositivos. Las consecuencias que esto ocasionaría podrían provocar daños de alcances impredecibles.

La incorporación de los Buses de Campo Industriales basados en la comunicación inalámbrica, como los protocolos industriales Wireless HART e ISA100, también son una clara evidencia de la incorporación de las tecnologías inalámbricas en el ámbito industrial. En un principio empleados únicamente para la lectura de datos y progresivamente cada vez más utilizados para funciones de control.

Podemos seguir enumerando ejemplos de que la Integración y Convergencia de IT/OT se inició hace ya mucho tiempo y ha ido creciendo de forma constante. No hay duda de ello. La cuestión es, cómo continuará este proceso de integración y convergencia hacia adelante.

La falta de conocimiento y de investigación, también genera inversiones erradas y la implementación de soluciones ineficientes. Cuántos profesionales hablan de las normas y las tecnologías como si las conocieran de toda la vida, y nunca han leído ni una sola página de ellas. Repiten lo que alguien dijo sin conocer adecuadamente el origen ni sus fundamentos. La mejor forma de combatir esta realidad inevitable es por medio de la Capacitación.

Muchos creen que los incidentes a la CiberSeguridad Industrial provienen del ambiente de IT y más aún, estos son una consecuencia de haber aceptado las tecnologías comerciales de IT en el ámbito industrial. Lo cual es falso. En la actualidad las tecnologías y los sistemas industriales son mucho más vulnerables que los sistemas industriales basados en las tecnologías de IT. Lo que sucede es que ahora hay interés por aprovechar estas vulnerabilidades para causar daño u obtener algún tipo de beneficio. Antes esto no era una preocupación como si lo es en la actualidad.

Industrial Internet of Things (IIoT) o bien Industry 4.0 como también se vienen desarrollando son otra clara evidencia de este avance constante de la convergencia entre los ámbitos de IT y de OT. Esta es una tendencia irreversible y sería una necedad negarla.

Definiendo IT y OT

Si bien existen definiciones de IT y OT como en el caso de las normas de ISA, OT se asocia típicamente con dispositivos de campo conectados a los procesos y la infraestructura para la vigilancia y control de los procesos industriales. Esto incluye sistemas DCS (Distributed Control Systems), SIS (Safety Instrumented Systems), ESD (Emergency Shut Down Systems), PLC (Programmable Logic Controllers), Control de supervisión y adquisición de datos SCADA (Scan, Control And Data Acquisition Systems), sistemas de gestión de distribución DMS (Distribution Management Systems), Sistema de detección de pérdidas en ductos LDS (Leak Detection Systems), AMS (Assets Management Systems), y muchos otros. La mayoría de estos sistemas están ejecutando acciones del tipo dispositivo-a-dispositivo, o dispositivo-a-sistemas de forma automática con muy poca interacción humana.

IT se asocia tradicionalmente con sistemas de información back office usados para la realización de transacciones de tipo de negocio, como costo impuestos contabilidad, facturación y recaudación de ingresos, seguimiento de activos y depreciación, registros de recursos humanos y tiempo y registros de clientes. Entrada manual de datos a menudo está implicado, y los recursos informáticos han tendido a centrarse en oficinas, salas de servidores y data centers corporativos.

Desde los ámbitos de IT existe una generalización por denominar a los sistemas industriales, como si todos fuesen sistemas SCADA, lo cual es incorrecto y un claro desacierto. Los sistemas SCADA tienen un uso muy específico en las industrias y representan solamente una porción pequeña de los sistemas industriales. También existe la idea de que la protección de los sistemas industriales debe ser realizada sobre las redes TCP/IP y sobre los Sistemas que utilizan Sistemas Operativos Windows. Lo cual también es otro gran desacierto. Las estadísticas de los incidentes industriales suministrados por organizaciones dedicadas a la CiberSeguridad Industrial, reflejan que menos del 5% son generados en las tecnologías de IT. Por otro lado, los acercamientos propuestos por muchas organizaciones con amplia experiencia en la Seguridad de la Información proponen un acercamiento errado al momento de abordar la CiberSeguridad Industrial. Es más, en algunos casos hemos visto que las medidas propuestas por sectores de seguridad de IT se vuelven en una verdadera amenaza para la Seguridad Industrial.

El incidente ocurrido en Ukrania el pasado 23 de diciembre de 2015, pone en evidencia la ineficiencia en las implementaciones de protecciones parciales sobre las redes industriales. Ukrania, uno de los países, supuestamente mejor preparados en materia de CiberSeguridad, CiberGuerra y/o CiberDefensa, fue prácticamente puesto en ridículo al resultar víctimas de un CiberAtaque en sus redes de distribución eléctrica en la zona Oeste del país, además de las pérdidas económicas enormes. Se puede acceder al Caso de Estudio en el link al final de la nota.

Desarrollo Técnico

Cada sector industrial tiene su propia característica, y típicamente en cada tipo de industria vamos a encontrar protocolos, tecnologías y normas específicas para cada uno de estos segmentos, tales como, petróleo & gas, farmacéutico, energía eléctrica, alimentos, aguas, etc. Cada uno con sus particularidades y muchas especificidades.

Solamente por comentar uno de ellos, los sistemas de distribución eléctrica se han constituido con un alto grado de inteligencia de OT por mucho tiempo, en el desarrollo de los reguladores de voltaje, LTCs (cambiadores de carga), Bancos de interruptores, reconectadores, seccionadores, interruptores de ruptura de carga y relés electromecánicos con inteligencia local. Se están convirtiendo en sistemas cada vez más sofisticados y el nivel de datos OT para las organizaciones de distribución eléctrica sigue aumentando con muchos más dispositivos inteligentes en comunicación que se añaden a las redes casi de forma constante.

El amplio desarrollo tecnológico en ambos dominios de IT y OT en organizaciones industriales reclama una mejora organizacional integral que incorpore a la CiberSeguridad Industrial. Los silos de información entre los ambientes de IT y OT no son un problema, ya que las redes de IT y OT están interconectadas en la amplia mayoría de las industrias. Surge la urgente necesidad de crear políticas y medidas para la protección de la CiberSeguridad Industrial, y esta debe ser encarada como un trabajo conjunto entre ambos dominios de IT y de OT. Esto es un desafío tanto para los profesionales de IT que desconocen el dominio industrial como para los profesionales de OT que son normalmente más renuentes a ser usados como conejillos de indias en la implementación de nuevas tecnologías.

La CiberSeguridad Industrial o mejor dicho los riesgos a la Seguridad en la industria como consecuencia de las vulnerabilidades tecnológicas de los sistemas, está agitando nuevamente el debate sobre la convergencia entre IT/OT.

En la actualidad, no termina de salir y madurar una tecnología que ya está saliendo otra nueva superadora de la anterior. ¿Cómo se puede superar a una tecnología inmadura con una nueva tecnología aún más inmadura? Cuando en el ámbito de IT existe una tendencia a seguir la ola e incorporar las nuevas tecnologías con avidez en los ámbitos industriales, se requiere que estas pasen antes por un proceso de maduración mayor, y con más razón, antes de incorporarlas en los ambientes críticos.

Podemos llegar a decir que estos temas han sido el disparador que trae nuevamente sobre la mesa la mayor cantidad de discusiones respecto de la convergencia. Para comprenderla debemos volver a las bases. Cuando hablamos de CiberSeguridad Industrial, en OT la prioridad está enfocada en la Disponibilidad, mientras que en el ámbito corporativo la prioridad está enfocada en la Confidencialidad de la información. Fiel a cada Dominio cada ambiente continuará manteniendo su esencia. La principal diferencia que existe en el ámbito industrial es que los sistemas de control tienen un impacto sobre el mundo físico y por lo tanto la seguridad física es lo primordial. Solo por mencionar una de las muchas diferencias. Por mucho que se fuerce la convergencia No va a cambiar las características esenciales de ambos ambientes.

La CiberSeguridad Industrial representa un desafío para las organizaciones de cualquier industria, lo mismo que para una nación preocupada por la seguridad de su infraestructura crítica y de su población. No importa que los profesionales provengan de los ámbitos de IT o de OT, la CiberSeguridad Industrial será altamente desafiante para ambos perfiles de profesionales.

Es un error pensar a la CiberSeguridad Industrial o de OT como un anexo o extensión de la CiberSeguridad para IT. Como así también es un error pensar que los sistemas de OT no presentan riesgos y que estas son solo creadas en los ambientes y tecnologías IT. Puesto que estos dos enfoques son incorrecto y falso.

Las vulnerabilidades en los Sistemas Industriales están en todos los niveles. No solamente en las redes industriales basadas en TCP/IP, también están en los PLCs, en los protocolos industriales seriales, en los protocolos de las redes de control, en las redes inalámbricas, en los sistemas de cableado, etc.

Entonces, ¿Cómo encarar el desafio que nos reclama la Ciberseguridad Industrial?

La Matriz de CiberSeguridad de OT, solamente en América existen más de 30 normas, guías y marcos de referencia, destinadas a la CiberSeguridad Industrial e infraestructuras Críticas. En la mayoría de los artículos y notas que observamos, muchos suelen llamarles a todas ellas como normas, cuando en realidad no lo son, y son todas diferentes. Comprender las diferencias entre ellas no es una tarea menor. Para proteger a las redes industriales de forma efectiva y eficiente se requiere de un enfoque metodológico con un Sistema de CiberDefensa o CiberSeguridad Comprensivo. De lo contrario, lamentablemente para muchos, será como no hacer nada. Basta con revisar nuevamente el caso de Ukrania como tantos otros casos similares. No se puede proteger a una casa solamente colocando protecciones en la puerta de servicio. También hay ventanas, puerta principal, cochera, entrada del perro y del gato, etc. La CiberSeguridad Industrial debe ser encarada de forma comprensiva y ejecutado de forma correcta.

¿De quién es la responsabilidad por la Ciberseguridad Industrial?

De forma más amplia, la responsabilidad por la CiberSeguridad Industrial es, como mínimo, de todos aquellos que participan en la cadena de valor. La capacitación y certificación de profesionales dedicados a la CiberSeguridad Industrial es uno de los primeros pasos razonables por dar, al igual que acceder a un esquema de calificación y certificación de proveedores de sistemas de automatización y control industrial.

Usuarios Finales: deberán como primera medida definir políticas, procedimientos, especificaciones, etc. como parte de un buen programa de CiberSeguridad Industrial. Incluyendo:

  1. Efectuar un relevamiento de todo lo que tienen instalado en sus procesos, clasificar a su infraestructura según su criticidad, efectuar análisis detallado de los riesgos, identificar las vulnerabilidades de los sistemas actuales en todos los Niveles 0, 1, 2, y 3; definir los niveles de aceptación de riesgos, construir e implementar medidas de protección adecuadas entre muchas otras actividades.
  2. Será necesario generar nuevas especificaciones técnicas al momento de adquirir nuevos sistemas, además de realizar las pruebas adecuadas y controles adecuados antes de su instalación en la planta. Esto requiere un buen involucramiento del sector de Ingeniería para la adecuada especificación, compra y recepción de los nuevos sistemas industriales.
  3. Evaluar y clasificar a los integradores, proveedores y fabricantes. Los usuarios finales exigirán que los integradores de sistemas demuestren buenas prácticas de ingeniería, además de los sistemas configurados y probados para la CiberSeguridad,
  4. Al igual que el item anterior, que los Sistemas y Productos tengan certificaciones demostrables de CiberSeguridad.

Integradores de Sistemas: Es necesario que los integradores de sistemas puedan comprender las especificaciones y requerimientos de los proveedores relativos a la CiberSeguridad Industrial. Suministrar soluciones de Ingeniería, con su documentación, realizar pruebas con sus demostrativos, de la misma forma. Además de realizar los diseños y configuración de los Sistemas Industriales. Implementar las mejores prácticas y técnicas de diseño, configuración y desarrollo del sistema de acuerdo con los nuevos requerimientos. Los integradores, deberán conocer las cuestiones técnicas como las cuestiones metodológicas y las mejores prácticas de Ingeniería para los sistemas que ellos ensamblan y proveen.

Proveedores de Sistemas Industriales: Los proveedores de sistemas deberán suministrar y mantener sistemas libres de vulnerabilidades, que satisfagan las necesidades actuales de Seguridad. Durante muchos años los sistemas fueron desarrollados sin considerar los riesgos a la ciberseguridad Industrial. Los fabricantes, deberán además de asegurar que el Software de sus sistemas es segurizado. Arquitecturas recomendadas, software y hardware homologado, compatible con los sistemas tal que permita cumplir con los nuevos requerimientos de seguridad del mercado. La mayoría de las empresas proveedores de Sistemas de Control ya han tomado iniciativa en este tema, y la gran mayoría ya tienen soluciones y recomendaciones de Seguridad Agregada, a pesar de que aún muchos no tienen sus productos homologados ni certificados. Aquí es donde surge uno de los más importantes progresos en la CiberSeguridad de los Sistemas de Control, “La CiberSeguridad Embebida por diseño vs. La CiberSeguridad Agregada”.

Los Fabricantes de Productos Industriales: muchos fabricantes de productos que luego son utilizados como partes de los sistemas de control también deberán producir partes que sean lo suficientemente seguras y puedan soportar los más persistentes ataques a la seguridad digital.  Los fabricantes ya comenzaron a construir sistemas con CiberSeguridad embebida, en vez de la CiberSeguridad construida o desarrollada por fuera. Un claro ejemplo de esto es el caso del sistema de Bedrock Automation.

Algunas Referencias Citadas en el Estudio

  1. Programa de Capacitación y Certificación Profesional. LINK
  2. Sistema Bedrock Automation Platforms. LINK
  3. OPC Foundation. (opcfoundation.org)
  4. ISA International Society of Automation. (isa.org)
  5. ISA Secure (isasecure.org)
  6. Caso de Estudio de Ataque al Sistema Interconectado Eléctrico de Ukrania. LINK