La fabricación inteligente disparó la productividad, pero la ciberseguridad de ICS se quedó atrás. Vamos a ver cómo la industria de alimentos y bebidas se está poniendo al día.

La industria de alimentos y bebidas ha experimentado un gran impulso para abordar la ciberhigiene, que es el punto de partida de la ciberseguridad de los sistemas de control industrial (ICS). Mientras que antes solíamos hablar mucho de la infraestructura de red, ahora están pasando a primer plano las técnicas y las estrategias de ciberseguridad. Pero ¿cómo hemos llegado a este punto?

El problema se remonta a hace unos 20 a 30 años, cuando la industria de alimentos y bebidas comenzó a adoptar rápidamente avanzadas tecnologías patentadas en la planta. Como se trataba de sistemas cerrados y aislados, la ciberseguridad no planteaba ningún problema. 

Si avanzamos rápidamente hasta los 10 últimos años, la proliferación de sistemas de control industrial y equipos conectados por Ethernet ha revolucionado la productividad, la calidad, el cumplimiento normativo y la velocidad de lanzamiento al mercado. También ha simplificado la conexión de estos sistemas antiguos entre sí y con los nuevos sistemas. Esta comunicación abierta mediante el protocolo Ethernet no modificado ha traido un mayor ciberriesgos y un nuevo problema: la gestión de parches de los sistemas antiguos.

Un reciente informe del Food Protection and Defense Institute explica en detalle cómo estos equipos antiguos y obsoletos pueden exponer sus instalaciones a ataques maliciosos que pueden interrumpir sus operaciones, destruir equipos y poner en riesgo la seguridad de los trabajadores y los productos. Para la empresa, se ha vuelto imprescindible poner en marcha un programa holístico de ciberseguridad, en el que el proceso de gestión de parches ocupe un lugar relevante.

No se puede poner parches a lo que no se puede ver

La idea de un inventario de activos no es nueva y tal vez ya haya intentado realizar internamente este ejercicio o incluso haya recurrido para ello a ayuda externa. Pero registrarlo todo no es nada fácil y muchas empresas siguen trabajando para hacerlo bien.

Hay dos maneras de hacer el inventario y, para sentar las bases adecuadas para su programa de ciberseguridad de ICS, se necesita ambas.

• Las herramientas de interrogación electrónica le permiten explorar la red e identificar automáticamente los activos, encargándose de la mayor parte de la tarea.

• La identificación manual hará el resto, pero exige que alguien camine literalmente por las instalaciones, abra paneles e investigue físicamente lo que se encuentra allí.

Y no olvide utilizar ambos enfoques en todas sus plantas. Si solo lo hace en nueve de sus 10 plantas, casi puedo garantizarle que el ataque entrará por esa única planta que se pasó por alto.

Cómo establecer una estrategia de parches completa

Una vez terminado el inventario, tal vez obtenga una lista de miles de activos a los que debe prestar atención. Afortunadamente, no todos los activos son iguales. El siguiente paso consiste en llevar a cabo un análisis de riesgos para identificar los activos prioritarios a los que hay que aplicar parches en función de su importancia, exposición, antigüedad, previsión de riesgos, etc. Algunos activos ni siquiera se encuentran en la red, así que ¿son realmente un problema?

Hay dos tipos de parches que deberá tener en cuenta: 

1. Los parches del sistema operativo son tan frecuentes en el departamento de IT que el paquete Patch Tuesday de Microsoft lleva más de 15 años de existencia. Tendrá que coordinar los parches del sistema operativo en la planta con el tiempo improductivo programado para reducir al mínimo las interrupciones. En muchas ocasiones, podrá hacerse mediante cierta colaboración proactiva entre los departamentos de IT y OT.

2. Los parches a nivel de aplicación son otra cosa. Puede haber literalmente cientos de aplicaciones de proveedores diferentes con parches diferentes. Por tanto, es responsabilidad suya buscar los parches en las páginas web de los proveedores, determinar las vulnerabilidades de las que le protegen y decidir si son necesarios o no.

Dado que cada aplicación se configura de manera diferente, la aplicación de parches a la capa de aplicaciones garantiza un estándar de pruebas muy deliberado y coherente. Uno llevado a cabo en un ambiente de laboratorio antes de la implementación en la planta, donde puede correr el riesgo de interrumpir la producción de manera involuntaria.

Un enfoque sistemático para gestionar los parches

En la industria de alimentos y bebidas es muy común limitarse a cruzar los dedos y esperar lo mejor. No por falta de voluntad, sino por no contar con los recursos adecuados y la experiencia necesaria. Normalmente, en el campo me encuentro con estrategias reactivas. Por ejemplo, responder a la notificación de un parche de alta prioridad apagando la producción durante el fin de semana.

Y los pasos habituales suelen ser los siguientes:

• Operaciones recurre al departamento de IT para que le ayude con los parches de OT.

• IT se hace cargo, pero carece de los recursos o la experiencia en ICS para gestionar los requisitos y las limitaciones particulares.

• Por lo tanto, contratan a un recurso híbrido IT/OT o, más a menudo, se subcontrata la tarea a una empresa como Rockwell Automation.

Si decide optar por la externalización, busque un socio con experiencia en operaciones. Un detalle muy revelador es el tiempo de respuesta del contrato de nivel de servicio (SLA). Los proveedores tradicionales de IT miden la respuesta en horas. Pero ese tiempo improductivo en la producción de bienes de consumo puede implicar pérdidas de millones de dólares. Los SLA que miden el tiempo en minutos son más adecuados para las operaciones.

El final de la partida de la ciberseguridad de ICS

La gestión de parches es un paso más que debe dar para mantener en funcionamiento un centro de operaciones de seguridad (SOC). Un SOC puede ofrecer una visión completa de su postura de seguridad, incluir una estrategia de recuperación ante desastres y garantizar un funcionamiento óptimo de su fábrica conectada.

Además, en la actualidad hay soluciones diseñadas para la protección de puntos finales o “listas blancas”.  Aunque estas soluciones no eliminan por completo la necesidad de los parches, constituyen una solución eficaz para protegerse y ganar tiempo para diseñar una estrategia de parches.

Lo cierto es que no hay ninguna fórmula milagrosa que garantice la eficacia de la ciberseguridad. En eso se basa la defensa en profundidad. Pero cuando hay mucho más que los resultados económicos en riesgo (piense en la seguridad de los alimentos y los empleados), limitarse a reaccionar y esperar tener suerte ya no es un enfoque aceptable. Si busca un poco de ayuda para poner en marcha su programa o mejorarlo, estamos aquí para ayudarlo.