Cómo pueden los fabricantes protegerse contra ataques cibernéticos

Por Jonathan Wilkins de Automatización Europea basada en Stafford

En 2014, el número total de incidentes de ciberseguridad detectados aumentó a 42.8 millones de acuerdo con la Encuesta mundial de seguridad del estado de la información de XWX de PWC, que puede encontrar en http://goo.gl/MZR3zg. Para aquellos de ustedes que no han hecho las matemáticas, eso es ataques 117,339 por día, todos los días. Y estos son solo los ataques que fueron detectados e informados.

Automatización europea Johnatan WilkinsPara comprender la magnitud de las amenazas actuales, el negocio de antivirus Kaspersky ha creado un mapa interactivo. Representa el número y tipo de amenazas cibernéticas en tiempo real. Si está leyendo este libro blanco en línea, estoy seguro de que estará de acuerdo en que es casi hipnótico. Si está leyendo sin conexión, le recomiendo que visite http://cybermap.kaspersky.com.

Pero el mapa también es increíblemente preocupante. El número total de ataques de seguridad detectados aumentó en 48 por ciento de 2013 a 2014 y hay pocas pruebas que sugieran que este porcentaje disminuirá en 2015. A pesar de estas cifras, parece que los programas de seguridad de la información se han debilitado, debido en gran medida a la ingenuidad y la inversión inadecuada.

Solo en el sector industrial, las empresas informaron un aumento del 17 por ciento en los incidentes de seguridad detectados en 2014. Los costos financieros resultantes aumentaron en 34%, mientras que las investigaciones de Barclays sugieren que casi el 50% de las empresas que sufren un ataque de seguridad cibernética dejan de comercializar.

Este informe especial analiza la creciente amenaza cibernética mundial y describe el valor de implementar una estrategia de seguridad enfocada en el negocio para garantizar el bienestar de los empleados y los sistemas industriales automatizados.

¿Quien lo hizo?

El año en que 2014 presentó algunas de las mayores infracciones de piratería y ciberseguridad de la década. Parece que nadie estaba a salvo, ni siquiera los más grandes jugadores corporativos. eBay, Sony Pictures Entertainment, Apple y Sony Playstation, fueron todas víctimas de ciberataques de una forma u otra.

Curiosamente, hay una cosa que la mayoría de las amenazas de seguridad tienen en común y esa es la fuente. Los resultados de la encuesta de PWC ilustran que el porcentaje de 34.55 de las empresas encuestadas, informó que los ataques sobre ellos el año pasado se estimaron que provenían de los empleados actuales de la compañía y 30.42 por ciento de los ex empleados. Estos fueron los dos principales culpables.

Estadísticamente, es mucho más probable que sufra ataques cibernéticos debido a que alguien conectó una memoria USB corrupta a su red, en lugar de ser el blanco específico de un hacker que intenta explotar una debilidad en un sistema automatizado. Sin embargo, eso no significa que no deba prepararse para ambas eventualidades.

Los hackers todavía ocupaban un lugar destacado en la encuesta, en tercer lugar con 23.89 por ciento de las empresas encuestadas que fijaban sus ataques de seguridad sobre ellas. Sin embargo, existe otra amenaza menos frecuente de la que las empresas también deberían estar conscientes.

Todas las empresas se encuentran con terceros a diario, como consultores, contratistas, proveedores y proveedores. Es imperativo que la información compartida con estas partes, dentro y fuera del sitio, esté restringida a un nivel apropiado. El 18.16% de las empresas encuestadas respondieron que creían que sus proveedores externos actuales eran responsables, activa o pasivamente, de sus ciberataques.

Por ejemplo, el gigante minorista estadounidense Target tuvo una violación considerable en 2013 cuando la información de identificación personal (PII) y los detalles de la tarjeta de crédito de los clientes fueron robados. El truco de múltiples etapas comenzó con el proveedor de calefacción, ventilación y aire acondicionado de Target, que, al parecer, tenía acceso a la red de Target. Se robaron las credenciales del proveedor de EE. UU. Utilizando un malware común implementado a través de una campaña de phishing por correo electrónico. Esta fue la entrada de los hackers.

La moraleja de la historia es que para desarrollar sistemas seguros, las empresas deben implementar medidas técnicas, conceptuales y organizacionales para prevenir diferentes tipos de amenazas a la seguridad.

Por dónde empezar

En un contexto de fabricación, los incidentes de seguridad típicos incluyen infección por malware, uso no autorizado, manipulación de datos, espionaje y denegación de servicio, este último es un intento de hacer que una máquina o recurso de red no esté disponible para los usuarios previstos.

La defensa contra este tipo de amenazas requiere más que simplemente invertir en nuevo software o contratar a un Jefe de Seguridad de la Información (CISO), aunque estas medidas son un buen comienzo. Los cambios deben implementarse desde cero. Antes de adelantarnos, hay ciertos pasos que deben tomarse antes que cualquier otra cosa.

Para evaluar adecuadamente las posibles amenazas, los propietarios del sistema primero deben evaluar los puntos débiles de ese sistema, incluido el elemento humano. En un entorno automatizado, esto puede revelar un escenario en el que una propiedad del conjunto se considera beneficiosa desde una perspectiva de automatización, pero perjudicial desde el punto de vista de la seguridad.

Por ejemplo, un dispositivo remoto que tiene acceso libre a un controlador lógico programable (PLC) sin autenticación ahorra tiempo en un proceso automatizado. Sin embargo, desde una perspectiva de seguridad, este es un punto débil definitivo. Es necesario identificar estas debilidades para acceder a los riesgos y tomar las medidas adecuadas.

Los fabricantes y las empresas industriales deberían prestar especial atención a tres áreas principales. El primero son los puntos débiles que surgen debido a la implementación incorrecta de equipos o software. Esto podría ser un dispositivo defectuoso o una parte de la programación.

El aumento de la interconectividad y de Internet of Things permite que todo en una fábrica se comunique mediante un protocolo común, generando una gran cantidad de datos. Esto nos lleva a la segunda área en la que las empresas deben concentrarse: asegurar el flujo de datos masivo para que los hackers no puedan explotarlo.

Finalmente, los puntos débiles a menudo surgen debido a medidas organizativas, o falta de ellas. Por ejemplo, es importante asegurarse de que el equipo de CISO actualice los sistemas operativos, los navegadores web y las aplicaciones cuando sea necesario. Esto elimina la preocupación de usar un producto que tiene fallas conocidas, que un desarrollador corrigió en una versión posterior. Debe implementar una política corporativa dedicada a actualizar el software para resolver este problema.

En general, es esencial que, durante una evaluación de seguridad inicial, el equipo identifique, agrupe y aísle la información crítica que pertenece al negocio para que el equipo del CISO pueda protegerla adecuadamente. Esta debería ser la principal prioridad para cualquier empresa que se preocupe por su ciberseguridad.

Protección de red

Uno de los medios más efectivos para salvaguardar los sistemas de producción automatizados es la protección celular. Esta forma de defensa es especialmente efectiva contra varias amenazas diferentes, incluidos los ataques de hombre en el medio, mediante los cuales el atacante tiene la capacidad de monitorear, alterar e inyectar mensajes en un sistema de comunicaciones.

La protección celular emplea un componente integrado de seguridad que supervisa el acceso a una célula automatizada. Esto se conoce como portero, ya que juega el mismo papel que su homónimo al decidir quién puede y quién no puede entrar. El dispositivo más común utilizado para este propósito es un procesador de comunicaciones Ethernet industrial que integra un cortafuegos y red privada virtual (VPN), filtrando los ataques y manteniendo la conexión de red segura.

La protección de la celda también evita el acceso y control no autorizados, ataques de denegación de servicio y amenazas en línea a través de la red de la oficina.

Sin embargo, es importante que las evaluaciones de riesgos y las medidas de seguridad no se centren únicamente en los sistemas automatizados. El personal, los proveedores y los proveedores externos también deberían ser objeto de escrutinio.

Seguridad a través de la educación

Parte del problema actual es que el tema de la ciberseguridad no se eleva a una discusión a nivel de directorio en la mayoría de las empresas a pesar de las consecuencias dañinas de las brechas de seguridad, incluida la pérdida de producción, la reducción de la calidad del producto y las amenazas de seguridad tanto para humanos como para máquinas.

La mayoría de los gobiernos han creado o están en proceso de crear regulaciones de ciberseguridad que imponen condiciones para la protección y el uso de PII. Las empresas que no protegen suficientemente la información sensible corren el riesgo de sufrir sanciones financieras. A pesar de esto, algunas empresas siguen siendo ignorantes.

Las reglamentaciones son particularmente frecuentes en toda Europa y deberían servir como ejemplo de lo que los países que aún no tienen legislación deberían esperar en el futuro cercano. EE. UU. También tiene políticas de conformidad obligatoria cuando se trata de compañías que protegen PII.

Al comienzo de 2104, EE. UU. Implementó un marco para mejorar la infraestructura de seguridad cibernética: un conjunto de estándares de la industria y mejores prácticas destinadas a ayudar a las organizaciones a gestionar los riesgos de ciberseguridad. Sin embargo, estas medidas han sido duramente criticadas por no ir lo suficientemente lejos, especialmente a la luz del reciente escándalo de piratería de Sony Pictures Entertainment que supuestamente involucraba a Corea del Norte.

Para ayudar a educar a las empresas en los caminos de la seguridad de la información, el Gobierno del Reino Unido ha asignado £ 860 millones hasta 2016 para establecer un Programa Nacional de Seguridad Cibernética. Parte de esta agenda es garantizar que el Reino Unido sea uno de los lugares más seguros para hacer negocios en línea. Esto se produce después de que se revelara que 81 por ciento de las grandes corporaciones y 60 por ciento de las pequeñas empresas en el Reino Unido informaron una violación cibernética en 2014.

En el marco del programa, el Gobierno ha desarrollado un esquema de ciber-esenciales para ofrecer a las empresas un objetivo claro al que aspirar. Esto permitirá a las empresas protegerse contra las amenazas de ciberseguridad más comunes, pero también anunciará que cumplen con este estándar. Para obtener más información sobre el plan, vaya a www.gov.uk/government/publications/cyber-essentials-scheme-overview.

Además, está disponible un 'Cuaderno de diez pasos para la seguridad cibernética' para todos los que buscan asesoramiento sobre los riesgos actuales y los métodos de prevención. La literatura describe elementos importantes cuando se crea una estrategia de seguridad enfocada en el negocio, como regímenes de gestión de riesgos, configuración segura, seguridad de red, privilegios de usuario, educación y concientización, gestión de incidentes, prevención de malware, supervisión y acceso a domicilio o móvil. El folleto de seguridad se puede descargar yendo a www.gov.uk/government/publications/cyber-risk-management-a-board-level-responsibility.

Las empresas que deseen obtener más información sobre cómo aumentar sus niveles de seguridad también pueden acceder a un documento de directrices útil de la agencia de estándares de la industria PROFIUBUS & PROFINET International (PI).

La Guía de seguridad para PROFINET se desarrolló originalmente en 2006 y luego se revisó al final de 2013. Especifica ideas y conceptos sobre cómo y qué medidas de seguridad deben implementarse. También contiene una lista de acrónimos de seguridad comúnmente utilizados y ofrece una serie de mejores prácticas comprobadas, como el concepto de protección celular mencionado anteriormente. La guía de PROFINET se puede descargar yendo a http://goo.gl/yT7rKW.

La información está disponible para las empresas que buscan asesoramiento con respecto a la seguridad cibernética. Sin embargo, de las estadísticas proporcionadas por la encuesta de PWC, parece que las empresas de productos industriales ya están liderando el camino.

Industria

En general, las amenazas cibernéticas están aumentando y, sin embargo, los presupuestos de seguridad de la información parecían disminuir en 2014. El mercado de productos industriales es la excepción porque ha creado presupuestos para protegerse.

De acuerdo con la encuesta de seguridad de PWC, este sector, más que todos los demás encuestados -energía y servicios, salud, venta minorista y consumo, tecnología y servicios financieros- parece comprender los crecientes riesgos de seguridad. Además, está invirtiendo en consecuencia.

Los presupuestos de seguridad de la información para las empresas de productos industriales han aumentado más del 150 por ciento en los últimos dos años. En 2014, el gasto en seguridad de la información representó 6.9 por ciento del presupuesto total de TI de los encuestados de la encuesta de PWC, el más alto de cualquier sector encuestado. Sin embargo, en 2014, los incidentes de seguridad en el sector también aumentaron seis veces. Entonces quizás incluso un aumento de 150% no sea suficiente.

El resultado de esta inversión ha sido mejoras notables en procesos y tecnologías de seguridad, así como iniciativas de capacitación. Sin embargo, aún hay espacio generoso para mejorar.

Manténgase a salvo

Las megatendencias como Industry 4.0, Internet of Things y Big Data han llevado a la automatización industrial a un nivel completamente nuevo, creando líneas de producción más eficientes y sofisticadas. La industria está integrando sus líneas de fabricación con capas de TI y la pirámide de automatización industrial tradicional está colapsando debido a la necesidad de una producción más rápida, más barata y más efectiva. Sin embargo, hay un precio para estas ganancias: con una mayor apertura, interconectividad y dependencia viene una mayor vulnerabilidad.

Existe una clara necesidad de más capacitación en lo que respecta a la seguridad cibernética, tanto en la parte superior como inferior de la escalera de fabricación. Con demasiada frecuencia las empresas caen en trampas comunes, creyendo que son intocables o no un objetivo.

Si la mayoría de los ciberataques en 2014 fueron cometidos por los empleados actuales de la compañía afectada, ¿cuántos de estos cree que se llevaron a cabo a sabiendas? ¿O fueron el resultado de un individuo que no comprende completamente que sus acciones podrían conducir a violaciones de seguridad?

Comprender que no tiene que ser un objetivo deseable para los piratas informáticos y que las amenazas cibernéticas pueden ser el resultado de un mal juicio no malicioso, de un empleado es clave para comprender los riesgos.

Incluso si la administración implementa con entusiasmo una ciberseguridad dedicada hacia abajo, solo se necesita un dispositivo infectado con malware conectado a la red para causar interrupciones. No podemos prevenir accidentes, pero es posible administrarlos inculcando conocimiento en los empleados y estableciendo dispositivos y procedimientos de monitoreo confiables para cuando ocurre un ataque.

La capacitación en seguridad no debe limitarse a un seminario único para el personal y una actualización inicial de los sistemas. El mantenimiento y las actualizaciones de parches deben llevarse a cabo a medida que se revelan las vulnerabilidades o cuando se lanza un nuevo software. La alta gerencia necesita implementar políticas de mantenimiento y monitoreo vigorosas. La seguridad es una preocupación constante y cambiante, no algo que se puede resolver con una solución rápida.

Se deben realizar evaluaciones de riesgo para proveedores, proveedores y contratistas, y se deben establecer restricciones a la información. Nuevamente, esto no puede ser simplemente una evaluación inicial. Los procedimientos unificados deben redactarse y seguirse cuando se trata con un tercero que requiere un cierto nivel de información de una empresa.

Con la inversión financiera y la atención adecuada prestada a la infraestructura y los procedimientos de seguridad cibernética, una empresa estará lista en caso de que se produzca un ataque externo malicioso.

De lo contrario, una empresa no solo enfrenta la pérdida de producción y las sanciones financieras; también hay pérdida de reputación y peligro potencial tanto para las máquinas como para los humanos.

Informador de la industria de procesos

Deje un comentario.

Su dirección de correo electrónico no será publicado. Los campos necesarios están marcados *

Este sitio usa Akismet para reducir el correo no deseado. Descubra cómo se procesan los datos de sus comentarios.