Cyberseguridad industrial, algo de lo que venimos hablando en post anteriores: tanto de la importancia de tener una red industrial segura y resiliente, como de la importancia de la realización de los tests de intrusión.
En este posts, os queremos descubrir las claves para que nuestros entornos de operaciones OT sean más seguros. Para ello, analizaremos cómo debemos estructurar la parte operacional con la parte IT de forma que la cyberseguridad en entornos OT esté asegurada. Para ello, las técnicas que vamos a mostrar, son las habitualmente utilizadas ICS y SCADA.
Como ya sabes, en el mercado nos podemos encontrar con muchos tipos de dispositivos OT, cuyos objetivos es la ejecución de tareas mecánicas (en su mayoría), como, por ejemplo: el manejo de un robot, la gestión de válvulas, etc. Estos dispositivos OT, han despertado nuevas necesidades: poder interactuar con el entorno IT.
¿Qué ocurre cuando dispositivos OT comienzan a interactuar con el entorno IT?
Obviamente, estos dispositivos del entorno OT, se intentan conectar a la red IT para poder cumplir con su tarea de mantenimiento o gestión centralizada, por ejemplo.
Es por ello, que, como consecuencia, nos encontremos con nuevos problemas, ya que estos dispositivos OT de los que estamos hablando, no están diseñados para ser ciberseguros.
Además, estos dispositivos suelen ser inestables y con muchas vulnerabilidades, tienen un rendimiento muy bajo a nivel de procesamientos y no es posible instalar en ellos aplicativos adicionales de cyberseguridad.
Podemos decir, que son elementos críticos, conectados a redes no controladas. ¡CUIDADO!
¿Quieres saber más sobre la integración entre el entorno IT y el entorno OT? Accede al post «Los beneficios de la integración de los sistemas en la industria 4.0 ¿Qué es IT? ¿Qué es OT?».
Entonces… ¿Qué tenemos que tener en cuenta a la hora de diseñar entornos OT seguros?
Para que la interacción y colaboración de las redes IT y OT sea segura y debido a que estos dispositivos distan mucho su estado de unos a otros, es importante y necesario tener en cuenta y cumplir con las siguientes exigencias:
- Tanto los dispositivos del entorno OT, como los del entorno IT, deberían estar segmentados en función de los roles:
- Red IT: red de servidores, usuarios, DMZ, impresoras, gestión, …
- Red OT: red HMI, SCADA, PLCs, … que posibilitan la segmentación sin cambio de direccionamiento IP. VLAN Insertion.
- Redes controladas por FW de nueva generación.
- Reglas de seguridad configuradas a nivel 7, para los accesos entre las distintas redes.
- Activar perfiles de seguridad en las redes que se permita tráfico, para poder eliminar actividades maliciosas.
- Activación de reglas en el firewall de DDos.
- Implementación de sistema NAC
- Actualizaciones de versiones de dispositivos OT en la medida de lo posible.