Ciberseguridad industrial: ¿por qué deberíamos dejar de hablar de SCADA?

Ciberseguridad industrial: dejemos de hablar de SCADA | Stormshield

Hoy en día, los sistemas industriales están cada vez más controlados digitalmente, lo que aumenta su exposición a los ciberataques. Ante este creciente riesgo, el conocimiento de los fundamentos de la ciberseguridad industrial – y de los términos técnicos asociados – es ahora un requisito esencial para hacer frente con eficacia a las amenazas.

 

SCADA, ICS, DCS, HMI, PLC... Detrás de las inocuas iniciales "OT" (Operational Technology, o TO, Tecnología Operativa – en oposición a IT, Information Technology o TI, Tecnología de la Información) – se esconde un laberinto de jerga industrial con un sinfín de significados cuya interpretación varía de un sector a otro, y de una empresa a otra. "Incluso el término 'OT' en sí mismo tiene un complejo y diverso conjunto de significados", dice Vincent Riondet, gerente de los equipos de Proyectos y Servicios de Ciberseguridad de Schneider Electric Francia, "habiendo quedado huérfano del sistema de información tradicional". Estos términos específicos de la industria, a menudo mal traducidos o entendidos de diferentes maneras, pueden ser una fuente de confusión, sobre todo entre los departamentos de seguridad de la información. Si queremos proteger el equipamiento industrial e implementar defensas apropiadas, necesitamos tener una comprensión precisa de cómo funciona y los términos que lo describen... y más aún cuando es necesaria una respuesta a un ciberataque.

 

¿Qué es SCADA?

El término SCADA (Supervisory Control And Data Acquisition o Supervisión, Control y Adquisición de Datos)) es una verdadera encrucijada de la jerga industrial. Sin embargo, su definición está sujeta a una serie de interpretaciones que pueden variar no sólo por la zona geográfica, sino también por el área de negocio. SCADA puede significar un software instalado en un PC para recoger datos, o referirse a un sistema de monitorización general. Y esta aproximación inicial es problemática.

"Esta terminología de SCADA es lo que crea más confusión a los actores de la informática", explica Vincent Riondet. "Un CISO tenderá a usar SCADA como un término general para todas las formas de tecnología operativa. Pero para un ingeniero de automatización, SCADA se refiere a un sistema que es capaz de adquirir y procesar un gran volumen de datos. Es una aplicación de monitorización. Para aquellos que no están involucrados en el sector de la automatización, la palabra puede ser distorsionada para significar cualquier sistema de control industrial", añade Fabien Miquet, Directivo de Seguridad de Productos y Soluciones de Siemens. Del mismo modo, un integrador invocará SCADA para describir todas las partes instaladas de un sistema industrial, hasta los controladores inclusive.

Una persona con conocimientos de informática no usará la misma definición de SCADA que alguien de OT.

Vincent Riondet, gerente de los equipos de proyectos y servicios de ciberseguridad de Schneider Electric Francia

En realidad, en Europa se considera que el término SCADA se refiere generalmente a un sistema de gestión remota y telemetría con un mecanismo de comunicación en tiempo real, utilizado para monitorizar las instalaciones. Pero al otro lado del charco, es una historia diferente.

 

ICS, DCS, HMI, PLC: yendo al grano de la jerga industrial

Particularmente en los Estados Unidos, el término SCADA recibe una definición más amplia que su primo europeo, refiriéndose a un sistema de monitorización general que consta de ICS, DCS, HMI y otros PLC.

El ICS (Industrial Control System o Sistema de Control Industrial) es un acrónimo que abarca el sistema industrial en su conjunto. Su propósito es controlarlo todo, incluyendo – según la concepción europea – SCADA, con el que a menudo se confunde. "A través de una corrupción del lenguaje, el ICS es lo que los 'especialistas en sistemas no automatizados’ llaman SCADA", explica Fabien Miquet. Como sistema global, a menudo es visto como el "talón de Aquiles" de la ciberseguridad industrial ya que su superficie de ataque – es decir, su exposición al riesgo cibernético en función de su tamaño – es por naturaleza más grande.

A través de una corrupción del lenguaje, el ICS es lo que los 'especialistas en sistemas no automatizados' llaman un SCADA.

Fabien Miquet, Directivo de Seguridad de Productos y Soluciones de Siemens

Además de ICS y SCADA, también se utiliza el término "DCS" (Distributed Control System o Sistema de Control Distribuido) ... y se confunde con los otros dos términos. En forma conectada, este otro sistema permite que múltiples robots se conecten en red (y posiblemente se sustituyan) para hacer posible la gestión de procesos más complejos, con tareas locales distribuidas.

Las Interfaces Hombre-Máquina (HMI), por su parte, son interfaces que permiten al usuario conectarse a un sistema o robot. Es el canal de comunicación entre el SCADA (que recoge los datos) y el humano (que necesita tener acceso a los datos). En Francia, este término se confunde a menudo con SCADA. "Lamentablemente, se han perdido el resto de la traducción", suspira Vincent Riondet. "Los especialistas franceses en automatización tienden a utilizar el término SCADA sólo para referirse a las capas superiores del proceso de control y mando (para el registro de datos y la monitorización), mientras que otros especialistas europeos en automatización entienden que también se refiere a los propios controladores".

Por último, otro término de uso común, el PLC (Programmable Logic Controller o Controlador Lógico Programable), es un dispositivo para controlar robots independientes. ¿Está siguiendo todo esto?

"Cada uno de estos dominios... IT, OT, automatización... tienen su propia jerga. Si usa el término SCADA para referirse a todo el sistema, su personal se confundirá bastante. Y no ponerse de acuerdo sobre los términos técnicos crea vulnerabilidades potenciales en caso de ataque", explica Fabien Miquet en retrospectiva.

 

La importancia de dominar la jerga industrial

Y esta confusión entre los géneros podría ser en parte responsable de los riesgos cibernéticos industriales del futuro. El uso de términos equivocados – o confundir términos que parecen similares pero que tienen funciones y propósitos diferentes – hace que la ciberseguridad en los sistemas industriales sea una exigencia mayor.

Sin entrar en un juego de "encuentra las diferencias", es posible dar un rápido resumen de las principales diferencias entre SCADA y DCS – un verdadero campo minado de la jerga industrial.

  • Un DCS está orientado a procesos, mientras que un sistema SCADA está más enfocado a la recolección de datos;
  • Un DCS está controlado por procesos a través de la interconexión de sensores, controladores, terminales y actuadores, mientras que un SCADA está controlado por eventos (químicos, físicos o lineales);
  • Un DCS está más integrado y puede realizar tareas más complejas, pero un SCADA es más flexible.

Saber esto significa ser más capaz de anticipar sus respectivas vulnerabilidades y ciberamenazas... y ser capaz de abordarlas en la fase inicial, ofreciendo así una protección más eficaz para su sistema industrial.

 

Proporcionar ciberseguridad industrial en el mundo actual

Desde el punto de vista de la fabricación, el principal riesgo cibernético se refiere a las unidades de producción. Un ciberataque puede perturbarlas y dañarlas o incluso detenerlas, con las consiguientes pérdidas financieras, a menudo cuantiosas, y en algunos casos con repercusiones humanas y medioambientales. Esta vulnerabilidad se debe principalmente al hecho de que el mundo OT no se está desarrollando a la misma velocidad que su homólogo TI.

"La OT se está desarrollando más lentamente que la TI. La ciberseguridad debe adaptarse a la industria, y no al revés. Es un sistema bastante rígido. A veces hay que hacer ingeniería inversa de lo que ya se tiene para encontrar las mejores soluciones posibles", dice Franck Bourguet, Vicepresidente de Ingeniería de Stormshield.

Después de todo, el equipo de producción está diseñado para durar varias décadas, y tiene que funcionar constantemente. Esto no es ideal cuando se trata de actualizaciones fuera de las fases de mantenimiento, que se planifican rígidamente para que tengan un impacto mínimo en las líneas de producción. Además, el mundo OT ha funcionado históricamente sin Internet y, por lo tanto, aislado de las amenazas que provienen directamente de Internet. Pero con la revolución digital y la automatización, las fábricas se están conectando y ahora deben hacer frente a los riesgos cibernéticos.

"El aumento de la conectividad de los sistemas industriales, y sus interfaces con las redes informáticas, aumentan los riesgos de seguridad, ya que presentan nuevas superficies de ataque", explica Franck Bourguet. Hoy en día, las empresas y los fabricantes de seguridad cibernética deben ser capaces de responder a los problemas globales que incluyen la TI y la OT y tener en cuenta la arquitectura global del cliente, como parte del concepto de protección de estas superficies de ataque en todo momento.

 

Uso de las herramientas adecuadas y adopción de las mejores prácticas

La creación de una defensa en profundidad con varias barreras – firmas digitales, principio del menor privilegio, bloqueo de puertos USB y otros periféricos, segmentación de redes– es el comienzo de una respuesta. Pero no olvidemos que el ser humano sigue siendo la mejor defensa hasta la fecha. "Las reglas de higiene digital (gestión de contraseñas, actualizaciones, copias de seguridad, etc.) proporcionan una protección eficaz y pueden eliminar el 80% de los riesgos cibernéticos", concluye Fabien Miquet.

 

En aras de una mejor protección, la armonización de la jerga industrial debe ser una prioridad, para garantizar que el personal pueda comprenderse y tomar las decisiones correctas. En el mundo empresarial actual, las mejores prácticas digitales son asunto de todos.

Share on

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Para el bloqueo en tiempo real de comportamientos sospechosos en programas informáticos, la solución Stormshield Endpoint Security ofrece una respuesta eficaz contra los ataques de tipo "Día Cero" y el ransomware. También puede proteger entornos no conectados.

Acerca del autor

mm
Khobeib Ben Boubaker
Head of Industrial Security Business Line, Stormshield

Graduado de la escuela de ingeniería CESI y titular de un MBA de ESCP Europa, Khobeib comenzó su carrera en Alcatel Lucent en la entidad Submarine Network. Su primer amor fue el diseño de sistemas de fibra óptica para la intercomunicación entre países y operadores. Ingeniero de I+D, formador internacional, ingeniero de negocios, y luego Director de la Unidad de Negocios: Khobeib llevó muchas gorras técnicas y de negocios durante una década antes de venir a Stormshield. Y después de un puesto inicial como desarrollador de negocios para la oferta de seguridad industrial, ahora está al frente de la línea de negocios industriales para apoyar las ambiciones estratégicas de la compañía para la ciberseguridad informática/OT.