Para unir los equipos IT y OT  del ámbito industrial frente a las ciberamenazas, dos marcas de VINCI Energies, Actemium y Axians, han desarrollado varias herramientas en común, una de las cuales incorpora un cobot.

Durante mucho tiempo, las fábricas y los talleres han sido gestionados por sistemas de control/mando cerrados al exterior y en particular al mundo de la tecnología de la información (IT) y de Internet.

Pero con la digitalización de la industria, que ha implicado la llegada de sensores y otros objetos conectados, el uso de herramientas de movilidad, la creciente “cloudificación” de un gran número de aplicaciones industriales, etc., estamos asistiendo a una convergencia de los sistemas de producción gestionados por sistemas de tecnología operativa (OT) y los sistemas IT. Ahora bien, al ser por naturaleza potencialmente accesibles desde el exterior, aumenta la superficie de ataque de las instalaciones industriales. La colaboración entre la OT y la IT es por tanto indispensable para abordar las cuestiones relativas a la circulación y el tratamiento de datos, pero también lo es cada vez más para encontrar soluciones a los problemas de cirberseguridad que afectan a la industria.

“Sabiendo que todos los bienes que consumimos yusamos a diario, que todos los servicios, como por ejemplo los relacionados con la producción/distribución de electricidad o de agua, están gestionados/dirigidos por sistemas TO, es fácil imaginar el riesgo que representan los ciberataques industriales. Para los fabricantes, la cuestión no es saber si sus instalaciones se verán afectadas, sino cuándo”, advierte Thomas Leseigneur, responsable de innovación de Actemium, la marca de VINCI Energies especializada en el rendimiento industrial.

«Aunque la necesidad es evidente, acercar las actividades de la industria y las de la información no es tan sencillo»

Nadie está a salvo de estas acciones, incluso los grandes grupos sufren los ataques de los hackers, como por ejemplo Saint-Gobain y Renault, con consecuencias nefastas: un servidor de correo electrónico bloqueado durante varios días en el caso del primero y la producción parada varias semanas en el caso del segundo.

Reconciliar ambas culturas

“Aunque la necesidad es evidente, acercar las actividades de la industria y las de la información no es tan sencillo”, subraya Vincent Bazillio, responsable de desarrollo en Axians, la marca de VINCI Energies dedicada a las soluciones TIC.

Las diferencias entre ambos universos se traducen en prioridades a veces contradictorias: para los técnicos de la IT, el principal objetivo es la confidencialidad, mientras que la disponibilidad de una instalación viene después. En el caso de los profesionales de la OT, es prácticamente lo contrario.

Del mismo modo, las reacciones frente a una misma amenaza son distintas: para la IT, la primera reacción es cerrar el acceso para proceder al análisis y a las correcciones, mientras que, para la OT, aun en caso de amenaza, la producción será siempre la prioridad número uno.

Actemiumestá especializada en industria, mientras que Axians domina a la perfección los métodos operativos de la IT. Esta doble competencia ha llevado a las dos marcas de VINCI Energies a trabajar juntas para ofrecer a los fabricantes soluciones de ciberseguridad que respeten tanto las limitaciones específicas de la industria como los buenos usos de las direcciones de sistemas de información (DSI).

Instrumentos de concienciación

Con el objetivo de que los responsables de la OT y la IT puedan proteger mejor los equipos y los datos de las unidades de producción, Actemium y Axians han puesto a su disposición instrumentos de concienciación principalmente basados en pruebas de vulnerabilidad y acceso a las instalaciones llevadas a cabo por “hackers buenos”.

La idea es mostrar de forma muy experimental por qué brechas  atacarían una instalación industrial y cómo proteger los equipos de la instalación.

En las presentaciones, que reúnen a los expertos en IT y OT de una empresa, se utilizan dos herramientas de demostración: una herramienta de realidad virtual y un pequeño cobot llamado GrabIT.

GrabIT se presenta como la simulación de una fábrica conectada, realizada con un terminal de operador, un autómata y un robot. Muestra lo que sucede en una red. Para ello, hay que hacer que el cobot realice una tarea: se escoge un color en la pantalla y se le transmite la orden de ir a buscar y agarrar con su pinza un objeto del mismo color.

Esto funciona correctamente hasta el momento en el que se simula un operario que va a abrir en su portátil un archivo Word para leer una notificación. El virus alojado en el fichero, transmitido mediante la unidad USB que contenía el documento Word, afectará al funcionamiento del cobot, cuyos movimientos se volverán imprevisibles y potencialmente peligrosos para las personas.

Recurrir a las buenas prácticas

En este punto, los fabricantes se dan cuenta de que los PC que utilizan no son necesariamente seguros. También se les muestra, lo que es una buena noticia para ellos, que el 80% de las amenazas se pueden tratar de manera sencilla, mediante el uso de buenas prácticas. En este caso, “un simple plexiglás delante del PC, incluido en el equipo de producción, habría bastado para impedir que alguien conectara una unidad USB infectada”, explica Vincent Bazillio.

Esta demostración mediante GrabIT se completa con una cartografía de los equipos conectados, realizada por intervinientes de Axians y de Actemium.

Para sorpresa de los participantes, esta cartografía de la red a menudo sirve para darse cuenta de que se había olvidado un equipo o un sensor situado en un falso techo o en el exterior de los locales y que estos aparatos pueden detectar brechas en la seguridad.

Para cada uno de los elementos, la cartografía incluye una ficha descriptiva con sus vulnerabilidades. Esta información puede ser muy útil para los técnicos de mantenimiento.

Una vez que son conscientes de los problemas relacionados con la seguridad, los fabricantes implementan distintas acciones, indica el experto en ciberseguridad de Axians, como por ejemplo “la protección de segmentos de la línea de producción. La segmentación es una de las medidas clásicas de la TI”, señala Vincent Bazillio. “Se trata de situar en ‘burbujas de seguridad’ equipos que requieren la misma protección, por ejemplo, los que deben ser accesibles a personas del exterior”. Esto puede lograrse mediante la configuración de los conmutadores de red o un firewall.

18/11/2020