Al pensar en ciberseguridad, las empresas tienden a centrarse casi exclusivamente en la tecnología de la información (TI), es decir, en la protección de aquella infraestructura dedicada a la transferencia, almacenaje y tratamiento de datos, que normalmente está conectada a Internet y que se ha convertido en el objetivo principal de los ciberataques. No obstante, a medida que los negocios se vuelven cada vez más digitales, los ataques que se producen más allá de dicho espacio han aumentado notablemente, impactando en otras áreas. Este es el caso de la tecnología operativa (OT), ligada al control del mundo físico.
Tal y como recoge el Instituto Ponemon en el estudio Cybersecurity in Operational Technology, el 90% de las organizaciones del sector OT – aquel que aglutina industrias que dependen de los sistemas de control industrial u otra tecnología operativa – ha sufrido al menos un ataque en los últimos años que le ha generado brechas de datos, parones en el negocio o disrupciones significativas. Además, el 45% de los encuestados asegura haber experimentado un ataque en el que se veía involucrada la tecnología operacional o dispositivos IoT.
Este tipo de tecnología es igual de fundamental para una empresa como lo son sus servidores o centros de datos (CPD). En un almacén, por ejemplo, un fallo en el sistema de calefacción y refrigeración puede provocar una pérdida significativa de los bienes que hay en él; si hay un problema en el aire acondicionado, un CPD puede sufrir apagones inesperados por sobrecalentamiento. De esta forma, los componentes críticos de OT deben cumplir con ciertos requisitos, teniendo que ser rentables, confiables y seguros. La digitalización ayuda con esto, pero también abre la puerta a nuevos tipos de ataques remotos que antes no hubieran sido posibles.
“La tecnología operacional ha estado muchos años en la sombra. Si que es verdad que se ha concebido siempre como una parte crítica en los procesos y operaciones de la industria, así como en ciertos ámbitos, como es en los centros de datos o en los edificios, donde vemos instalaciones como el alumbrado de emergencia, los ascensores, las alarmas de seguridad o los sistemas de ventilación, refrigeración y calefacción, pero muy pocos iban más allá”, explica José Antonio Afonso, responsable del segmento Commercial Building en Eaton Iberia. “Por estar en ese segundo plano, y porque con la digitalización y el IoT esta tecnología está ligada cada vez más a soluciones TI, se ha vuelto un blanco interesante para los ciberatacantes, y por ello no podemos dejar que pase más tiempo sin implementar soluciones en su protección”, añade.
Ciberseguridad OT, crítica para la protección y supervivencia de los negocios
Hoy en día, el enfoque de la seguridad OT es muy diferente del de TI. OT se centra en el tiempo de actividad y en la disponibilidad, mientras que TI lo hace en proteger los datos. Las redes OT asumen patrones de uso relativamente estáticos en comparación con el enfoque dinámico en TI, que responde a un uso más cambiante.
Debido a que anteriormente utilizaba protocolos de comunicación patentados, la tecnología operacional no tiene un conjunto estandarizado de herramientas y técnicas de seguridad, como por ejemplo sí lo tiene la tecnología de la información con los antivirus, cortafuegos u otros softwares de protección de los endpoints, redes y servidores. Los activos OT tienen un ciclo de vida esperado mucho más largo que los equipos de TI, y las consideraciones de seguridad son diferentes si un dispositivo puede estar en uso durante veinte años o más. Además, dichos activos tienen recursos limitados que generalmente carecen del tipo de capacidad de procesamiento extra que un ordenador portátil o un servidor podrían utilizar con fines de seguridad.
Por lo general, vemos la ciberseguridad relegada por completo al equipo de TI; sin embargo, a medida que más tecnologías que impulsan las operaciones diarias de una empresa se ejecutan online, muchos no creen que estén expuestos, y se han olvidado de proteger sus sistemas OT. Por ello, es importante que las organizaciones piensen no solo en los métodos de actuación de los atacantes, sino también en sus objetivos para actuar en consecuencia.
“A diferencia de la tecnología de la información, lo que se comparte en un sistema OT a menudo no es valioso ni para la empresa ni para los atacantes. Un sistema de alimentación ininterrumpida o SAI, por ejemplo, no comparte datos que puedan usarse para pedir un rescate. Sin embargo, al estar conectado a los sistemas de TI de la empresa, bien podría abrir una puerta trasera a través de la cual los atacantes puedan hacerse con datos financieros o de clientes. La interrupción de los sistemas OT también puede ser útil en sí misma para los atacantes, ya sea como una distracción de otras acciones o como una forma de causar pérdidas financieras o reputacionales”, comenta Juan Manuel López, responsable del segmento Data Centers en Eaton Iberia.
Qué hacer para proteger la tecnología operacional
Ya no es suficiente con asumir que las medidas implementadas por los equipos de TI extenderán su protección con éxito a la infraestructura OT de una empresa. La tecnología operacional en sí misma debe fortalecerse contra los ataques, mientras que las empresas, los proveedores u otros agentes deben trabajar juntos para comprender completamente dónde están los riesgos y cómo protegerse contra ellos. Del mismo modo, los managers de instalaciones deben trabajar con los equipos de TI para asegurarse de que cualquier dispositivo que compren esté protegido contra intentos de intrusión, de manera que se aseguren de que esta tecnología no sea el eslabón más débil de la cadena de seguridad.
En este sentido, las empresas fabricantes de tecnología operacional deben desarrollar todos sus productos con la ciberseguridad en mente, como por ejemplo ya hace Eaton con su enfoque ‘secure-by-design’. Así, se trata de evitar que haya puntos muertos de los que los hackers puedan aprovecharse, de construir una oferta que siga los estándares marcados por las asociaciones responsables de los mismos, como pueden ser UL o IEC, y, además, de trabajar en conjunto con ellas para crear estándares que cubran las necesidades tanto de OT como de TI, y que sean válidos a nivel mundial.
Para poder confiar en sus entornos, las empresas deben considerar la ciberseguridad ligada a la funcionalidad al elegir equipos para sus infraestructuras. Sin tener todos los aspectos anteriores en mente, será imposible lograr una protección eficaz.