Un cambio de paradigma para la seguridad industrial: la inmunización de las fábricas

Kaspersky IoT Secure Gateway 100: Cómo proteger la información industrial mientras se preserva la continuidad empresarial.

Diez años es mucho tiempo para el mundo de la ciberseguridad. Si hubiéramos podido echar un vistazo al futuro entonces y ver lo lejos que llegarían las tecnologías de la ciberseguridad para el 2022, estoy seguro de que nadie lo habría creído. ¡Incluyéndome a mí! Los paradigmas, las teorías, las prácticas, los productos (antivirus, ¿qué es eso?); todo se ha transformado y ha avanzado hasta convertirse en algo completamente distinto.

A su vez, independientemente de lo que hayamos avanzado y a pesar de las promesas vacías de los milagros de la inteligencia artificial y otras modas de pseudociberseguridad, todavía nos enfrentamos a los mismos problemas que existían hace 10 años:

¿Cómo proteger los datos de las miradas indiscretas y de los cambios no autorizados, preservando al mismo tiempo la continuidad de los procesos empresariales?

Es cierto, proteger la confidencialidad, la integridad y la accesibilidad sigue siendo la lucha diaria de la mayoría de los profesionales en ciberseguridad.

Sin importar a dónde vaya, lo “digital” siempre conlleva los mismos problemas. Así ha sido y así será siempre, dado que las ventajas de la digitalización son muy obvias. Incluso los sectores que parecen más conservadores como la construcción de maquinaria pesada, el refinado de petróleo, el transporte o la energía ya se manejan en un entorno plenamente digitalizado desde hace muchos años. Y todo esto está muy bien, pero ¿es seguro?

La eficiencia de las empresas crece considerablemente con el aspecto digital. Pero, por otro lado, todo lo digital puede, y es, hackeado, y de esto hay muchos ejemplos. Existe la gran tentación de adoptar por completo el mundo digital para cosechar sus beneficios; sin embargo, debe hacerse de manera que no sea un proceso en extremo doloroso (léase, con la interrupción de los procesos empresariales). Y aquí es dónde nuestro analgésico especial relativamente nuevo puede ayudar, nuestro KISG 100 (Kaspersky IoT Secure Gateway).

Esta pequeña caja (PVP, un poco más de 1000 euros) se instala entre el equipo industrial (en adelante, la “maquinaria”) y el servidor que recibe varias señales de este equipo. Los datos en estas señales varían: sobre productividad, errores en el sistema, uso de recursos, niveles de vibración, mediciones de las emisiones de CO2/NOx , etc. Pero todo es necesario para contar con un panorama general del proceso de producción y tomar decisiones empresariales bien informadas y razonadas.

Como puedes ver, la caja es pequeña, pero es muy poderosa. Una funcionalidad crítica es que solo da lugar a que se transfieran datos “permitidos”. También permite la transmisión de datos estrictamente en una sola dirección. Por tanto, en un instante, KISG 100 intercepta una mezcla de ataques: man-in-the-middle, man-in-the-cloud, ataques DDoS y muchos más de las amenazas basadas en Internet que no dejan de atacarnos en esta época de auge digital.

KISG 100 (que funciona en la plataforma de hardware de Siemens SIMATIC IOT2040 y nuestro ciberinmune KasperskyOS) divide las redes externas e internas de tal forma que ni un solo byte de código malicioso pueda meterse entre las dos, de manera que la maquinaria sigue bien protegida. La tecnología (para la que tenemos tres patentes pendientes) funciona con base en el principio de diodo de datos: abre el flujo de datos en una sola dirección y solo cuando se cumplen ciertas condiciones. Pero, a diferencia de las soluciones de la competencia, KISG lo hace de manera (i) más confiable, (ii) más simple y (iii) ¡más barata!

Bien, analicemos esto más de cerca…

No por nada llamamos a esta cajita “puerta de enlace”, ya que, en principio, funciona justo como la puerta hidrotécnica mecánica que se encuentra en los canales, una esclusa.  Cuando abres la puerta inferior, el barco entra a la cámara; el nivel de agua se eleva, se abre la puerta superior, el barco sale de la cámara. De la misma forma, KISG 100 primero inicia el agente de la fuente de la red industrial, después lo conecta con el agente del receptor de datos en la dirección del servidor y permite la transferencia de datos unidireccional.

Una vez que hace una conexión entre la maquinaria y el servidor, el sistema cuenta con un llamado estado de protección: a ambos agentes (fuente y receptor) se le prohíbe el acceso a una red externa y también a una memoria no confiable, mientras que se permite el acceso a la memoria de confianza (desde donde reciben los parámetros de función como claves de cifrado, certificados, etc.). Con este estado, la puerta de enlace no puede comprometerse mediante ataques de una red externa, ya que todos sus componentes en esta etapa están desconectados del mundo externo y se consideran de confianza; solo se cargan e inician.

Después del inicio, el estado de la puerta de enlace se cambia a activo: el agente receptor obtiene el derecho tanto de transferir datos a una red externa como de acceder a una memoria no confiable (en la que se guardan datos temporales). Por lo tanto, incluso aunque haya un ataque en el lado del servidor, los ciberdelincuentes no pueden acceder a los otros componentes de la puerta de enlace o la red industrial. Así:

Un monitor de ciberseguridad, KSS, controla el seguimiento de las reglas de interacción entre agentes, además de cambiar los estados de la puerta de enlace. Este subsistema aislado de KasperskyOS supervisa de forma constante el seguimiento de las políticas de seguridad predefinidas (qué componente tiene qué función) y, de acuerdo con su principio de “denegación predeterminada”, bloquea todas las acciones prohibidas. La principal ventaja competitiva de KSS es que la política de seguridad es muy conveniente para describir en un idioma especial y combinar diferentes modelos predefinidos de ciberseguridad. Si solo uno de los componentes de KISG 100 (por ejemplo, el agente receptor) resulta comprometido, no puede dañar al resto, mientras que se informa al operador del sistema del ataque y este se puede poner manos a la obra para enfrentarlo.

¿Sigues aquí? Entonces aquí viene el inevitable “espera, ¡que hay más!”…

Esta cajita puede ayudar a proporcionar servicios digitales adicionales. ¡Permite la integración segura de los datos industriales en ERP/CRM y otros sistemas empresariales de una empresa!

Las situaciones que involucran dichos servicios pueden variar considerablemente. Por ejemplo, para nuestro cliente Chelpipe Group (un productor líder de tubos de acero), calculamos la eficiencia de una herramienta que corta los tubos. Gracias a este análisis predictivo, se pueden ahorrar hasta 7000 dólares al mes en gastos al elegir comprar este tipo de herramienta (!). De hecho, esta integración proporciona posibilidades infinitas.

Un ejemplo más: la empresa de San Petersburgo LenPoligraphMash conectó su equipo industrial al sistema ERP 1C y ahora, casi en tiempo real, muestra en un análisis de ERP el desempeño de todos los operadores, a fin de poder pagarles con base en su tiempo de inactividad real (no el normativo o el promedio). Los expertos de la agencia analítica Arc Advisory Group confirmaron la singularidad de esta estrategia y su escalabilidad en su primer informe de ciberinmunidad.

Así que, como puedes ver, no se trata de ningún trasto. ¡Es una caja perfectamente ingeniosa! Además de ya estar en plena acción en Chelpipe Group, KISG 100 se suministra junto con la maquinaria de procesamiento de metales de StankoMashKomplex, ya están en marcha proyectos piloto exitosos con Rostec y Gazprom Neft y ya han comenzado docenas de otros pilotos con grandes organizaciones industriales. El dispositivo ha recibido un premio especial por el logro tecnológico destacado en el evento informático chino más importante, el World Internet Conference; en la exhibición industrial Hannover Messe 2021, KISG 100 se ganó un lugar entre las mejores soluciones innovadoras y hace poco se llevó el mayor premio en los IoT Awards 2021 de la Internet of Things Association, venciendo a muchas de las empresas mejor valoradas.

En el futuro, ampliaremos la gama de estas cajas inteligentes. Por otro lado, ya se está probando la versión beta de su “hermano mayor”: KISG 1000. Además de ser una protección para puertas de enlace, también es un inspector: no solo recopila, revisa y distribuye telemetría, también transfiere comandos de gestión a los dispositivos y los protege contra ataques de red.

Moraleja: ¡No temas al mundo digital, solo necesitas prepararte de la forma correcta! Y, para ello, ponemos a tu disposición a los mejores expertos y productos.

Consejos