Pasar al contenido principal

Securización de los accesos remotos OT

Descripción del proyecto

La creciente conectividad de los sistemas de control industrial (SCI) a las redes corporativas de las empresas está permitiendo una nueva forma de prestación de servicios tanto por parte del personal interno de las empresas, así como por parte de los proveedores.

La posibilidad de establecer conexiones remotas a los SCI facilita aumentar la calidad del servicio prestado por terceros desde diferentes perspectivas:

  • Mejora de los tiempos de respuesta frente a malfuncionamientos o incidencias.
  • Optimización de los recursos para intervenciones que no requieren presencia física en la planta.
  • Posibilitar la captura de datos de los SCI para tareas relacionadas con mantenimiento preventivo, optimización y mejora de procesos industriales, etc.
  • Reducción de costes por desplazamiento de técnicos y operarios especializados.

Por otro lado, y considerando el aumento de los escenarios de teletrabajo, las conexiones remotas de personal propio han adquirido una importancia fundamental para el correcto desarrollo de las funciones habituales.

En este sentido, y si bien en relación a las conexiones de personal propio es habitual que las mismas se establezcan a través de los sistemas VPN corporativos, en el entorno OT es frecuente que cada ingeniería o fabricante, de los múltiples que podemos encontrarnos en una misma planta, disponga de medios de acceso remoto propios, y que:

  • En el mejor de los casos, estos dispositivos o sistemas se encuentran en conocimiento de la empresa propietaria de la instalación, aunque no gestionados por ella.
  • Pueden no utilizar necesariamente la red corporativa para establecer las conexiones remotas, sino redes de tipo móvil (4G, etc.).
  • Se desconoce la configuración de seguridad de estos elementos, por lo que políticas relajadas podrían permitir una visibilidad excesiva ya no sólo de los elementos bajo la responsabilidad por parte del proveedor, sino del resto de elementos de las redes corporativas.
  • Al no existir una gestión de las conexiones por parte de la empresa final, se desconoce la respuesta a tres preguntas básicas sobre el establecimiento de conexiones: quién, cuándo y para qué.
  • La inexistencia de una regulación contractual de este tipo de accesos dificulta la asignación de responsabilidades en caso de ocurrencia y materialización de un incidente de seguridad a través de este medio, atribuible a un proveedor.

En definitiva, hay que considerar que la existencia de medios de acceso remoto al corazón de las plantas puede convertirse, si éstos no se encuentran correctamente diseñados, instalados y gestionados, en una amenaza a la seguridad de las redes corporativas. La falta de medidas de seguridad y control en las conexiones puede causar que:

  • Una política de seguridad de accesos remotos relajada o poco restrictiva pueda ser utilizada por un tercero no autorizado para comprometer las redes internas de la empresa, lo que puede suponer, en caso de que se materialice, un impacto de consecuencias elevadas.
  • Una incidencia de seguridad en nuestro proveedor se extienda a nuestra infraestructura. Es lo que se denomina ataque mediante la cadena de suministro.

Objetivos

Los objetivos que persigue este proyecto son los siguientes:

  • Establecer un modelo de accesos remotos al entorno OT que permita a la empresa disponer de los recursos necesarios para mantener una gestión y visibilidad total sobre las conexiones que se establezcan bien desde personal interno como desde terceros.
  • Determinar la arquitectura tecnológica que permita mantener un equilibrio adecuado entre seguridad y operatividad, de forma que el acceso remoto por parte del personal propio, así como el de las empresas proveedoras de servicios de mantenimiento, no se encuentre penalizado por las medidas de seguridad que se consideren adecuadas.
  • Implantar un modelo de arquitectura de accesos remotos al entorno OT, tanto desde la perspectiva técnica como desde la organizativa, definiendo las políticas, protocolos y procedimientos necesarios y adecuados para una correcta gestión de los mismos.

Beneficios

Disminución de riesgo

Los beneficios que se alcanzarían con la puesta en marcha de este proyecto serían los siguientes:

  1. Contribuir a asegurar la continuidad del negocio.
  2. Mejorar el nivel de resiliencia frente a las ciberamenazas.
  3. Disminución del nivel de riesgo ocasionado por las conexiones a las redes del entorno OT que se producen desde el exterior de las redes corporativas, tanto por personal interno como externo.
  4. Disminuir la probabilidad de un ataque a través de la cadena de suministro.
  5. Mantener un control y gestión de todas las vías de acceso a las redes de planta, facilitando la identificación de eventos de seguridad que pudieran estar produciéndose a través de las mismas.
  6. Permitir el establecimiento de medidas técnicas orientadas a un aumento de la seguridad de las conexiones.
  7. Regular el marco contractual y procedimental para el establecimiento de las conexiones remotas por parte de nuestros proveedores, estableciendo claramente las responsabilidades en caso de materialización de un incidente de seguridad.
  8. Garantizar la confidencialidad en el flujo de comunicaciones.

Dimensiones de la ciberseguridad que mejora la ejecución del proyecto

Dimensiones de la ciberseguridad que mejora la ejecución del proyecto

Tiempos estimados de ejecución

Los tiempos estimados de ejecución de este tipo de proyectos se indican únicamente a modo orientativo y los mismos dependen fuertemente de factores como: tamaño y complejidad de la red, número de zonas y conductos a definir, etc.

Diseño de arquitectura de accesos remotos a las redes de plantasImplementación de arquitectura de accesos remotos a las redes de plantas

Requerimientos de dedicación de recursos de las empresas solicitantes

Requerimientos de dedicación de recursos de las empresas solicitantes

Buenas prácticas durante su ejecución

Para llevar a cabo de forma correcta este tipo de proyectos, hay que considerar una serie de cuestiones importantes:

  • Inventario de proveedores: hay que contar con la ayuda del personal del Área de Producción/Mantenimiento/Operación/… para poder identificar qué proveedores requieren acceso remoto, bajo qué circunstancias, cuáles son los medios que están empleando en la actualidad (si se conocen) y vigencia de accesos remotos (soporte anual, bianual, 24x7x365; 8x5; etc.) debiéndose renovar de forma periódica.
  • Inventario de dispositivos de acceso remoto: analizar la red a la búsqueda de dispositivos no inventariados que pudieran emplearse para el establecimiento de accesos remotos.
  • Modelo de arquitectura de red existente: una red OT no segmentada impide el establecimiento de zonas y conductos orientados a limitar los accesos remotos a aquellos elementos a los que únicamente se requiera el acceso.
  • Infraestructura de seguridad adecuada: la inexistencia de elementos de seguridad adecuados o una deficiente configuración de los mismos puede dificultar enormemente la implementación de modelos de acceso remoto adecuados a las circunstancias concretas de cada empresa.

Servicios relacionados

Para el diseño de un modelo de arquitectura de accesos remotos a las redes OT:

  • Servicios de consultoría.

Para la implantación de los modelos de arquitecturas de accesos remotos:

  • Suministro, instalación, configuración y puesta en marcha de equipamiento de seguridad que disponga de funcionalidades adecuadas para el establecimiento de conexiones remotas seguras: cortafuegos, cortafuegos de nueva generación (NGFW).
  • Servicios para la instalación, configuración y puesta en marcha de elementos específicos para el establecimiento de conexiones remotas (si fuera necesario).

Otros proyectos relacionados

  • Diseño y/o implementación de arquitecturas de redes IT/OT seguras.
  • Inventario de los diferentes elementos en un sistema crítico industrial.

Área de proyecto subvencionable en el programa de ayudas de ciberseguridad industrial

  • Securización de los accesos remotos OT a los equipos industriales de la planta productiva requeridos para el mantenimiento de equipo, control y operación de los mismos, tareas realizadas cada vez con más frecuencia de manera remota.

Perfil de empresa suministradora de servicios o productos

Las empresas que cuentan con la capacidad de prestación de los servicios incluidos en este tipo de proyectos, y que se encuentran registradas en el “Libro blanco de la Ciberseguridad en Euskadi” son aquellas que se encuentran encuadradas en la siguiente categorización:

CAPACIDAD CATEGORÍA DE LA SOLUCIÓN GRUPO DE PRODUCTO/SERVICIO
PROTEGER Tecnología de protección Seguridad Wireless
Acceso remoto/VPN
Firewall /Firewall de próxima generación
Gestión unificada de amenazas (UTM)