Por qué la seguridad de la automatización industrial debería ser un enfoque renovado

A medida que las organizaciones industriales se enfrentan a las consecuencias del COVID-19, la automatización ha convertirse en un tema aún más candente. Sin embargo, los expertos temen que la aceleración de la automatización pueda generar consecuencias imprevistas para las organizaciones que no se centran en la seguridad.

“Cuando se trata de automatización y sistemas de control industrial (ICS), no hay duda de que la prisa genera más que desperdicio”, dijo Dan Miklovic, analista de Analyst Syndicate. "Conduce a resultados potencialmente catastróficos o mortales".

Los sistemas de misión crítica en instalaciones industriales se han basado tradicionalmente en la supervisión cercana de los trabajadores humanos porque los sentidos eran “generalmente la forma más efectiva de asegurar un tiempo de actividad óptimo”, Chris Catterton, director de ingeniería de soluciones en ONE Tech. Eso está cambiando. Los sistemas automatizados a menudo superan la capacidad humana para detectar problemas en las máquinas. Un sistema automatizado puede detectar cuando un valor de torque en un perno es, por ejemplo, de unas pocas libras de luz, o escuchar un chirrido de alta frecuencia indetectable para el oído humano, dijo Catterton.

Pero ser laxo en términos de seguridad de automatización industrial puede ser peligroso. La electrónica para aficionados, por ejemplo, puede simplificar la automatización de la maquinaria industrial, pero estos productos también pueden proporcionar a los ciberatacantes un objetivo familiar, dijo Miklovic. “Las soluciones de automatización plug-and-play que no están construidas con la seguridad a la vanguardia también pueden abrir la puerta a una gran cantidad de vulnerabilidades”, dijo Catterton.

También tenga cuidado con las implementaciones de IA

También existe el riesgo de que las organizaciones implementen inteligencia artificial (IA) apresuradamente como parte de su iniciativa de automatización. Con la escasez de expertos en ciencia de datos y muchos operadores industriales experimentados marginados como resultado de las cuarentenas de COVID-19, existe un mayor peligro de que se produzcan errores en los algoritmos de IA. Existe el riesgo de que "la persona que intenta entrenar el sistema carezca de información de seguridad crítica", dijo Miklovic.

Incluso en condiciones ideales, el desarrollo de software o algoritmos de IA inevitablemente introduce algún error. Una regla empírica sostiene que hay de uno a diez errores por cada 1000 líneas de software, como se ha observado en el libro "El quinto dominio". Incluso el software para sistemas espaciales de misión crítica podría tener de uno a cinco errores por cada 1000 líneas de código.

Dado que el software a menudo tiene millones o miles de millones de líneas de código, la necesidad de prevenir y corregir errores se vuelve crítica. La historia proporciona ejemplos que subrayan el riesgo de tomar atajos en la seguridad de la automatización industrial. El desastre del cohete Ariane 5 de 1996 es un ejemplo. Después de que los desarrolladores de software de la Agencia Espacial Europea no actualizaron adecuadamente el código que tomaron prestado de un cohete predecesor, el cohete explotó. Debido a que la velocidad de la nave durante el lanzamiento excedió los límites especificados por su software, el cohete se autodestruyó. "El costo de este error de software fue de aproximadamente $ 300 millones", dijo Johannes Bauer, Ph.D., asesor principal de seguridad de UL.

Otro ejemplo de costosos atajos de software es la puesta a tierra del Boeing 737 Max en 2019. Después de subcontratar tareas de desarrollo de software a ingenieros de $ 9 la hora, el avión mató a 346 personas en dos accidentes. Un sistema automatizado que se basaba en la información de un único sensor jugó un papel en los accidentes, según el New York Times. El costo de poner a tierra el 737 después de los dos accidentes es de $ 18 mil millones, según estimaciones de Boeing.

D se discrimina al permitir el acceso remoto

Además de los riesgos de tomar atajos con la automatización impulsada por software o las cargas de trabajo de inteligencia artificial, la expansión del acceso remoto en entornos industriales es otro peligro. “Piense en usar Zoom [la aplicación de videoconferencia] para que el personal de la planta se comunique con un recurso experto compartido para diagnosticar un problema”, dijo Miklovic. En tal caso, un ciberdelincuente podría robar secretos comerciales o información de fabricación de productos, señaló. La prisa por habilitar las operaciones remotas también puede impulsar a las organizaciones a hacer que los sistemas de control sean accesibles a través de la Internet pública sin los controles de seguridad adecuados. La amenaza de hacerlo es "una preocupación para los sistemas instrumentados de seguridad", dijo Mark Carrigan, director de operaciones de PAS Global. “Estos sistemas son la última línea de defensa para los procesos que operan más allá de sus condiciones límite y un objetivo de ataque conocido para los actores malintencionados”.

Las operaciones remotas también aumentan el riesgo de intentos de phishing mediante la ingeniería social. Un ataque de este tipo podría "identificar a los empleados que probablemente tengan acceso privilegiado para que sus credenciales puedan ser explotadas para obtener acceso a los entornos del sistema de control a través de pasarelas remotas cada vez más accesibles", dijo Carrigan.

Evaluación de amenazas por sector

La prisa por implementar la automatización y el acceso remoto no será uniforme en todo el sector industrial. “Los más críticos de los sistemas de infraestructura crítica” tienden a tener protocolos establecidos y es menos probable que redefinan los procesos centrales, dijo French Caldwell, cofundador de Analyst Syndicate. Es menos probable que la infraestructura crítica, como las plantas de energía nuclear, las refinerías de petróleo y las plantas químicas, se vean afectadas por las restricciones laborales de distanciamiento social, dadas las exenciones para tales instituciones.

Las organizaciones de infraestructura crítica también tienden a tener requisitos regulatorios para la ciberseguridad. Las empresas de energía, por ejemplo, deben seguir los estándares de ciberseguridad descritos por la Comisión Reguladora de Energía Federal y la Corporación de Confiabilidad Eléctrica de América del Norte.

En el extremo opuesto del espectro se encuentra la infraestructura industrial, como calefacción, ventilación y aire acondicionado (HVAC), iluminación y sistemas de plantas. Estos sistemas han sido "operados y monitoreados de forma remota durante décadas", dijo Caldwell.

Las organizaciones en el medio de estos dos polos tienen más probabilidades de aumentar la automatización y la infraestructura de trabajo remoto, según Caldwell. "Es en el grupo medio muy grande de sistemas donde, sin duda, ya hay un aumento impulsado por la pandemia en el acceso remoto a ICS", dijo.

La última palabra

En última instancia, cada organización debe evaluar los riesgos y las recompensas de la digitalización y la automatización. El riesgo de moverse con demasiada lentitud puede ser una amenaza para la longevidad de una empresa industrial tanto como apresurar una implementación. "Hay muchas opiniones diferentes sobre qué automatizar, cuánto automatizar y cuándo automatizar", dijo Nitin Kumar, director ejecutivo de Appnomic. “Los activos físicos se están volviendo cada vez más digitales. No tener la automatización entretejida en torno a estos con un proceso digital adecuado creará un modelo operativo digital muy ineficiente ”.

Una cosa es universal:las organizaciones deben colaborar para resolver estos problemas. Especialmente durante la pandemia, los ingenieros y los líderes de TI "deben unirse para garantizar que la confiabilidad y la seguridad estén alineadas tanto con la criticidad de los sistemas como con los riesgos de seguridad", dijo Caldwell. Una vez que la pandemia ceda, las organizaciones tendrán más tiempo para revisar cómo pueden expandir la automatización y el acceso remoto de los sistemas ICS para acomodar "tanto contingencias inesperadas como para mejorar la efectividad y eficiencia de las operaciones diarias", dijo Caldwell.

Desde un punto de vista empresarial, las organizaciones deben considerar estrategias para implementar la automatización a fin de mejorar la resiliencia frente a la incertidumbre. “Hay una falta de claridad sobre la duración del cierre y los riesgos planteados para la fuerza laboral incluso si la economía migra a una postura semiabierta”, dijo Kumar. Pero lo más seguro es la probabilidad de que los accionistas "sigan siendo exigentes a medida que aumenta la recuperación", agregó.

Tecnologías como la automatización, la inteligencia artificial y el acceso remoto pueden permitir a las organizaciones industriales hacer más con menos. Aquellos que pretendan desplegarlos deben hacerlo con cautela. A pesar del adagio de la seguridad por diseño, muchas organizaciones los encuentran en una especie de modo de reparación continua. "La seguridad debe ser un requisito funcional desde el principio", dijo Sean Peasley, socio de Deloitte.