¿Qué tan segura es su red de piso de producción?

Puede que no sea lo más importante, pero los talleres y los fabricantes medianos deben pensar en la ciberseguridad de TI/OT, especialmente en la fabricación de piezas militares y de defensa. Las regulaciones están aquí. ¿Estás listo?

¿Es suficiente comprar las últimas tecnologías de maquinaria y herramientas, como máquinas de 5 ejes, contratar y asesorar a aprendices y nuevos maquinistas, fabricar piezas y mantenerse al tanto de los programas de mantenimiento? Con sensores inteligentes y más infraestructura basada en Internet en uso ahora por parte de los empleados en el piso de producción, hay mucha tecnología dentro y alrededor de las máquinas y las salas de control de la mayoría de los talleres.

La gestión de la seguridad es ahora un problema real e incluye la gestión de todos los sistemas y el comportamiento de los empleados. Para aquellos talleres que fabrican piezas para la industria de la defensa, la seguridad es un tema de cumplimiento importante con una consecuencia real en los negocios.

“La practicidad actual es que los fabricantes pequeños y medianos están funcionando a plena capacidad, los pedidos están llegando y el mayor problema es encontrar y retener talento, la mayor limitación para sacar el producto a la venta. Teniendo en cuenta todas las decisiones que los fabricantes tienen que tomar todos los días, la ciberseguridad no ocupa un lugar destacado en su radar”, dice Elliot Forsyth, vicepresidente de operaciones comerciales del Michigan Manufacturing Technology Center, en un artículo para Advanced Manufacturing.

Hablamos con expertos de la industria sobre el estado de la seguridad en la fabricación actual y hacia dónde se dirige.

Ciberataques industriales:filtraciones de datos, ciberespionaje y más

Internet es una herramienta fantástica y una bendición para los negocios. Pero también es un lugar de actividad criminal donde el fraude, el rescate, el robo y la manipulación del sistema ocurren con demasiada frecuencia.

La fabricación no se ha librado de los problemas de seguridad. Los sectores industriales, incluidos el petróleo y el gas y los segmentos de infraestructura crítica, como las centrales eléctricas y nucleares, también tienen que reforzar su seguridad. En 2018, empresas petroquímicas fueron pirateadas en Arabia Saudita con la intención de sabotear la operación y provocar explosiones.

Este es un caso extremo, por supuesto, pero puede suceder. La mayoría de los incidentes de seguridad tienen como objetivo la información financiera y la propiedad intelectual.

“Es un espacio muy inseguro”, dice John Livingston, director ejecutivo de Verve Industrial Protection. “La mayoría de los fabricantes generalmente desconocen el problema o no tienen los recursos internos [para manejarlo]. … Por un lado, muchos confían en los servicios en la nube y, en el otro extremo del espectro, confían en sistemas operativos antiguos en sus entornos que no están parcheados”.

En 2018, hubo 352 incidentes de seguridad en la fabricación y 87 de ellos tenían una divulgación de datos confirmada, según el "Informe de investigaciones de violación de datos de 2019" de Verizon, que es uno de los estudios más completos publicados anualmente.

“Por segundo año consecutivo, los ataques motivados financieramente superan en número al ciberespionaje como la razón principal de las infracciones en la fabricación, y este año en un porcentaje más significativo (40 por ciento de diferencia)”, concluyen los autores del informe de Verizon. “Si esto fuera en la mayoría de cualquier otra vertical, no valdría la pena mencionarlo, ya que el dinero es el motivo de la gran mayoría de los ataques. Sin embargo, la fabricación ha experimentado un mayor nivel de infracciones relacionadas con el espionaje que otras verticales en los últimos años".

Si el objetivo es la producción máxima y la fabricación de piezas, no hay duda de que la tecnología está desempeñando un papel central para ayudar a las empresas a alcanzar sus objetivos. Recopilar y monitorear información precisa de la máquina se está volviendo más crítico para lograr el máximo rendimiento.

Los talleres de trabajo a menudo están conectados a Internet, y las aplicaciones que usan los empleados, incluidos el correo electrónico, los sitios web y las aplicaciones móviles, pueden ser la apertura que necesitan los atacantes para acceder a la información o la propiedad intelectual de los empleados y la empresa. Esta información podría incluir bibliotecas de especificaciones de piezas que un fabricante de equipos originales querría dejar fuera del alcance de la competencia y que un gobierno no querría que otras naciones tuvieran.

“Los fabricantes deben realizar una evaluación de riesgos de sus operaciones”, dice Koushik Subramanian, asesor estratégico del Centro Nacional de Ciberseguridad en la Manufactura, en un artículo para Manufactura Avanzada. “El riesgo puede ser técnico:se encuentra en máquinas, controles o software, y también se encuentra en el personal, las prácticas y los procesos. El riesgo adopta muchas formas diferentes, pero la más común es la de los ataques cibernéticos en los que personas o grupos maliciosos intentan entrar en los sistemas aprovechando el eslabón más débil:las personas. Esa es la razón por la que el phishing y el ransomware son tan populares y por qué los ataques tienen una tendencia más alta”.

Para las tiendas más pequeñas, administrar computadoras a menudo significa contratar empresas externas de tecnología de la información, también conocidas como empresas de "TI", para ayudar. Para los fabricantes medianos y grandes, podría significar alguna forma híbrida de personal interno de TI y ayuda adicional de empresas externas para los problemas tecnológicos más complejos.

“La mayor parte de la industria está pasando por esta fase de concientización”, dice Livingston. “Están empezando a entender que hay un problema. Pero se preguntan a sí mismos:"¿Cómo hago para que mis brazos rodeen el mundo que nunca antes se había administrado realmente como una infraestructura basada en Internet?"

  ¿Necesita una respuesta a una pregunta técnica? Pregúntele al equipo técnico de metalurgia de MSC en el foro.

Agentes de Cambio:Estándares, Financiamiento Estatal y Servicios de Terceros

El Instituto Nacional de Estándares y Tecnología es el organismo que regula la infraestructura crítica y establece las reglas para las industrias aeroespacial y de defensa. En 2016, NIST publicó SP 800-171, que contiene las reglas para "Protección de información no clasificada controlada en sistemas y organizaciones no federales".

Los estándares incluyen estrictos controles de seguridad que pueden afectar a los OEM y subcontratistas de defensa de todos los tamaños. Si una empresa no cumple, es probable que no pueda ofertar por el trabajo.

“Para la mayoría de los fabricantes que no están en infraestructura crítica, perder un día de productividad debido a un problema de seguridad no es una emergencia nacional, pero perjudica sus resultados”, dice Scott Sawyer, director de tecnología de Paperless Parts. “Donde esto realmente entra en juego es en la propiedad intelectual. El Departamento de Defensa realmente se preocupa por esta área”.

Está afectando a fabricantes de todos los tamaños.

“Incluso las empresas de 100 a 200 personas están luchando con esto”, dice Sawyer. "De repente, tienen que descubrir cómo van a cumplir".

¿Cómo se las arreglan las empresas? Algunos que están tratando de mantener contratos o atraer nuevos con la industria de defensa están trayendo consultores y están implementando programas de seguridad. Las economías estatales y locales pueden verse afectadas negativamente por este tipo de regulaciones. Puede ser costoso. Por lo tanto, las organizaciones están ofreciendo financiamiento para ayudar a las empresas a cumplir con los estándares de seguridad a través de asociaciones de extensión de fabricación (MEP).

Para obtener más información sobre los esfuerzos del Departamento de Defensa y el NIST, mire este video.

Es una buena noticia para aquellos que se mantienen al tanto del problema de seguridad, pero la mayoría de los fabricantes aún no saben nada. Especialmente las tiendas más pequeñas, explica Sawyer.

“Algunos tienen una falsa sensación de seguridad. Piensan que no están en riesgo porque son pequeños y están fuera de los caminos trillados y su ubicación física es rural, no tienen muchos empleados y mantienen un perfil de marketing bajo”, dice Sawyer. “Pero, ya sabes, eso es exactamente en cierto sentido lo que podría convertirlos en un objetivo. Son un objetivo más fácil que Lockheed Martin, Raytheon o Northrop Grumman porque no tienen seguridad”.

Esas empresas más grandes son objetivos, pero también son mucho más sofisticadas en el manejo de especificaciones clasificadas y seguridad física, explica Sawyer. Sawyer lo sabría:trabajó en la industria de la defensa durante varios años antes de pasar a la fabricación.

Las empresas de defensa educan a sus empleados para que no hablen de trabajo cuando salen de la planta. A muchos se les dice que pongan su credencial de trabajo fuera de la vista una vez que se vayan. Pero incluso estos esfuerzos no han impedido que los atacantes motivados obtengan propiedad intelectual importante.

“Si cree en la fabricación estadounidense y es un patriota, parte de eso debería incluir preocuparse por la parte de seguridad de la información”, dice Sawyer.

¿Cómo maneja su tienda la seguridad hoy en día? ¿Te estás preparando o estás en el modo "la ignorancia es felicidad"? Hable de ello en el foro. [es necesario registrarse]