Este mes hablamos de seguridad industrial o mejor dicho como transmitir datos de la forma más segura y eficiente.
En un mundo cada vez más expuesto a intrusos no deseados, es fundamental aislar las redes de Operaciones Tecnológicas (OT) de las de Tecnologías de la Información (IT) y de la la nube para mejorar la seguridad. Aunque las VPN son comunes para garantizar la seguridad de los datos en redes privadas, en realidad lo que hace es unir redes en lugar de segmentarlas y aislarlas.
VPN, una solución popular pero ¿Es realmente una herramienta segura?
La respuesta corta es NO. Cuando hablamos de comunicación de datos con dispositivos remotos a todos nosotros nos viene a la cabeza la solución VPN. La VPN se ha convertido en una tecnología muy popular en los últimos años que permite crear enlaces a puntos geográficos distantes con diferentes propósitos.
Imagina que un usuario desde IT ( o desde fuera de la red empresarial) establece una VPN para acceder a la planta. Lo que realmente esta haciendo es unir IT con OT y por lo tanto significa que si un intruso entra en IT, podría acceder sin suponer un gran esfuerzo y de forma directa al perímetro de OT. Por lo tanto, podemos deducir que mantener las redes IT y OT continuamente unidas a través de una VPN deja demasiadas puertas abiertas a que alguien externo pueda penetrar en esa VPN y por lo tanto en esa red a la que esta conectado la VPN, con los riesgos y daños que eso conlleva.
Según las directivas del framework NIST SP 800-82 (EE. UU.) y la directiva europea NIS 2 (la cual a partir del 2024 será de obligado cumplimiento), recomiendan utilizar un modelo de comunicaciones basado en zonas desmilitarizadas (DMZ).
¿Que es una DMZ?
Una DMZ o red perimetral es una red intermedia que se sitúa entre la red interna de una organización y una red externa, por lo general en internet. Su finalidad principal es permitir conexiones entrantes desde la red externa hacia la DMZ, mientras que las conexiones desde la DMZ hacia la red interna en general no están permitidas.
Por un lado la DMZ nos aisla ambas redes de forma segura, sin embargo comunicar o exponer un servidor OPC UA o MQTT a través de una DMZ no es factible ya que estas soluciones no están diseñadas para trabajar en este entorno. Sería necesario tener al menos dos servidores dentro de una DMZ y realizar cambios drásticos en la arquitectura de red y/o cambios importantes en las políticas de seguridad de la red, lo que complica la configuración, aumentaban los costes de mantenimiento y aumentaba el riesgo de seguridad.
Para complementar la seguridad de las DMZs la empresa canadiense Cogent DataHub ha creado la solución Tunnelling . El Tunnelling es un protocolo para realizar conexiones punto a punto que proporcionan conexiones robustas, seguras y fáciles de configurar para protocolos de datos que son difíciles de conectar o que dependen de arquitecturas inseguras. Los túneles le permiten integrar sus datos sin exponer sus redes ya que sus dispositivos no integran una red. Además no necesita abrir puertos en el firewall lo cual es una gran ventaja. Por ello, Cogent DataHub tuneller es la solución industrial más valorada por los clientes más exigentes.
Entonces…¿Cual es la solución más segura?
La solución recomendada para evitar accesos no deseados en la red OT se realiza usando 2 cosas: Una DMZ en combinación con una conexión tipo Tunnelling.
En resumen, es fundamental seguir las normativas de ciberseguridad, implementar medidas de seguridad como zonas desmilitarizadas y/o segmentación de redes, proteger los protocolos de la industria 4.0 y considerar el uso de soluciones de comunicación de datos seguras como el tunneling para proteger la comunicación de datos en redes industriales y reducir el riesgo de intrusiones no deseadas.
Como conclusión general, podemos resumir las 5 ideas más importantes a tener en cuenta para securizar tu infraestructura de red OT:
1.Seguir las normativas y directivas de ciberseguridad: Es importante estar al tanto de las normativas y directivas de ciberseguridad aplicables en tu región o industria, como el framework NIST SP 800-82 en Estados Unidos o la directiva NIS 2 en Europa. Estas normativas suelen proporcionar pautas y mejores prácticas para proteger la seguridad de las nuestras redes industriales. 2.Implementar zonas desmilitarizadas (DMZ): La utilización de DMZ puede ayudar a aislar y proteger las redes industriales de las redes de IT o de la nube. Una DMZ es una red o zona intermedia que actúa como zona de separación entre las redes internas y externas, y puede ser configurada con políticas de seguridad específicas para permitir un acceso controlado a las redes industriales. 3.Segmentación de redes: En lugar de establecer conexiones VPN que unen redes IT con redes OT, se puede considerar la segmentación de redes, lo que implica dividir la red en segmentos más pequeños y controlar el acceso entre ellos mediante firewalls y políticas de seguridad. Esto reduce la superficie de ataque y limita la propagación de posibles intrusiones. 4.Protección de protocolos de la industria 4.0: Protocolos como OPC UA o MQTT son ampliamente utilizados en la industria 4.0 para la comunicación de datos, pero es importante asegurarse de que estén protegidos adecuadamente. Esto puede incluir el uso de autenticación, encriptación y políticas de acceso para prevenir accesos no autorizados a los servidores de estos protocolos. 5.Utilizar soluciones de comunicación de datos seguras: Existen soluciones de comunicación de datos industriales que ofrecen opciones seguras, como túneles de cifrado de (Cogent DataHub tunneler) comunicación que permiten la interconexión de datos entre plantas industriales, infraestructuras y la nube sin necesidad de abrir puertos de comunicación en las plantas. Estas soluciones suelen estar diseñadas para soportar diferentes protocolos industriales y pueden proporcionar capas adicionales de seguridad.
Sumelco ofrece soluciones industriales de comunicación de datos mediante soluciones tunelling, que soportan comunicaciones a través de DMZ para intercomunicar datos entre plantas industriales, infraestructuras y/o la nube. Nuestras soluciones no requieren abrir puertos de comunicación en la planta y están diseñadas para soportar diferentes protocolos industriales como OPC DA, OPC UA, OPC A&E/A&C, EXCEL, SQL, Modbus, MQTT, lo que garantiza una mayor seguridad y protección de tus infraestructuras.