Arquitectura de red segura, las cosas en orden
La arquitectura de la red industrial actual
La red de cualquier sistema industrial tradicional estaba formada por conjuntos aislados de dispositivos, que se comunicaban mediante buses propietarios y comunicaciones serie. La evolución de las comunicaciones también llegó a estos sistemas de control, donde los dispositivos empezaron a incluir comunicaciones ethernet, que posteriormente ha terminado convirtiéndose en el tipo de comunicación predominante.
Las necesidades de comunicación acuciantes de las que disponen los sistemas de control actuales, con multitud de dispositivos interconectados, incluyendo aquellos pertenecientes al IIoT, traspasos de información continuos entre el mundo corporativo y el industrial, los servicios en la nube o los accesos de los fabricantes para mantenimientos o cambios de programación, han hecho que los diferentes dispositivos que componen la industria se hayan conectado para favorecer estas funcionalidades. El problema surge porque estas conexiones se han realizado siguiendo criterios de necesidad, y no mediante un estudio completo de la red y las posibilidades de crecimiento. Ahora toca arreglar esos problemas, creando una arquitectura de red que sea segura, dimensionada y escalable para cada sistema de control, o reformando la actual para mejorarla y que cumpla con estas características.
El papel lo aguanta todo, la realidad es muy distinta
La gran mayoría de los planteamientos de rediseño de arquitectura industrial que se presentan provienen de los departamentos de sistemas, que deben gestionar ahora también estas redes para ofrecerles los servicios que requieren, pero de las que pueden no conocer la gran mayoría de los componentes que las integran ni los protocolos que utilizan. Esto ha llevado a que se creen arquitecturas de red de referencia, que, sobre el papel, presentan unas características de seguridad suficientes para cualquier sistema de control, como se ve en la imagen siguiente, pero que son difícilmente aplicables de forma directa en el mundo industrial real, debido a los múltiples cambios de IP requeridos, la incorporación de nuevos dispositivos, la segmentación en redes que no se corresponden con la realidad de la operación, etc.
- Esquema de arquitectura de red segura. Fuente: DHS (Department of Homeland Security). -
Los cambios más visibles del modelo de arquitectura de red segura son la creación de nuevas redes para separar los diferentes equipos según su criticidad o funcionalidad. Esta modificación suele suponer muchos problemas en los sistemas de control, puesto que existen muchos equipos, obsoletos en su mayoría, que no permiten un cambio de IP o que su modificación puede suponer demasiados problemas, como errores en las comunicaciones o servicios prestados a otros dispositivos. El cambio de arquitectura y de direccionamiento IP también supone cambios respecto a la arquitectura certificada de la instalación, lo que puede implicar la pérdida de garantía con el fabricante.
Otro cambio importante es la inclusión de nuevos equipos en la red, en este caso dispositivos de seguridad, como cortafuegos, dispositivos de detección de anomalías, IDS/IPS, etc. Todos estos dispositivos son nuevos puntos de fallo en la cadena industrial, y, por norma general, no suelen estar bien vistos por los operadores debido a que pueden generar problemas en la cadena de ejecución. Este punto de vista es diametralmente opuesto al que tiene el personal de seguridad, que siempre alienta la inclusión de este tipo de dispositivos.
Estos problemas mencionados, y cuyas características, necesidades y normativas que aplican a cada industria en particular no se han tenido en cuenta, hacen que la transposición del modelo de arquitectura de red segura del papel a la realidad no sea tan inmediata ni tan directa como parece. Aunque todos estos problemas pueden ser salvables aplicando el esfuerzo y los medios adecuados, existen otros problemas de mayor calado que afectan a su implantación, como la inexactitud del inventario de activo, ya que es vital disponer de un inventario actualizado y completo en un rediseño de arquitectura.
Sin embargo, el mayor problema al que se enfrenta un cambio en la arquitectura de red de un sistema de control es el propio rechazo que pueden ofrecer los operadores. Para ellos el sistema funciona, han solventado los problemas puntuales utilizando dispositivos 3G/4G para tener salida a Internet, mediante accesos RDP para dar accesos de mantenimiento, etc., y no ven necesario un cambio a gran escala que les va a hacer perder autonomía en favor de un departamento de sistemas, aunque todo ello conlleve en la obtención de una red más segura a nivel general.
La necesidad de particularizar cada caso
La industria está compuesta por muchos sectores muy dispares entre sí, y eso hace que cada sistema industrial sea completamente distinto a otro, aunque compartan el tipo de dispositivos y el concepto de funcionamiento. Por ejemplo, una fábrica dedicada a embotellar agua dispone de un sistema de control que es muy diferente al SCADA, encargado de gestionar la distribución de energía. Es por ello que cada rediseño de arquitectura debe personalizarse de acuerdo a las necesidades reales específicas de cada negocio y planta, en lugar de planteamientos teóricos generales.
Algunos de los aspectos que deben tenerse en cuenta para particularizar los rediseños de arquitectura en busca de un modelo más seguro son:
- Necesidades reales de la empresa: siempre hay que tener en cuenta la necesidad de la empresa y lo que puede llegar a abordar. De nada sirve generar una arquitectura de red completa para toda una planta, con un nivel global de seguridad tan elevado que impida la correcta operación de la planta, o con las últimas novedades en productos de seguridad, si hacen que su implementación sea inabordable económicamente.
- Identificación de protocolos de red: es muy importante mantener un listado de los protocolos que se utilizan en cada planta y en cómo se comunicaban diferentes ubicaciones, en caso de existir, ya que eso puede condicionar en gran medida los dispositivos de seguridad que se van a poder utilizar.
- Activos/sistemas involucrados: muchas veces el rediseño no abarca toda la planta, bien porque es demasiado ambicioso, bien porque determinados equipos no disponen de las características mínimas para el cambio. Esta identificación permitirá definir los grupos de dispositivos siguiendo la definición de zonas y conductos elaborada en la norma IEC 62443.
- Tipología de trabajo: es muy importante saber cómo se lleva a cabo el proceso para poder identificar zonas de la planta que trabajan igual, como cadenas de montaje, o dispositivos que aplican a todo el proceso, como los dispositivos que forman parte del MES (Manufacturing Execution System).
- Roles y responsabilidad: es muy importante que todas las personas clave que vayan a estar afectadas por los cambios de red formen parte activa del proyecto. De esta forma se producirán menos rechazos a los cambios necesarios y se comprenderá mejor el proceso, permitiendo ofrecer la mejor solución en cada caso.
Conclusiones
Cambiar la arquitectura de red de los sistemas de control puede ser necesario para corregir los posibles errores que se han cometido en el pasado debido a su crecimiento desordenado. Pero eso no debe hacer perder el foco de que la nueva arquitectura debe ser, sobre todo, sostenible, para el sistema de control, que permita su funcionamiento y operación, y para la organización, siendo gestionable y escalable.
Un rediseño de arquitectura de red no debe escatimar en recursos, especialmente de personal, y debe dar voz a todos los involucrados, para que cada uno aporte su experiencia y conocimiento en beneficio del sistema de control. Por ejemplo, referente a los operadores, su amplio conocimiento del sistema en cuestión, su operación y mantenimiento; y sobre los técnicos de sistemas y de seguridad, su conocimiento en soluciones y tecnologías de seguridad.
