Conceptos de Ciberseguridad OT

En mi convergencia profesional entre el mundo de la ingeniería y la ciberseguridad, compilo mis anotaciones sobre OT sobre algunos conceptos y sistemas básicos.

Preguntas claves relacionado entornos de Tecnología Operativa (OT)

1. ¿Qué diferencia hay entre los entornos de IT y OT en términos de ciberseguridad?
   OT se aplica a procesos físicos mediante monitorización y control de dispositivos orientados a uso industrial, en cambio, IT se aplica en el ámbito de empresas y negocios 
   

2. ¿Cuáles son algunos de los principales desafíos en la protección de redes OT frente a ciberataques?
   La automatización, segmentación y resolución de problemas proactivamente, sistemas y protocolos heredados 

3. ¿Qué estándar de ciberseguridad es comúnmente utilizado en la industria para proteger infraestructuras críticas?
   IEC 62443 , podes consultar mi post sobre esta norma

4. ¿Qué es un ataque de día cero y cómo puede impactar en un entorno industrial?
   Un ataque de día cero, es un tipo de ataque el cual explota una vulnerabilidad desconocida hasta el momento y no se posee parche, su impacto puede manipular los valores de los sensores o procesamiento para generar acciones que pueden afectar a la operación de la planta e incluso generar daños a las personas 

5. En una infraestructura OT, ¿qué enfoque sería ideal para garantizar la continuidad de operaciones mientras se protege contra amenazas cibernéticas?
   Evitar frenar las operaciones diarias, cumplimiento normativo, resiliencia y recuperación

Habilidades y conocimiento específicos para abordar OT desde IT

1. Conocimientos sobre OT y Tecnologías Industriales

• Protocolos y Sistemas Propios de OT 

• Protocolos populares: Modbus, DNP3, y OPC UA 

•  Comunicación de sistemas de control: SCADA y PLCs.

• A diferencia de los protocolos de IT, los de OT no suelen tener medidas de seguridad integradas, lo que exige enfoques diferentes para protegerlos.

• Disponibilidad, Seguridad Física y Diferencia con IT
  En OT, la disponibilidad es crucial, ya que cualquier interrupción puede afectar la producción e incluso la seguridad física (riesgo de vida). [ a diferencia en IT que el foco esta sobre la confidencialidad] Asegurarte de que entiendes el impacto de los ciberataques en el mundo físico y cómo la seguridad física y la ciberseguridad deben estar alineadas es fundamental. Security vs Safety
  

2. Estándares y Normativas de Ciberseguridad Industrial

• IEC 62443
  Este estándar es clave en OT, abordando desde el diseño seguro de sistemas de automatización hasta la gestión de vulnerabilidades. Profundizar en este marco y entender cómo aplicarlo te proporcionará una base sólida para asegurar infraestructuras críticas.

• NIST SP 800-82
  Este documento de NIST ofrece pautas específicas para la seguridad de sistemas de control industrial (ICS) en entornos OT, proporcionando estrategias de evaluación y mitigación de riesgos aplicadas en la industria.

• Gestión de Riesgos en OT
  La evaluación de riesgos en OT debe considerar tanto el impacto en la seguridad humana como en la infraestructura física. Aprender metodologías como HAZOP y LOPA (para análisis de peligros y capas de protección) te ayudará a entender cómo manejar los riesgos de manera integral en OT.

3. Seguridad Operativa y Tecnologías de Detección de Amenazas

• Segmentación de Red y Firewalls Especializados para OT
  La segmentación es esencial para limitar el acceso en entornos OT. Existen firewalls industriales y técnicas de segmentación de red, como zonas y conductos según IEC 62443, para minimizar el impacto de amenazas.

  Firewall Industrial de la empresa OPSWAT

  
  Ejemplo de segmentación OT con Firewall
  

• Herramientas de Detección de Intrusos para OT
  Herramientas de detección de anomalías y análisis de tráfico industrial, como Dragos y Nozomi Networks, permiten monitorear protocolos industriales específicos y detectar comportamientos inusuales en SCADA y PLC.

• Simulaciones
  Realizar simulaciones de ciberataques a infraestructuras críticas es una buena preparación para  incidentes en entornos industriales, desarrollando habilidades para detectar y mitigar amenazas avanzadas. Reconozco que me es difícil encontrar simuladores open-source de elementos OT (por ejemplo PLC)

SCADA

Que es?

Significa "Supervisory Control and Data Acquisition" (Supervisión, Control y Adquisición de Datos). Se trata de un sistema que permite supervisar y controlar en tiempo real máquinas e instalaciones industriales.

Principal objetivo es medir con la finalidad de corregir.

Las funciones de un sistema SCADA son:

•     Recoger datos de gran valor
•     Generar informes de funcionamiento en tiempo real
•     Automatizar procesos
•     Diagnosticar errores
•     Gestionar la producción
•     Mejorar los procesos de una empresa

Funciona como una herramienta integral que recopila datos, los analiza y emite alertas o informes que facilitan la toma de decisiones.

 

Componentes básicos

Los sistemas SCADA se componen de hardware y software, y combinan sensores, PLCs o sensores RTU (Remote Terminal Unit) . Los datos que recogen estos sistemas se envían a la unidad central SCADA, que tiene su propio HMI (Human Machine Interface)

Incluye un hardware de señal de entrada y salida, controladores, interfaz hombre-máquina (HMI), redes, comunicaciones, base de datos y software. 

 

1. HMI (Human-Machine Interface): La interfaz que conecta al operario con el sistema. Presenta datos del proceso en pantallas táctiles o gráficas intuitivas, facilitando la interacción.
2. MTU (Master Terminal Unit): Ordenador central encargado de recopilar información de campo y enviar instrucciones a los dispositivos distribuidos (RTU/PLC). En los sistemas mas modernos se encuentra integrado con el servidor SCADA en un único dispositivo.
3. Unidades Terminales Remotas (RTU): Microprocesadores que convierten señales analógicas en datos digitales, comunicándolos al MTU.
4. PLC (Controladores Lógicos Programables): Más económicos y versátiles que las RTU, se utilizan para gestionar procesos específicos.
5. Sistema de comunicación: Red que conecta los componentes del sistema mediante tecnologías como Ethernet, Wi-Fi o fibra óptica.
6. Sensores: Detectan variables físicas (temperatura, presión, etc.) y las convierten en datos eléctricos.
7. Actuadores: Dispositivos que ejecutan acciones físicas basadas en las órdenes del sistema.

 

Arquitectura

Esquema típico de SCADA en un proceso industrial

 

Relación de los componentes básicos, arquitectura típica

 

Como funciona todo junto?

El núcleo de un sistema SCADA está compuesto por los PLC y las RTU, que se comunican con sensores, maquinaria y dispositivos finales.

Estos datos se transmiten al software SCADA integrado en el MTU (en los sistemas mas modernos), donde se procesan, distribuyen y visualizan en tiempo real.

Por ejemplo, si un sensor detecta una anomalía en la calidad de un producto, el sistema emite una alerta.

A través de la HMI, el operario puede analizar los datos y detener la producción para solucionar el problema, evitando mayores pérdidas.

Resumiendo:

1. Sensores miden el proceso y envían datos al PLC o RTU.
2. Los PLCs/RTUs procesan los datos y los transmiten al Servidor SCADA (en los sistemas modernos integrados en el MTU) a través de la Red de Comunicación.
3. El Servidor SCADA analiza y almacena los datos, enviando información visual y alarmas a los operadores en la HMI.
4. Los operadores envían comandos desde la HMI al Servidor SCADA, que los transmite a los PLCs/RTUs.
5. Los PLCs/RTUs ejecutan los comandos controlando los actuadores para ajustar el proceso.

Ejemplo simple: Control de una planta de agua

1. Un sensor de nivel detecta que el tanque de agua está bajo.
2. El PLC recibe esta información y la envía al Servidor SCADA.
3. El operador, viendo la alerta en la HMI, decide encender la bomba.
4. El comando del operador viaja desde la HMI, pasando por el Servidor SCADA y el PLC, hasta llegar a la bomba.
5. La bomba se enciende, y los sensores siguen monitoreando el nivel del tanque.

Protocolos de comunicación usados

Interacción	Protocolo común
Sensor → PLC	Cableado: HART, Modbus RTU, 4-20 mA, Wireless: WirelessHART, LoRaWAN, ZigBee
PLC → Servidor SCADA	Ethernet: OPC UA, Modbus TCP/IP, Profinet, Ethernet/IP Wireless / Remota: IEC 60870-5-104 o DNP3
Servidor SCADA → HMI	HTTP/HTTPS, OPC UA, conexión directa basada en TCP/IP
HMI → Servidor SCADA	HTTP/HTTPS, OPC UA, conexión directa basada en TCP/IP
Servidor SCADA → PLC	Ethernet: OPC UA, Modbus TCP/IP, Profinet, Ethernet/IP Wireless / Remota: IEC 60870-5-104 o DNP3
PLC → Actuadores	Cableado: HART, Modbus RTU, 4-20 mA, Wireless: WirelessHART, LoRaWAN, ZigBee

Clasificación de sistemas SCADA según Arquitectura (generaciones)

1. Sistemas SCADA Monolíticos o Tempranos (Primera Generación - Gen I):

• Resumen: Sistemas aislados y autónomos.
• Características:
  • Son sistemas independientes y autónomos.
  • El procesamiento de datos y el control se realizan en una computadora central (mainframe).
  • No hay conectividad con otros sistemas, ya que funcionan de manera aislada.
  • Utilizan hardware propietario y están diseñados exclusivamente para tareas específicas.
  • No incluyen redes ni comunicación externa.
• Ventajas y limitaciones:
  • Muy seguros por su aislamiento, pero poco flexibles.
  • Difíciles de actualizar o escalar.

2. Sistemas SCADA Distribuidos (Segunda Generación - Gen II):

• Resumen: Sistemas distribuidos con redes LAN privadas. Varios SCADAS, hay redundancia, ubicados en la misma planta
• Características:
  • Incorporan redes LAN privadas para conectar los componentes (como sensores, RTUs, y HMIs).
  • Las funciones se distribuyen entre varias computadoras, mejorando la eficiencia y reduciendo los puntos únicos de fallo.
  • Permiten la redundancia y una mayor flexibilidad en comparación con los sistemas monolíticos.
  • Comienzan a usar protocolos de comunicación estándar, aunque siguen siendo limitados.
• Ejemplo de uso:
  • Supervisión en fábricas o instalaciones donde los dispositivos están físicamente cercanos.

3. Sistemas SCADA en Red (Tercera Generación - Gen III):

• Resumen: Sistemas conectados a redes WAN y tecnologías web. El mas usado, interacion por red de scadas, me permite interconectar desde otras ubicaciones geográficas.
• Características:
  • Aprovechan redes WAN (como Internet) para conectar componentes distribuidos geográficamente.
  • Usan protocolos estándar como TCP/IP para la comunicación.
  • Introducen tecnologías web que permiten el acceso remoto y el monitoreo en tiempo real.
  • Mejor integración entre IT y OT, aunque empiezan a surgir preocupaciones de ciberseguridad debido a la conectividad externa.
• Ejemplo de uso:
  • Redes eléctricas, sistemas de transporte y oleoductos distribuidos en grandes regiones.

4. Sistemas SCADA Basados en IoT (Cuarta Generación - Gen IV):

• Resumen: Sistemas basados en IoT, la nube y tecnologías avanzadas
• Características:
  • Incorporan tecnología IoT (Internet de las Cosas) para conectar una variedad de dispositivos inteligentes y sensores.
  • Los datos se procesan y almacenan en la nube, habilitando análisis avanzados mediante inteligencia artificial y big data.
  • Ofrecen acceso remoto desde cualquier lugar a través de dispositivos móviles o interfaces web.
  • Son altamente escalables, con una integración perfecta entre IT, OT y el IoT.
  • Priorizan la ciberseguridad para proteger la infraestructura crítica.
• Ejemplo de uso:
  • Sistemas modernos de monitoreo en plantas industriales inteligentes o redes de suministro de energía con análisis predictivo.

IoT - Su relación IIoT

Aunque haré un post dedicado para profundizar este concepto, en forma resumida .... 

IIoT significa "Internet Industrial de las Cosas" y es una subcategoría del Internet de las cosas (IoT). Se refiere a la utilización de dispositivos conectados y plataformas de análisis en el sector industrial para:

• Mejorar la eficiencia y la productividad

• Aumentar la visibilidad y el tiempo de actividad

• Abordar desafíos como la sostenibilidad, la disponibilidad de las plantas y los problemas de la cadena de suministro

Puede ser utilizado en una gran variedad de sectores industriales, como: Producción, Cadena de suministro, Gestión de edificios, Cuidado de la salud, Comercio minorista.

Algunas de las características son:

• Los dispositivos se comunican a través de puertas de enlace (gateways), que son servidores físicos que filtran y transmiten los datos.

• Los dispositivos transfieren datos sin interacción entre personas o entre personas y ordenadores.

• Se suele implementar junto con el edge computing, una estrategia que traslada los recursos informáticos cerca de la fuente de datos o del usuario. Por este motivo es clave tener conectividad entre la fuente de datos y los recursos informáticos para almacenar/procesar sus datos (ej conexiones 5G)
  

Algunos ejemplos de aplicaciones: Supervisión de procesos en minería, Mantenimiento de equipos en ascensores, Supervisión de activos en construcción

 

¿Qué incluye el IIoT?

1. Sensores:

   • Miden variables físicas como temperatura, presión, flujo, nivel, vibraciones, etc.
   • Proveen datos en tiempo real a sistemas de monitoreo y control.

2. Actuadores:

   • Ejecutan acciones basadas en los comandos recibidos de sistemas de control, como SCADA o PLC.
   • Ejemplos:
     • Válvulas inteligentes que regulan el flujo de líquidos o gases.
     • Motores y bombas que ajustan su velocidad o torque automáticamente.
     • Cintas transportadoras controladas de forma remota para gestionar procesos de producción.

3. Controladores inteligentes:

   • Incluyen PLCs o RTUs que procesan datos localmente y coordinan la operación de sensores y actuadores.
   • Están conectados al ecosistema IIoT para enviar/recibir información.

4. Gateways y dispositivos Edge:

   • Actúan como intermediarios entre los sensores/actuadores y las plataformas en la nube o sistemas IT.
   • Realizan tareas como filtrado de datos, análisis local (edge computing) y traducción de protocolos.

5. Plataformas de análisis y gestión:

   • Infraestructuras en la nube o locales donde los datos recolectados por sensores son procesados, analizados y utilizados para generar información útil.

Dispositivos IT Industriales

Son dispositivos IT que están diseñadas para satisfacer las exigencias específicas de los entornos operativos industriales, como condiciones adversas, la necesidad de alta disponibilidad y la integración con sistemas OT.

Cuentan con características que les permiten asegurar un alto MBTF en situaciones hostiles de polvo, temperatura, humedad, ruido electromagnético, fluctuaciones eléctricas, vibraciones entre otros.

Para ello poseen filtros electrónicos adicionales, redundancias, minimizan los elementos mecánicos (ej ventilación pasiva), gabinete reforzado.

Router Industrial marca DIGI

MiniPC Industrial

 

Referencias

• https://enteldigital.cl/blog/4-formas-en-que-la-ciberseguridad-protege-la-continuidad-operativa-de-tu-empresa
• https://www.automaticaeinstrumentacion.com/texto-diario/mostrar/4651332/como-proteger-monitorizar-adecuadamente-entorno-ot
• https://www.dptech.com/index.php?m=content&c=index&a=show&catid=1414&id=4
• https://telefonicatech.com/blog/edge-computing-que-es
• https://www.erp-information.com/scada-system
• https://www.practicon.co.uk/scada-plc-control-system-solutions/
• https://automationforum.co/different-types-of-scada-system-architecture/
  
• https://www.cursosaula21.com/que-es-un-sistema-scada/