BOLETIN INDUSTRIAL Septiembre 2020

20 BOLETIN INDUSTRIAL

Por qué se debe renovar el enfoque de seguridad en la automatización industrial

Dado que el software a menudo tiene millones omiles de millones de líneas de código, la necesidad de prevenir y corregir errores se vuelve crítica. La historia proporciona ejemplos que subrayan el riesgo de cortar esquinas en la seguridad de la automatización industrial. El desastre del cohete Ariane 5 de 1996 es un ejemplo de ello. Después de que los desarrolladores de software de la Agencia Espacial Europea no pudieron actualizar adecuadamente el código que tomaron prestado de un cohete predecesor, el cohete explotó. Debido a que la velocidad de la nave durante el lanzamiento excedió los límites especificados por su software, el cohete se autodestruyó. “El costo de este error de software fue de aproximadamente $300 millones de dólares”, dijo Johannes Bauer, asesor de seguridad. Otro ejemplo de accesos directos de software costosos es la puesta a tierra del Boeing 737 Max en 2019. Después de externalizar las tareas de desarrollo de software a ingenieros de $9 por hora, el avión mató a 346 personas en dos accidentes. Según el New York Times, un sistema automatizado que dependía de la información de un único sensor jugó un papel en los accidentes. El costo de poner a tierra el 737 después de los dos accidentes fue de $18 mil Además de los riesgos de un mal uso de la automatización impulsada por software o las cargas de trabajo de IA, la expansión del acceso remotoenentornos industriales es otropeligro. “Piense, por ejemplo, en usar Zoom (la aplicación de videoconferencias) para que el personal del taller se comunique con un recurso experto compartido para diagnosticar un problema”, dijoMiklovic. En tal caso, un cibercriminal podría robar secretos comerciales o información de fabricación de productos, señaló. La prisa por habilitar las operaciones remotas también puede hacer que las organizaciones hagan accesibles los sistemas de control a través de internet público sin los controles de seguridad adecuados. La amenaza de hacerlo es “una preocupación por los sistemas instrumentados de seguridad”, dijo Mark Carrigan, director de operaciones de la compañía PAS Global. “Tales sistemas son la última línea de defensa para los procesos que operan más allá de sus condiciones límite y un objetivo de ataque conocido para los actores maliciosos”. Las operaciones remotas también aumentan el riesgo de intentos de phishing utilizando la ingeniería social. Tal ataque podría “identificar a los empleados que probablemente tengan acceso privilegiado para que sus credenciales puedan ser explotadas para obtener acceso a los entornos del sistema de control a través de puertas de enlace remotas cada vez más accesibles”, dijo Carrigan. Evaluación de amenazas por sector La prisa por implementar la automatización y el acceso remoto no será uniforme en todo el sector industrial. “El más crítico de los sistemas de infraestructura crítica” tiende a tener protocolos establecidos, y es menos probable que redefinan los procesos centrales, dijo French Caldwell, cofundador de la compañía Analyst Syndicate. Esmenos probableque la infraestructura crítica como las plantas de energía nuclear, las refinerías de petróleo y las plantas químicas se vean afectadas por las restricciones millones, según las estimaciones de Boeing. Discriminar al permitir el acceso remoto

La seguridad de la automatización industrial es vital ya que los fabricantes y las organizaciones de infraestructura crítica sopesan un reinicio tecnológico. A medida que las organizaciones industriales lidian con las consecuencias de la COVID-19, la automatización se ha convertido en un tema aún más candente. Sin embargo, los expertos temen que la aceleración de la automatización pueda generar consecuencias imprevistas para las organizaciones que no se centran en la seguridad. “Cuando se trata de Sistemas de Automatización y Control Industrial (ICS, por sus siglas en inglés), no hay duda de que la prisa es peor que el desperdicio”, dijo Dan Miklovic, analista de Analyst Syndicate, ya que conduce a resultados potencialmente catastróficos o mortales. Los sistemas de misión crítica en las instalaciones industriales han dependido tradicionalmente de la estrecha supervisión de los trabajadores humanos porque los sentidos eran “generalmente la forma más efectiva de garantizar un tiempo de actividad óptimo”, dice Chris Catterton, director de ingeniería de soluciones de la compañía ONE Tech. Eso esta cambiando. Los sistemas automatizados a menudo exceden la capacidad humana para detectar problemas de la máquina. Un sistema automatizado puede detectar cuándo un valor de torque en un perno es, por ejemplo, de unas pocas libras de luz, o escuchar un chirrido de alta frecuencia que no se puede detectar en el oído humano, dijo Catterton. Pero ser flexible en términos de seguridad de automatización industrial puede ser peligroso. La electrónica para aficionados, por ejemplo, puede simplificar la automatización de la maquinaria industrial, pero dichos productos también pueden proporcionar a los ciberatacantes un objetivo familiar, dijo Miklovic. “Las soluciones de automatización plug-and-play que no están construidas con seguridad en la vanguardia también pueden abrir la puerta a una gran cantidad de vulnerabilidades”, dijo Catterton. Tenga cuidado con las implementaciones de IA También existe el riesgo de que las organizaciones implementen apresuradamente la Inteligencia Artificial (IA) como parte de su iniciativa de automatización. Con la escasez de expertos en ciencia de datos y muchos operadores industriales experimentados marginados como resultado de la cuarentena ocasionada por la COVID-19, existe un gran peligro de errores que se introducen en los algoritmos de IA. Existe el riesgo de que “la persona que intenta entrenar el sistema carezca de información crítica de seguridad”, dijo Miklovic. Incluso en condiciones ideales, el desarrollo de software o algoritmos de IA inevitablemente introduce algún error. Una regla general sostiene que hay de uno a 10 errores por cada 1,000 líneas de software, como se ha observado en el libro “El quinto dominio”. Incluso el software para sistemas espaciales de misión crítica podría tener de uno a cinco errores por cada 1,000 líneas de código.

Made with FlippingBook Ebook Creator