Con más de 120 años de historia, Rockwell Automation es un proveedor de equipos, software y servicios de automatización industrial con sede en Milwaukee, Wisconsin. La compañía divide su oferta en tres pilares. El negocio de Intelligence Devices, el que más ingresos genera con un 45 % del total, incluye toda una gama de componentes industriales como variadores, motores, sensores y más. El negocio de Software & Control (30 %) es el responsable de proporcionar soluciones tanto de hardware como de software para el control y la gestión de la información. Por último, Lifecycle Services, que representa el 25% del total, se centra en consultoría, mantenimiento y servicios gestionados, asegurando un soporte sostenido para sus productos y sistemas a lo largo de sus ciclos de vida. En esta área de negocio donde se recoge la propuesta de ciberseguridad de la compañía.
Comentar también que Rockwell Automation divide sus mercados objetivo en manufactura discreta, que incluye la industria automotriz y de semiconductores; industrias híbridas, como alimentos y bebidas; e industrias de procesos como petróleo y gas.
En una conversación mantenida con Andreu Cuartiella, director comercial para la región de EMEA de Lifecycle Services, y César Delgado Villalba, director de desarrollo de negocio de ciberseguridad, nos contaba el primero que la ciberseguridad en el mundo industrial “va de la mano de la evolución de las redes de comunicación industriales”. Hasta no hace tanto cada fabricante de equipos de control industrial diseñaba su propia red, con su protocolo y sus conectores específicos, y fue “el despliegue de ethernet en los años 2000 lo que supuso un cambio importante porque generó la necesidad de servicios de infraestructura de red”, y llevó a pensar en la ciberseguridad en el mundo OT, algo que hasta entonces no era foco de atención porque, entre otras cosas, y como nos cuenta Andreu Cuartiella, muchas veces “las redes OT estaban totalmente desconectadas de las redes IT”.
El interés por llevar la ciberseguridad al mundo OT, ¿fue impulsado por los clientes o por los fabricantes? Dice Andreu Cuartiella que desde Rockwell se hizo mucha pedagogía. Recuerda que el mundo IT siempre ha estado muy al tanto de la problemática de la ciberseguridad, “pero no así el mundo OT”.
«la seguridad tal cual se aplica en el mundo IT no es compatible con el mundo OT»
Quizá la primera gran diferencia eran los propios roles en el sector; “había una línea muy difuminada de hasta dónde llegaba el responsable de IT y dónde el responsable de ingeniería”. En todo caso, en Rockwell Automation entienden que la ciberseguridad es un elemento relevante y se empiezan a establecer alianzas con terceros, como Cisco, Claroty, Fortinet, Crowdstrike… que permiten a la compañía contar con un ecosistema de fabricantes de seguridad “que complementan nuestras soluciones para tener una red de control industrial segura”.
Además, conscientes de la de la importancia de la ciberseguridad en el mundo, se realizan una serie de adquisiciones “muy focalizadas y muy especializadas en el campo de la ciberseguridad”, continúa diciendo Andreu Cuartiella. La última de estas adquisiciones ha sido, el pasado mes de noviembre, la de Verve Industrial Protection, un sistema de inventario de activos y de gestión de vulnerabilidades, que reporta al segmento operativo Lifecycle Services de la compañía.
Por el punto de inflexión que supuso, destaca Andreu Cuartiella las compras de Avnet Data Security, un proveedor de ciberseguridad con sede en Israel con más de 20 años de experiencia en la prestación de servicios de ciberseguridad, en enero de 2020; y la de Oylo, una empresa española focalizada en proporcionar una amplia gama de servicios y soluciones de ciberseguridad de sistemas de control industrial (ICS), a finales del mismo año.
Muchos son los retos a los que se tiene que hacer frente en la seguridad del mundo industrial. El mayor de ellos es que “la seguridad tal cual se aplica en el mundo IT no es compatible con cómo se debe hacer en el mundo OT”, dice César Delgado Villalba. Explica el director de desarrollo del negocio de ciberseguridad de Rockwell Automation que, en IT, las compañías están acostumbradas a desplegar controles basados en determinados frameworks de referencia, pero en el mundo OT, además, hay un proceso detrás, y es necesario que “las personas que hacen una implantación de medidas de ciberseguridad en OT conozcan este proceso”. Es en el conocimiento de ese proceso donde radica el valor de Rockwell; “somos capaces de ir al cliente y decirle: además de este firewall, de la seguridad endpoint, o del control de servidores, debes poner un elemento que te haga análisis del agua en la red de distribución para ver, por ejemplo, si la composición de los elementos químicos que se han utilizado durante la fase de potabilización del agua son los que deben de ser, porque detrás hay personas”.
Queda claro que uno de los retos que hay en el mundo OT es que “no hay profesionales que vengan del mundo OT y que tengan conocimientos a su vez de ciberseguridad. La ciberseguridad para OT tiene que ser llevada a la práctica por profesionales de OT”, dice César Delgado.
En opinión de Andreu Cuartiella no se puede hablar de retos sin obviar “la consecuencia”. Explica que la cuando en el mundo IT no se aplica bien un parche y se para el servidor de correo, o se cae el ERP… dos horas después se puede recuperar el tiempo perdido. En el mundo OT “lo menos malo que puede pasar es que se pare la producción, que la planta deje de fabricar”, lo cual tiene una consecuencia económica importante, pero ni se están poniendo en riesgo la maquinaria, ni las personas.
“Empieza a ser habitual que el CISO tome la responsabilidad del mundo OT»
Antes de entrar en el detalle de la propuesta de valor de Rockwell en cuanto a la seguridad del mundo industrial aclara César Delgado Villalba que Rockwell no solo presta servicios de soluciones de ciberseguridad para productos de Rockwell; “nosotros fabricamos PLCs y hardware que instalamos en las fábricas. Pero no hacemos seguridad solamente para nuestro propio producto. Nosotros somos un prestatario de servicios, un integrador de soluciones que presta servicios de ciberseguridad a industrias que utilizan cualquier fabricante de automatización”.
Clasifica el directivo los servicios de ciberseguridad de Rockwell Automation, enmarcados todos ellos bajo la normativa NIS, en tres grandes áreas. Un primer Servicio de Consultoría y Asesoramiento “con el que se ayuda a los clientes a entender qué es lo que tienen que hacer y cómo lo tienen que hacer” y donde la compañía se encuentra con diferentes perfiles y niveles de madurez; “algunos no saben ni por dónde empezar y otros sí, pero no saben cómo”.
Una segunda área son los Servicios de Integración, que es el despliegue de soluciones, porque “hay clientes que no tienen las cualificaciones o conocimientos necesarios para desplegar estas soluciones en su propio entorno”. Habla César Delgado Villalba de despliegue de soluciones tecnológicas, pero también administrativas que ayudan a las organizaciones a organizarse para que haya responsables de la ciberseguridad dentro de la propia empresa.
El tercer pilar de la oferta de la compañía son los Servicios Gestionados, porque “una vez que sabemos lo que tenemos que hacer, y una vez que lo hemos implantado, hay que operarlo. De nada te sirve implantar una solución de detección de incidentes si no hay nadie que va a estar dando respuesta a las alertas”.
A la hora de ofrecer estos servicios de ciberseguridad en el mundo OT, ¿quién es vuestro interlocutor? “Empieza a ser habitual que el CISO tome la responsabilidad”, responde Andreu Cuartiella. Recuerda que hace unos años se presentaba una disyuntiva entre la gente de IT y la de ingeniería, pero que ahora es frecuente que el CISO sea el responsable de la ciberseguridad de toda la compañía, incluida la parte de OT.
Comenta Cuartiella que se llega a dar el caso de que muchas veces hay más endpoints que proteger en la red de OT que en la de IT. Y es que en una fábrica donde hay mucha automatización “podemos estar hablando de miles de dispositivos en la planta de producción”.
Comenta César Delgado que, aunque es cierto que se tiende a que el CISO tenga una visión global de cuál es el riesgo de la organización, tanto en el lado IT como en el lado OT, “la existencia de un rol específico para la ciberseguridad OT depende del nivel de madurez de la propia organización”. Añade que, “en estos procesos de madurez de las empresas, según IT va cogiendo responsabilidad sobre el ámbito OT, va queriendo llevar a la práctica los mismos procedimientos que ellos llevan haciendo en el lado IT al mundo OT. Pero el mundo OT no está preparado para llevar a cabo estos procedimientos de esta manera”. Un ejemplo de ellos es todo lo que tiene que ver con las actualizaciones e implantación de parches, que en el mundo industrial es tremendamente complicado, y a veces imposible.
Planteado el impacto que pueda tener 5G, u otras tecnologías que puedan estar por llegar, en el mundo OT, tienen claro Andreu Cuartiella que “el mundo industrial es conservador por defecto” y que “todas las tecnologías que van al mundo industrial tienen que ser cosas muy probadas, muy aceptadas”. Se suma que los ciclos de vida en los entorno de IT y OT son radicalmente diferentes.
“El IoT está rompiendo el paradigma de la ciberseguridad en el entorno industrial”, asegura César Delgado Villalba, añadiendo que se ha pasado de tener entornos aislados sin conectividad hacia el exterior, o una conectividad limitada a través de una DMZ, “a un entorno en el cual tienes cientos o miles de dispositivos que están comunicando directamente a través de Internet con una plataforma de analítica que está en la nube, por ejemplo. Vamos a un escenario totalmente diferente, a una arquitectura que va contra todas las reglas tradicionales del mundo OT, una arquitectura totalmente abierta de comunicación masiva hacia el exterior”.
En este nuevo escenario se apuesta por el modelo Zero Trust “como el mecanismo que nos va a posibilitar que estos entornos operen de manera segura”, dice César Delgado, añadiendo que es lo que permite que las políticas de privilegio mínimo “sean llevadas a cabo a lo largo y ancho de todos los activos de la planta” y “seguir avanzando en la digitalización de los entornos industriales”. Habla también el directivo de la relevancia de Zero Trust al dar protagonismo a la identidad, no solo de las personas, sino de los propios activos.
“El IoT está rompiendo el paradigma de la ciberseguridad en el entorno industrial”
Planteado si el IoT está teniendo, en los entornos industriales, el mismo impacto que tuvo la movilidad y el cloud en los entornos IT: difuminar ese perímetro que tan cuidadosamente crearon los firewalls, IPS y demás herramientas, dice César Delgado que “el IoT está rompiendo este perímetro de seguridad que se estaba ejerciendo dentro de la propia planta y nos estamos yendo hacia un modelo extendido en el cual el firewall, el proxy o la DMZ ya no son suficientes para proteger la planta”. En un entorno IoT en el que quienes se comunican con el exterior no son usuarios “se tienen que utilizar mecanismos de autenticación diferentes basados en certificados digitales”.
Con más o menos repercusión e impacto, lo cierto es que “llevamos sufriendo campañas, ataques enfocados específicamente al Industrial Control System desde los últimos 14 años”, dice Andreu Cuartiella. En ese, “goteo continuo de campañas de ciberataques” se ha visto que hay una serie de vulnerabilidades debido a la existencia de equipos antiguos, o equipos que no están parcheados. Una situación que ya no solo contempla que haya una cultura de ciberseguridad o no, sino una cuestión práctica: tengo que aplicar un parche, pero no puedo hacerlo hasta dentro de tres meses, que es cuando tengo la siguiente parada de producción.
Al final, cada incidente es un incentivo, un detonante, para que se invierta en programas de ciberseguridad e incluso se actualicen normativas y regulaciones, comenta Cuartiella.
