La cada vez mayor conectividad en la industria, en contraste a soluciones más tradicionales en las que los sistemas de control se encontraban aislados, ha generado muchos beneficios en la gestión de los procesos. Sin embargo, también ha provocado la aparición de nuevas amenazas, algunas de las cuales ya comentamos anteriormente, cuyas consecuencias pueden ser fatídicas.
El alcance de la IEC 62443 es precisamente la seguridad de los sistemas de automatización y control industrial, o IACS (Industrial Automation and Control System), tratando de hacer frente a las amenazas asociadas a ellos. Dentro de los IACS se incluye cualquier elemento que intervenga en el funcionamiento del proceso industrial y que, por tanto, pueda influir en su operativa.
¿QUÉ ES Y PARA QUÉ SIRVE?
La IEC 62443 es una serie de normas cuyo objetivo principal es facilitar el tratamiento de las vulnerabilidades de los IACS frente a ataques informáticos y la aplicación de medidas que las mitiguen. Desde sus inicios, su propósito ha sido establecer un nexo entre la ciberseguridad y los IACS, definiendo una serie de requisitos mínimos para lograr niveles de seguridad cada vez más rigurosos que ayuden a mejorar la seguridad en entornos industriales.
Se basa en los conceptos definidos anteriormente por la ISA-99, cuyos orígenes se remontan a 2002, siendo ese el año en que la ISA (International Society of Automation) comenzó a abordar la necesidad de definir estándares para la ciberseguridad industrial. Con el objetivo de alinear la nomenclatura de la ISA-99 a la de la IEC (International Electrotechnical Commission), en el año 2010 la ISA-99 pasó a denominarse ISA-62443.
Esta serie de normas pretende incrementar la protección de los IACS durante todo su ciclo de vida. Es por ello que está dirigida a tres roles relacionados de manera directa con las soluciones automatizadas y que son:
- Los propietarios que trabajan con ellas y las mantienen.
- Los integradores de sistemas que se encargan de su diseño y despliegue.
- Los proveedores de productos que desarrollan y mantienen componentes utilizados en ellas.
¿CÓMO SE ORGANIZA?
Como se ha comentado anteriormente, el público objetivo de la IEC 62443 son los propietarios, los integradores y los fabricantes de IACS. Cada uno de ellos tiene un rol muy específico y distinto al de los otros, por tanto, las pautas que deben recibir son también específicas y distintas. Para ello, la norma IEC 62443 está compuesta por un conjunto de documentos, los cuales están clasificados en 4 categorías, tal y como se muestra en la figura siguiente:
1. General: En esta categoría se definen los conceptos fundamentales, los modelos de referencia y la terminología utilizados en el resto de documentos.
2. Políticas y procedimientos: Aquí se concreta una guía para construir y mantener un programa de gestión de ciberseguridad y políticas de seguridad.
3. Sistema: En esta categoría se determinan las tecnologías de protección y los requisitos para lograr el diseño y despliegue de sistemas seguros.
4.Componente: Es donde se definen los requisitos técnicos de ciberseguridad que deben cumplir los proveedores de IACS durante el ciclo de vida de desarrollo de sus productos.
¿QUÉ ME PUEDE APORTAR?
Lo primero que hay que tener en cuenta es que la IEC 62443 nos aporta indicaciones de qué es lo que debemos hacer pero no proporciona especificaciones detalladas de cómo hacerlo.
La IEC 62443 considera una serie de conceptos, como por ejemplo las zonas y conductos (relacionados con la segmentación de la red), procesos de evaluación de riesgos, ciclo de vida de productos Secure by design, gestión de parches y actualizaciones o la formación del personal entre otros muchos. Lo que pretende es disponer de una estrategia de Defensa en profundidad, la cual consiste en aplicar seguridad a diferentes ámbitos (personas – procesos – tecnología) y capas para proporcionar una redundancia en caso de ataque que permita reducir los riesgos.
NIVELES DE SEGURIDAD
Define cinco niveles de seguridad, del 0 al 4, que miden la resistencia contra diferentes clases de ataques, cada uno con un número de requisitos mayor que el anterior. Los requisitos a cumplir dependerán del nivel de seguridad que se pretenda alcanzar, conocido como nivel de seguridad
Existen laboratorios que certifican componentes y sistemas industriales para asegurar que cumplen los requisitos especificados por la IEC 62443 para un determinado nivel de seguridad. Por ejemplo, uno de estos laboratorios es ISASecure, el cual dispone de listas de componentes y sistemas certificados que facilitan el proceso de selección de productos por parte de las empresas.
La IEC 62443 proporciona un marco de referencia para la ciberseguridad en los sistemas industriales. Por tanto, el cumplimiento de los criterios que aporta mejorará la seguridad de los entornos industriales, facilitando la identificación de sus vulnerabilidades y las medidas para mitigarlas.
La IEC 62443 está compuesta por varias normas y a primera vista puede llegar a intimidar de qué manera abordarla. Sin embargo, debido a la organización y el contenido de estas normas, probablemente solo algunas de ellas sean aplicables a su empresa.
En ITCL Centro Tecnológico hemos asesorado a empresas en el cumplimiento de la IEC 62443, con el objetivo de incrementar la seguridad y la disponibilidad de sus procesos y sistemas conectados.
Ingeniero Informático. Responsable de las soluciones de Ciberseguridad dentro del Grupo de Investigación Electrónica Aplicada e Inteligencia Artificial de ITCL.
Especialista en seguridad informática para Ciberseguridad empresarial y en tecnologías avanzadas. Sus principales trabajos se centran en el diseño y el desarrollo de nuevos sistemas electrónicos de diversa aplicación industrial, basados en microcontroladores y microprocesadores, con especial relevancia en la investigación de vulnerabilidades en dispositivos IoT así como en su protección frente a ataques.