Ciberseguridad con MB connect line

¿Qué distingue a MB connect line, cuando se trata de ciberseguridad? …¿y por qué es tan importante?

MB connect line es un proveedor de productos y soluciones de OT. Nuestros clientes son fabricantes de maquinaria, fábricas, infraestructura, así como otros proveedores de automatización, dispuestos a mejorar sus propios productos con nuevas características y nuevas capacidades. Sin embargo, aunque construimos nuestra experiencia con los casos de uso en nuestros clientes de OT, nuestra principal competencia es la seguridad del software de TI y el desarrollo de sistemas integrados seguros.

Nuestros productos, en particular (my)mbCONNNECT24, el portal de servicios remotos, son creados y mantenidos por un equipo de ingenieros formados y experimentados, con un profundo conocimiento de los requisitos de seguridad de IT y de las necesidades del flujo de trabajo de OT.

El mismo cuidado para cumplir con los requisitos de IT se aplica a la satisfacción de las necesidades de OT. Todos hemos visto imágenes típicas que muestran que, si la seguridad de TI trae obstáculos adicionales para el usuario, será ignorada. La herramienta tiene que ser manejable. Esto es especialmente cierto en situaciones de estrés, como cuando el personal de operación encuentra un problema en la producción. La simplicidad, la flexibilidad y la autonomía se convierten entonces en los criterios clave.

Desde el punto de vista de IT, ofrecemos una solución segura y mantenida y, desde el punto de vista de OT, una solución flexible que preserva la autonomía operativa.

Esta forma de considerar la seguridad informática, en la estructura de nuestra empresa, en el proceso de diseño de nuestros productos y a lo largo de toda la vida útil de los mismos, hace que la línea MB connect se diferencie mucho y nos permite introducir en el mercado de la automatización industrial productos y soluciones que incorporan la seguridad informática de última generación, el eslabón perdido para la integración segura de IT/OT.

La laguna de conocimiento – Conveniencia, coste y… seguridad – Cómo detectar un producto (más) seguro – Expertos en seguridad de IT – Agencias de seguridad gubernamentales – Seguridad como trabajo en equipo – Tenemos un producto seguro, ¿entonces qué?

En tan sólo 15 años, las Tecnologías de la Información (IT) han cambiado profunda y duraderamente la forma en que se gestiona la producción en las plantas de producción. Esta rápida adopción de la IT por parte de la industria muestra la importancia de los beneficios que iban a conquistar.

En el pasado, cada proveedor tenía su propia solución. Tuvimos que elegir con cuidado y hacer los compromisos necesarios porque los sistemas de interconexión eran complejos y caros, cuando era posible. Hoy en día, las nuevas características y funcionalidades, que fueron aportadas por la adopción de las IT en la automatización industrial, no sólo permitieron desarrollar, mejorar y simplificar las soluciones de cada proveedor, sino que también cambiaron la visión de los usuarios sobre los productos ofrecidos por los proveedores de automatización: la facilidad de integración y la interoperabilidad se han convertido en una expectativa estándar.

En este aspecto, la convergencia de la red, desde los sistemas de comunicación serie (semi)propietarios hasta una arquitectura Ethernet integrada, revolucionó la forma en que se implementan y gestionan los procesos de producción. Nos hizo entrar en la cuarta revolución industrial.

La falta de conocimientos

La única cosa que hizo que las Tecnologías de Operación (OT) no estuvieran preparadas es la desventaja de la integración de la red : aunque todos nos centramos en los beneficios, no nos dimos cuenta de que la IT estaba estableciendo conexiones fáciles e incontroladas, también a través de la frontera física que asegura la fábrica, tanto por aire como a través de líneas telefónicas, faxes, acceso a Internet,… Ese PLC, que solía estar al final de una red serie (semi)patentada, se encuentra ahora en una dirección IP en una red, conectada a otras redes, donde las personas leen correos electrónicos, navegan por los sitios web, usan almacenamiento extraíble y están conectadas, directa o indirectamente, a Internet.

Sin ser demasiado filosóficos, las IT e Internet son herramientas formidables y, como cualquier otra herramienta, cuando están en las manos equivocadas, se convierten en una amenaza. Lo que hace la diferencia es sólo la intención, el propósito de la persona que la usa. Cuanto más poderosa sea la herramienta, más molestias o devastación puede causar, cuando es utilizada por personas malintencionadas.

Las empresas más grandes cuentan con un departamento de IT interno, con personas competentes que entienden las tecnologías involucradas y pueden evaluar el peligro y las amenazas. Es más complicado para las empresas más pequeñas, con presupuestos más ajustados: tienen que tomar decisiones difíciles y aquí es donde la brecha de conocimiento duele.

Todos utilizamos tecnologías que no comprendemos del todo, lo hacemos todos los días: electricidad en nuestros hogares, coches, ascensores… Tal vez, como ingenieros, tengamos una buena idea de cómo funciona, ¿pero eso nos daría la confianza suficiente para sentirnos a gusto dentro de una subestación para la distribución de electricidad? ¿Podemos arreglar los coches modernos nosotros mismos? ¿Conocemos los procedimientos para mantener o inspeccionar los ascensores de manera segura? No es necesario que lo hagamos: existen normas y reglamentos, existen procedimientos y controles…. Podemos confiar en las restricciones legales, los procesos, los fabricantes y en personal capacitado y certificado para que nos lo asegure, de modo que podamos utilizar la tecnología con total seguridad.
 
Cuando se trata de tecnologías de IT y de Internet, sin embargo, no hay más reglas…. Se han invertido muchos esfuerzos en hacerlas fáciles de usar, pero ¿qué hay de la seguridad? La mayoría de los usuarios de IT no tienen ni idea de la tecnología que utilizan, hasta el punto de que ni siquiera pueden evaluar los riesgos. No pueden entender el vector, cómo podrían estar en riesgo. No pueden calcular el impacto del riesgo, lo que realmente está en juego.

De la misma manera que se necesitan expertos para establecer normas y procesos de seguridad, se necesitan expertos que tengan tanto el conocimiento como la práctica de asegurar las tecnologías de TI y de Internet para establecer normas y procesos para un uso seguro.

Comodidad, coste… y seguridad

Hoy en día, usted puede diseñar un producto de OT con un objetivo de conveniencia, e incluir una gran cantidad de herramientas de IT. Puede diseñar un producto con un objetivo de coste, limitar el esfuerzo en el proceso de diseño y acortar el tiempo de implementación de I+D tanto como sea posible.

Fácil y barato…. Que es lo que muchos usuarios piden…. Ya que esos mismos usuarios no pueden evaluar los riesgos asociados a su uso de la tecnología, ni siquiera consideran la seguridad…. Que es la razón por la que encontramos en el mercado PLCs con un servidor web embebido muy antiguo y vulnerable, nunca actualizado… Que es también la razón por la que encontramos en el mercado soluciones de acceso remoto con una implementación de OpenVPN muy antigua, nunca actualizada tampoco… O por la que encontramos HMI’s que colapsarían su aplicación completa, en excepciones desatendidas en el sitio web embebido,…

Alternativamente, usted puede diseñar un producto con un objetivo de seguridad, y eso no necesariamente perjudica el coste o la conveniencia, pero implica un proceso de diseño y fabricación dramáticamente diferente.

De la misma manera que los clientes de automatización podrían imponer una integración e interoperabilidad sencillas a sus proveedores, la seguridad de IT puede convertirse en la próxima expectativa estándar del mercado de la automatización.

¿Cómo detectar un producto (más) seguro?

En la búsqueda de productos de OT más seguros, los clientes y compradores de automatización buscan razones y consejos de expertos. Tradicionalmente, la industria trabaja con certificaciones: si un producto está certificado para esto o para aquello, tengo la promesa de un experto reconocido de que el producto cumplirá con las especificaciones del certificado. Es una garantía, también desde el punto de vista legal y de responsabilidad.

El problema con las certificaciones en seguridad de IT es que, si se necesita alguna garantía, es probable que las especificaciones cambien cada día, por dos razones específicamente relacionadas con el contexto mismo de la seguridad de IT: las vulnerabilidades y la piratería informática. Nadie sabe todavía cuál será la próxima vulnerabilidad o el próximo caso. Sólo sabemos que, estadísticamente, en 100.000 líneas de código, hay alrededor de 600 bugs de los cuales entre el 1% y el 5% (es decir, entre 6 y 30) deben ser considerados como una vulnerabilidad. Por lo tanto, es una carrera para encontrarlos y arreglarlos antes de que puedan ser utilizados. Por otro lado, el hacking es una expresión de creatividad, se trata de encontrar nuevas formas y hacer que un producto haga algo inesperado y útil para el propósito del hacker. Depende así de la experiencia, imaginación, presupuesto y… tiempo del hacker. Con el perfil de los hackers modernos, siendo parte de organizaciones profesionales o soldados de los ejércitos cibernéticos de los estados nación, podemos asumir que tienen recursos virtualmente ilimitados.

Podríamos decir que, como un incidente de seguridad es el resultado de un fallo en el proceso de diseño, implementación, fabricación, configuración o instalación del producto, a menos que la certificación se ocupe efectivamente de estos procesos, será en su mayor parte inútil y sólo mostrará la seguridad del producto, en su embalaje original, hasta el día antes de su certificación.

Puede ser, posiblemente, una indicación de seguridad, en algunos casos, pero es dramáticamente insuficiente e impondría congelar el hardware y el software del producto. Se necesitaría una nueva certificación para cada parche y cada actualización de producto, lo que ralentizaría la reactividad de los fabricantes frente a las ciberamenazas. Por eso, hasta ahora, en MB connect line, no intentamos certificar nuestros productos. Preferimos abordar directamente el proceso de diseño y ajustar la estructura de nuestra empresa, para poder innovar y diseñar nuestros productos con seguridad desde el principio y durante toda su vida útil.

Expertos en seguridad informática

Para los expertos, el conocimiento no es suficiente: un experto necesita práctica en su campo de especialización. Los expertos necesitan una cooperación continua con otros expertos para compartir información y actualizaciones. También innovan para optimizar y mejorar los productos en sus campos.

En MB connect line, entendimos que la seguridad informática es una carrera, entre los que hacen puertas y cerraduras y los ladrones que intentan romperlas. Como en todas las carreras, hay que entrenar y mantenerse en forma. Esta es la razón por la que tenemos nuestro personal de investigación y desarrollo entrenado en métodos de hacking y programación segura. Elegimos los cursos T.I.S.P. y T.P.S.S.S.E. de nuestro socio de seguridad Teletrust. Se trata de formaciones certificadas por el TÜV, con examen y evaluación, que abarcan el diseño seguro, la codificación, las pruebas, la implementación, las metodologías y los requisitos,… En realidad, se trata de procesos de formación completos y el ingeniero debe demostrar cada año que los distintos elementos de la formación se han utilizado en el trabajo. Las actualizaciones de la formación son obligatorias al menos cada tres años.

El propietario y CEO de MB connect, Siegfried Müller, también representa a la organización Teletrust en la European Cyber Security Organization (ECSO), donde participa activamente en varios grupos de trabajo y contribuye a crear una industria más segura en Alemania y Europa.

Agencias gubernamentales de seguridad

Afortunadamente, la seguridad informática de los activos industriales, las fábricas y las infraestructuras también despierta el interés de los ‘chicos buenos’ y de las agencias de ciberseguridad de los gobiernos de todo el mundo, que publican su trabajo y sus recomendaciones para productos e instalaciones de automatización más seguros. Pocas veces tienen el poder suficiente para convertirlas en obligaciones legales, dejando al consumidor inconsciente en sus propias manos, pero por lo general imponen criterios estrictos para los proyectos gubernamentales y para los operadores críticos del estado, incluso del sector privado.

MB connect line, como proveedor de la industria, optó por seguir sus recomendaciones, no sólo en los procesos de nuestra empresa, sino también de manera muy práctica, como forma de innovar para la seguridad de nuestros productos:
– Uso de un servidor de citas centralizado para la gestión de dispositivos de acceso remoto y autenticación de usuarios y derechos de acceso : (my)mbCONNNECT24 es este servidor de citas que puede utilizar como una solución SAAS pública, gestionada por nosotros o que puede utilizar como un software con licencia, que funciona de forma privada, autónoma, bajo el control de su organización y de su departamento de IT.
– Las conexiones de acceso remoto deben ser controladas y habilitadas por personal local, sólo durante la duración y el propósito del mantenimiento remoto: por eso hay una llave en mbNET.RoKey y dos entradas digitales en el router mbNET. Ofrecen un control de acceso remoto de 3 niveles: sin acceso (sin enlace ascendente al servidor VPN), acceso al router (sin acceso LAN) o acceso de mantenimiento remoto al router y a los dispositivos LAN. La entrada digital en mbNET.mini sirve para el mismo propósito con sólo dos opciones: acceso (enlace ascendente VPN activo) o sin acceso (sin enlace ascendente VPN).
– Se debe informar al personal local cuando una sesión de acceso remoto está activa : las salidas digitales de los routers MB pueden configurarse para que activen un relé, una baliza o una notificación en el HMI.
– La contraseña preprogramada debe ser única para cada dispositivo fabricado : el tiempo ha acabado para las contraseñas predeterminadas como admin/admin. Todos los mbNET y mbNET.RoKey ya están equipados con contraseñas únicas. mbNET.mini seguirá en breve.
– Firmar el código de forma criptográfica, para asegurarse de que no ha sido manipulado: que es precisamente lo que hacemos con cada uno de nuestros firmware.
– Utilice un elemento de seguridad de hardware como raíz de confianza: todos los mbNET y mbNET.RoKey incrustar un chip seguro en la placa base, que se utiliza para asegurar la secuencia de arranque y cifrar todas las contraseñas y datos.
– Es imprescindible desarrollar un modelo de segmentación de red que permita la separación de las diferentes zonas : es por eso que desarrollamos mbNETFIX, para complementar los esfuerzos de IT para asegurar la fábrica, con capacidades de OT para controlar los accesos a la red interna de las máquinas y proteger los equipos heredados.

La seguridad como trabajo en equipo

Todos tenemos nuestra propia área de experiencia y la seguridad sólo puede lograrse cuando los expertos cooperan activamente entre sí. Sólo entonces podremos beneficiarnos de las competencias y del trabajo de otros expertos. En este aspecto, las recomendaciones de ENISA, BSI, ANSSI, Homeland Security y otros ayudan a crear productos y soluciones más seguras.

La seguridad exige un cambio y un enfoque más cooperativo en la forma de crear los productos. Comienza con el diseño del producto, asegurándose de que el caso de uso y los requisitos de seguridad estén claramente definidos. Demasiadas debilidades son el resultado de la elección de tecnologías o arquitecturas, realizadas en una fase muy temprana de la fase de desarrollo y en las que no se dio suficiente prioridad a la seguridad, lo que dificultó o imposibilitó la aplicación de parches a posteriori.

Tenemos un producto seguro, ¿entonces qué?

Una de las consecuencias de que la seguridad de IT sea una carrera entre hackers creativos y diseñadores conscientes de la seguridad es que el trabajo nunca se acaba. Sólo se gana hasta la próxima vez…. No es suficiente con haber diseñado y creado productos seguros, hasta ahora, es sólo teoría. Uno necesita ver ahora cómo se comportará en situaciones de la vida real.

Es entonces cuando entran en juego los testers de penetración y los hackers éticos, los ‘chicos buenos’. Intentarán activamente entrar en el producto. Intentarán perjudicar su usabilidad, afectar sus operaciones. Entonces sabrá cómo se comporta el producto y qué tan buena fue su tarea sobre seguridad.

Entre septiembre de 2017 y noviembre de 2018, MB connect line hizo que tres testers de seguridad de IT diferentes realizaran cuatro ejercicios de pruebas, tratando de hackear nuestras soluciones de acceso remoto. Dos de ellos encontraron y documentaron algunos comportamientos que consideraban vulnerabilidades. Nuestro equipo de respuesta de seguridad analizó rápidamente sus informes y se implementaron varios cambios.

Así se puede preservar la seguridad de un producto a largo plazo: realizando pruebas regulares, de diferentes proveedores y fuentes de seguridad y teniendo, en la empresa, una estructura dedicada para gestionar sus comentarios.
Utilizamos los servicios tanto de profesores universitarios como de empresas de seguridad informática de primer nivel. Nuestra cooperación fue excelente y la línea MB connect fue elogiada por su capacidad de respuesta y su enfoque de seguridad informática.