Hablar del mundo de cloud industrial suele generar reacciones muy diversas en el sector dependiendo tanto del rol que desempeña quien lo escuche como de otros factores, entre ellos las propias experiencias vividas. Si nos enfocamos en los profesionales de la ciberseguridad, seguramente encontraremos que los mayores sentimientos comunes son el de rechazo y el descreimiento por las promesas de las soluciones propuestas de cada vendor. Claramente, esos sentimientos se contraponen con la media de las áreas de negocio, que ven en el cloud la solución a sus problemas de inmediatez de los datos y de la toma de decisiones.
Sucede a menudo también que nos encontramos con algunos profesionales que creen que el cloud soluciona problemas que en el mundo OT (Operation Technology) no existen. O con aquellos que consideran que sin la nube no se puede pensar en un futuro ágil del sector…
Más allá de toda esta mezcla de sentimientos, experiencias y opiniones, la migración hacia el mundo cloud de la industria comenzó hace al menos 10 años y continúa su marcha; lenta, pero de forma continua. Primero desde la típica incursión de sistemas IoT (Internet de las Cosas, por sus siglas en inglés) en empresas más chicas, hasta la generación de gateways de IoT rugerizados en grandes implementaciones conectando nuestros sistemas y protocolos legacy a la nube haciendo las veces de pasarelas.
Este mercado ha crecido tan rápidamente que hasta los grandes fabricantes industriales que todos conocemos han optado por estrategias que apuntan a realizar inversiones en soluciones de software o en integraciones con gateways industriales, más que a reconvertir sus propios productos o protocolos propietarios.
Desafíos de la nube
Ir a la nube implica desafíos. Esto no es ninguna novedad, pero ¿cuáles son los principales? Seguramente muchos estarán de acuerdo en que, hoy en día, nos enfrentamos a:
- Un marco normativo y legislativo aún no del todo preparado.
- Organizaciones industriales sin una estrategia de migración clara.
- Tecnologías relativamente nuevas intentando ingresar en procesos muy maduros o de mucha relevancia para el negocio.
- Consultores y especialistas de esas nuevas tecnologías sin demasiado conocimiento del funcionamiento del sector industrial.
- Muchos casos de usos, pero no tantos como nos gustaría para dejarnos tranquilos debido a la variedad de escenarios del sector.
Y ¿en qué momento de nuestra carrera el arribo de una nueva tecnología al mercado tanto en el ámbito corporativo como en el ámbito industrial no nos presentó todas esas preguntas?
La experiencia adquirida con la evolución tan marcada de la tecnología en general nos ha llevado durante años a entender que la mayoría de los problemas de ciberseguridad son cíclicos. Es decir, que cuando pensamos que ya un tipo de problema no lo veremos más, aparece en una tecnología diferente. Por ejemplo, cuando pensamos que no veríamos problemas de path traversal en las web, los empezamos a ver en las aplicaciones de mobile (básicamente porque el ecosistema de desarrolladores e implementadores era nuevo), y así con cientos de debilidades y plataformas…
‘Cloud’ industrial segura
Es muy sencillo pensar que no hay documentación suficiente para trabajar en un modelo de cloud industrial segura. Pero si pensamos en estas situaciones que mencionaba, veremos que en realidad contamos con mucha más base que la que tuvimos en otras situaciones; y que, además, tenemos la posibilidad de aplicar soluciones de seguridad de manera más ágil que lo que realmente podemos hacer en nuestras infraestructuras.
En la nube, desplegar soluciones de ciberseguridad como un antiDDoS, gestión de identidades, sistemas de detección de intrusos, sistemas antifuzzing, segmentación y microsegmentación, etc., está tan solo a unos ‘clics’ de ratón. Pero si quisiéramos desplegar todo eso en la propia red de OT serían proyectos gigantes de mucho tiempo.
A su vez, aplicar buenas prácticas como las guías de configuración segura de Azure IoT o las de AWS IoT (como IoT Lens Checklist del AWS Well Architected Framework) es relativamente sencillo. Contamos con documentación y modelos de arquitectura propuestas, con diseños para edge computing o cloud computing based, con herramientas de auditorías y compliance para estos entornos. Por tanto, en realidad hay mucho más diseño de seguridad en esos modelos que los que implementamos y desplegamos en las redes de OT.
La migración hacia el cloud de la industria comenzó hace al menos 10 años y prosigue su marcha; lenta, pero continua
No obstante, con todo esto no intento demostrar que es un camino bonito y fácil. Sin duda, no lo es. Es más, deberemos tener en consideración que nuestros gateways cumplan con ciertos requisitos de seguridad, que las configuraciones del SIEM identifiquen casos de uso requeridos por OT y por IT y que permitan notificar a los diferentes stakeholders según corresponda, entre otras cosas.
Solo intento compartir la importancia de no sesgar nuestras opiniones, de no creer que en la IEC-62443 no hay requisitos aplicables a la nube. Porque, de hecho, todo lo que menciona sobre identidad, autenticación, segmentación, etc., es totalmente aplicable si incorporamos a la nube como una zona más con su correspondiente conducto.
Es más, el mercado nos empuja hacia la cloud. Puede no gustarnos del todo, pero no podemos decir que no contamos con requisitos, herramientas e información suficiente como para analizar cada caso con la seriedad que amerita. Ir a la nube no es conectar un dispositivo y ya. Es hacer una reingeniería de mi arquitectura de red. Es redefinir mis controles y mi esquema de gestión de riesgos. Es repensar y aceptar que mi red se parecerá cada vez más a un servicio SaaS y menos a una red OT tradicional. Por lo tanto, tendremos que aprender a convivir con ello y, sobre todo, a gestionarlo.
