Sistemas de control de procesos Automática e Instrumentación
Marzo 2012 / n.º 438
n Fuente: Emerson.
48
Respecto de la seguridad en las redes, desde Rockwell nos comentan que los servidores de seguridad deben dotarse con detección de intrusos y sistemas de prevención de intrusiones (IDS/IPS) y es necesaria una protección integral de los equipos de red como switches y routers. Hay que expandir el diseño de seguridad para la resistencia del producto y del sistema. Es importante diseñar redes de comunicaciones seguras, utilizando firewalls y zonas DMZ. Por otra parte, es necesario fortificar los equipos incluyendo una buena gestión de parches y software antivirus, así como la eliminación de aplicaciones, protocolos y servicios no utilizados. Las aplicaciones deben ser autentificadas y autorizadas y respecto a los dispositivos hay que tener una rigurosa gestión de los cambios y restringir el acceso a los mismos. También debe habilitarse la seguridad en los accesos remotos y definir a los usuarios qué es lo que pueden hacer y desde qué equipos. Otro aspecto a tener en cuenta es la protección de la información confidencial tales como las recetas y fórmulas así como información histórica y de rendimientos. Finalmente, es necesaria una prevención y detección de posibles sabotajes. Es importante la protección de componentes (configuración de dispositivos, set-points, etc.) y una detección de cualquier cambio por parte de usuarios no autorizados. Desde Emerson nos señalan que
dotan a todos sus sistemas de control de unas características mínimas de seguridad, y respecto a las redes recomiendan siempre a sus clientes que la red de control permanezca en todo momento aislada del exterior, dotando a la misma de routers con cortafuegos para establecer cualquier comunicación con equipos de terceros o incluso con redes exteriores (corporativas, etc.). Por otra parte, a las aplicaciones del sistema de control solo se accede por medio de perfiles de usuario, con contraseñas específicas, cada uno de ellos con unas limitaciones en función de las necesidades (operación, configuración, mantenimiento, etc.) y, finalmente, es obligatoria la instalación de una estación de gestión del software antivirus que se mantiene regularmente actualizado con los últimos parches probados regularmente por los técnicos de Emerson. Desde la perspectiva de los usuarios Desde Schneider Electric nos comentan que los sectores que están avanzando más en el ámbito de la ciberseguridad son aquellos que necesitan tener una interconexión entre la red de control industrial y la red informática de la empresa. Empezaron siendo las compañías de servicios públicos (electricidad, agua, gas), luego el sector de las infraestructuras (metro, ferrocarril, aeropuertos, etc.), y podemos decir que esta preocupación ya ha llegado hasta la industria en general (de
proceso y manufacturera). Pedro M. Redondo afirma que la ciberseguridad se ha convertido en un tema crítico. Actualmente la parte que se refiere a la ciberseguridad es la parte que más está cambiando a lo largo del proyecto en lo que se refiere a la arquitectura. Yo creo que es debido a que el conocimiento no es muy extenso ni entre los usuarios ni entre los suministradores, lo que provoca que se cambie varias veces tanto el tipo de elementos (routers, firewall, switches) como su configuración. En el caso de Repsol YPF, la seguridad se contempla desde tres perspectivas: • Protección contra ataques malintencionados específicos para tomar el control de la instalación o boicotear el control y/o seguridades. • La infección con virus generales. Es decir, infecciones no dirigidas específicamente a nuestra instalación pero que pueden acabar llegando a ella. • La saturación de las comunicaciones debida a peticiones descontroladas de datos (procedentes de sistemas de históricos, gestión de la producción, etc.). Respecto a la primera, su criterio general es el aislamiento total de los sistemas de control y seguridades de las redes ofimáticas o de gestión de la compañía. Si esto no es posible, se crean puntos de interconexión controlados entre los sistemas de gestión de la compañía y los de control. En realidad, desde los sistemas de gestión de la compañía solo se tiene acceso a bases de datos históricos, no a datos en tiempo real, ni por lo tanto al control de los dispositivos de campo. Respecto a la posible infección con virus generales, se lleva a cabo una gestión adecuada y prioritaria de actualización de los antivirus, al igual que cualquier otro sistema crítico de gestión en la compañía, afirma Redondo. En relación con la posible saturación de las comunicaciones, se realizan pruebas exhaustivas de comunicaciones antes de ponerlas en servicio, así como auditorías