La gran oportunidad de los sistemas y máquinas conectados en red de forma inteligente reside en la personalización de los productos a las necesidades del mercado, la alta calidad y los bajos costes unitarios. Pero sobre todo un funcionamiento seguro y permanente, que es garantizado por una protección informática fiable. Para conseguirlo, los fabricantes, operadores y los proveedores de componentes deben colaborar.   

Más allá de los límites del ámbito particular, la Industria 4.0 requiere una cooperación intensiva entre los múltiples actores de las etapas productivas. Lo que ya se ve como algo normal en nuestra vida privada, como por ejemplo la banca on-line o pedir comida a domicilio, ahora también se utiliza de forma generalizada en la industria. Las máquinas, los sistemas y la logística digitales se comunican directamente entre sí y con las personas involucradas.

La Industria 4.0 requiere una cooperación intensiva entre los múltiples actores de las etapas productivas

La digitalización puede ayudar a que la producción sea más eficiente y rentable, pero cuanto más se extiende, más habituales y claros son los potenciales riesgos y peligros asociados a su uso. Está claro que ya no son solo las personas las que necesitan una buena protección frente a las máquinas, como describe ampliamente el estándar SIL. Sino que hoy en día, las máquinas también deben estar protegidas de las personas.

Dos tipos de seguridad

Es probable que muchos operadores de plantas, especialmente en el sector químico y petroquímico, ya conozcan el nivel de integridad de seguridad, conocido como SIL (Safety Integrity Level). Es más, puede que la norma correspondiente, IEC 61508, ya ha llegado a formar parte de su día a día. 

Dondequiera que un fallo pueda acarrear costes elevados o peligros para la integridad física o del entorno, el nivel de seguridad SIL evalúa las opciones para reducir el riesgo según la fuente de peligro. Sin embargo, a diferencia de la Directiva 2006/42/CE para equipos, que ya se aplica de manera generalizada, la seguridad informática en el entorno industrial es todavía un territorio inexplorado en muchos entornos.

La llegada de las tecnologías digitales no solo conlleva un importante valor añadido, sino también riesgos

Antes, las áreas informatizadas, normalmente las oficinas, estaban estrictamente separadas de las áreas de proceso. Actualmente, debido a la creciente conexión en red de los dos sistemas, es casi imposible mantener dicho patrón. Aunque solo sea porque las máquinas utilizadas en el ámbito operativo o productivo tienen una vida útil mucho más larga que en la ofimática, vale la pena realizar evaluaciones de riesgos más exhaustivas y elaborar un concepto que puede conformar la base para unas medidas importantes en las próximas décadas.

La vida cotidiana nos muestra el camino

La vida cotidiana en la oficina nos enseña cuán importante es una protección cibernética efectiva: se envían correos electrónicos, se intercambia información, datos, documentos, etc. Y las empresas se protegen cada vez más contra los ataques cibernéticos, sobre la base de la ya establecida ISO 27001 para las tecnologías de la información (IT).

Sin embargo, la evaluación de las situaciones de riesgo no se puede extrapolar directamente al ámbito de las tecnologías de la operación (OT, por sus siglas en inglés). A diferencia de las oficinas, las plantas industriales funcionan de manera significativamente más compleja y en diferentes capas o niveles. Los sensores envían valores medidos a pasarelas y controladores, que a su vez envían información y valores a interfaces hombre-máquina. 

Todos los datos se agrupan en sistemas de producción y mantenimiento, desde donde finalmente se utilizan en el área del IT. La tecnología operativa asociada es en correspondencia altamente más compleja, ya que incluye todo el software y hardware que se utiliza para monitorizar y controlar los sistemas y las máquinas.

Mucho valor añadido y aún más riesgo

De forma similar a la situación en las oficinas, la llegada de las tecnologías digitales no solo conlleva un importante valor añadido, sino también riesgos. Con los complejos procesos en red y las cadenas de suministro, se generan constantemente enormes flujos de datos entrelazados con el flujo de materiales entre fabricantes, proveedores, proveedores de servicios y clientes. 

Esto significa que los ordenadores, las máquinas y los sensores forman parte de la red y, por lo tanto, son más vulnerables a los ataques de ciberdelincuentes de todo tipo. Esto se aplica a todos los sectores y aplicaciones, porque los peligros no se detienen cuando se trata de empresas de tratamiento o suministro de agua, monitorización de tuberías, cargueros o silos de almacenamiento.

Para lograr una seguridad integral, dicha seguridad debe extenderse mucho más allá de la planta en sí. Los componentes incorporados, como los sensores de nivel o los instrumentos para medir la presión, también deben cumplir con los estándares de seguridad deseados. Por lo tanto, parte de la filosofía de VEGA es acompañar el desarrollo de nuevos productos con un paquete de seguridad integral desde el inicio.

En el caso del nuevo sensor de nivel radar, el 6X, la seguridad de la IT comienza desde el minuto cero del proceso de desarrollo del producto. En consecuencia, el sensor cumple con la norma IEC 62443 e incorpora las funciones de seguridad más modernas, que ofrecen a los usuarios una base segura para conceptos de red protegidos contra posibles ataques.

Análisis temprano

Para el jefe de producto de VEGA, Jürgen Skowaisa, es esencial tener en cuenta los aspectos de seguridad en los nuevos productos lo antes posible. “Para cumplir con las estrictas normas de ciberseguridad, los requisitos deben tenerse en cuenta al inicio de un desarrollo, ya que implementarlos posteriormente es prácticamente imposible”, según el experto.

Para ello, en primer lugar, se definieron los requisitos de seguridad para el hardware y el software necesarios en la nueva generación de sensores VEGAPULS 6X. Se realizó un temprano y exhaustivo análisis de amenazas que sirvió para identificar los posibles peligros y puntos débiles del diseño, de modo que se pudieran considerar e integrar las contramedidas más eficaces durante el desarrollo. 

A diferencia de las oficinas, las plantas industriales funcionan de manera mucho más compleja y en diferentes capas o niveles 

Cada fase del desarrollo del producto no solo se planificó y evaluó cuidadosamente para comprobar su viabilidad, sino que también se documentó de forma comprensible para que, finalmente, las pruebas y la posterior certificación del producto por un organismo independiente conformen el paquete completo.

Los sensores radar VEGAPULS 6X están preparados para defenderse de varios tipos de ataques. Están protegidos ante situaciones como la infiltración no autorizada en la comunicación. También se ha tenido en cuenta la manipulación de la información o el ataque a la funcionabilidad de todo el sistema. 

En general, hay tres ámbitos que merecen especialmente ser protegidos en un sistema holístico: la confidencialidad de los datos, la integridad del sistema y de todos los participantes, y la alta disponibilidad del sistema.

Un caso para un equipo especial

Estos nuevos sensores están preparados para una Industria 4.0 segura. La razón radica en numerosas décadas de experiencia en la tecnología de medición de nivel y de presión y gracias al contacto directo con los diferentes sectores de la automatización de procesos, la empresa se basa en su conocimiento directo del proceso.

La seguridad informática en el entorno industrial es todavía un territorio inexplorado en muchos entornos 

Pero en un mundo digital tan cambiante como en el que se trabaja actualmente es de igual importancia el diseño para una instrumentación segura, como también lo es estar al día con las amenazas cambiantes del entorno. 

Y para poder reaccionar de forma proactiva ante futuros cambios y desafíos, un equipo interno multidisciplinar, el PSIRT (Product Security Incident Response) acompaña a los sensores y sus usuarios en aplicaciones reales. Este equipo se encarga de las deficiencias en la seguridad de la TI, encuentra y cierra posibles brechas y comprueba los problemas notificados. 

En la práctica, su evaluación de las nuevas amenazas no solo deriva en actualizaciones, sino también en recomendaciones e información importantes para todos los participantes.

El primer sensor radar certificado del mercado

Con el VEGAPULS 6X, VEGA ha creado el primer sensor de nivel radar desarrollado y certificado según la norma IEC 62443. Por lo tanto, las directrices de seguridad correspondientes están documentadas para cada uno de los instrumentos y forman parte del alcance de suministro.

El concepto, que se conoce como estrategia Defense in Depth (defensa en profundidad), proporciona toda la información importante sobre cómo el producto se integra, configura y mantiene de forma segura conforme a las directrices. “Básicamente”, afirma Skowaisa, “a la hora de elegir un sensor no solo se debe tener en cuenta el nivel de seguridad general más alto existente, sino que el nivel seleccionado y las características del sensor deben coincidir al máximo con el concepto de seguridad del sistema”.

Norma IEC 62443 en el sector industrial

En el sector industrial, la norma IEC 62443 combina los criterios decisivos y específicos de seguridad IT para los sistemas de control y automatización industriales en todo el mundo, desde su concepción hasta el desarrollo, la construcción y el uso en su conjunto.

La norma se divide en cuatro apartados para tener en cuenta a todos los elementos que forman parte del sistema en cuanto al concepto de seguridad y los correspondientes requisitos.

• En el primer apartado se definen los requisitos básicos generales, de los que se derivan otros requisitos para las diferentes áreas.

• Los apartados 2 y 3 se refieren principalmente a los fabricantes y operadores de plantas.

• El apartado 4 está dirigido a los proveedores de componentes como VEGA e incluye:

   - Descripción de un proceso de desarrollo seguro dentro de 4-1

   - Componentes seguros, es decir, sensores o controladores dentro de 4-2