IEC 62443: Cómo proteger los IACS (sistemas de automatización y control industrial)

La necesidad de estándares

En la planta nuclear iraní de Natanz, los sistemas de control industrial que controlaban las centrifugadoras fueron blanco de atacantes que se infiltraron mediante unidades USB infectadas, probablemente introducidas por alguien interno. Otro caso ocurrió en 2017, cuando el Sistema Instrumentado de Seguridad de una planta petroquímica de Arabia Saudita estaba físicamente aislado, pero los atacantes se infiltraron a través de una estación de trabajo de ingeniería remota conectada al SIS (Sistema Instrumentado de Seguridad). Múltiples organizaciones en todo el mundo experimentaron diversos problemas para proteger estos sistemas, y alrededor del 40 % del sistema de control industrial global (IACS) se enfrentó a actividad maliciosa en el segundo semestre de 2022; por lo tanto, surgió la necesidad de estándares.

Comisión Electrotécnica Internacional (IEC) 

Fundada hace aproximadamente un siglo, la Comisión Electrotécnica Internacional (CEI) existe para abordar la necesidad de mediciones y tecnologías eléctricas estandarizadas. Con el paso de los años, la CEI ha ampliado el alcance de sus actividades, incorporando a su ámbito todos los productos y servicios relacionados con tecnologías como la electrónica, las telecomunicaciones, la generación de energía y los sistemas digitales avanzados. En el siglo XXI, la CEI se ha convertido en la autoridad mundial en materia eléctrica y electrónica. La organización ha publicado más de 21 10,000 documentos estándar que abarcan especificaciones, mejores prácticas y protocolos de prueba que garantizan la compatibilidad, la fiabilidad y la sostenibilidad, a la vez que promueven la innovación.

La norma IEC 62443 cumple con la misión de la Comisión Electrotécnica Internacional (IEC) de establecer un marco normativo de ciberseguridad para las industrias emergentes de automatización industrial e infraestructuras críticas. IEC busca lograr seguridad, fiabilidad y compatibilidad global en sistemas eléctricos y electrónicos, y la IEC 62443 se centra directamente en ello al abordar las ciberamenazas, específicamente en los sistemas de control de automatización industrial (IACS). Como norma horizontal, trasciende el sector industrial y es relevante para la salud, la automoción y otras industrias críticas, donde se promueve la interoperabilidad segura y las mejores prácticas globales de ciberseguridad. Al ofrecer disposiciones de seguridad uniformes para todos los sectores, IEC 62443 mejora la resiliencia, la gestión de riesgos y el cumplimiento normativo como parte del compromiso global de IEC con la seguridad y la protección.

La estructura de la norma IEC 62443

La norma IEC 62443 se estructura en cuatro categorías, identificadas mediante sufijos: -1, -2, -3, -4. Cada una de estas categorías aborda diferentes aspectos de la ciberseguridad para sistemas de automatización y control industrial.

IEC 62443-1 (General)

La norma IEC 62443-1 sienta las bases para la seguridad de los IACS, comenzando por definir términos, conceptos y modelos clave que las partes interesadas crearán para alcanzar un entendimiento común (62443-1-1). También incluye un glosario completo de los términos y abreviaturas utilizados en toda la serie para garantizar la coherencia y claridad de todos los documentos (62443-1-2). Además, introduce métricas de conformidad con la seguridad del sistema que describen cómo evaluar eficazmente la postura de seguridad de los IACS (62443-1-3). Describe el ciclo de vida de la seguridad de los IACS y casos prácticos para guiar a las partes interesadas en la implementación de medidas de seguridad a lo largo de la vida útil del sistema (62443-1-4).

IEC 62443-2 (Políticas y procedimientos)

La serie IEC 62443-2 se centra en las políticas y procedimientos organizacionales para mejorar la seguridad de los sistemas de control de acceso (IACS). Su objetivo es asesorar sobre el establecimiento y mantenimiento de un programa de ciberseguridad para sistemas industriales (62443-2-1) e introduce marcos como NIST CSF, ISO 27001, etc., para evaluar la madurez de dichos programas (62443-2-2). Otros temas abordados en la serie incluyen los procesos de gestión de parches para reducir las vulnerabilidades en el entorno IACS (62443-2-3) y los requisitos del programa de seguridad para los proveedores de servicios en relación con las operaciones de IACS, dado que tienen acceso privilegiado a sistemas industriales que los convierten en posibles vectores de ataque (62443-2-4).

IEC 62443-3 (Sistema)

La serie IEC 62443-3 se centra en la seguridad a nivel de sistema para IACS. También introduce medidas como la protección de endpoints y la zonificación para proteger los sistemas industriales (62443-3-1). Ofrece orientación para realizar evaluaciones de riesgos que permitan identificar y mitigar posibles amenazas durante la construcción del sistema (62443-3-2). Asimismo, proporciona los requisitos iniciales de seguridad del sistema y define los niveles de seguridad (SL 1-4) que ayudan a las organizaciones a alcanzar el nivel de protección deseado (62443-3-3).

IEC 62443-4 (Componente)

La serie IEC 62443-4 se centra en los requisitos de seguridad de los componentes individuales del IACS. Esto incluye un ciclo de vida de desarrollo de productos seguro, de modo que los componentes se desarrollen bajo estrictas prácticas de seguridad (62443-4-1), así como la especificación de los requisitos técnicos de seguridad para componentes individuales del IACS, como controladores, sensores y HMI, y los necesarios para el funcionamiento seguro dentro del sistema (62443-4-2). Hemos abordado la norma IEC 62443-4-2 más adelante en este blog.

Niveles de seguridad de IEC 62443

La norma IEC 62443 incluye cuatro niveles de seguridad destinados a proteger el sistema industrial contra diversas amenazas derivadas de la ciberseguridad. Cada nivel se define teniendo en cuenta un nivel de amenaza específico, desde los incidentes más triviales hasta operaciones sofisticadas.

Las organizaciones determinan el nivel de seguridad IEC 62443 requerido (SL1-SL4) después de realizar evaluaciones de riesgo, modelado de amenazas y análisis de criticidad de activos, además de considerar los requisitos de cumplimiento de la industria. Marcos como NIST RMF, ISO 31000 e IEC 62443-3-2 ayudan a evaluar la probabilidad de ocurrencia de amenazas o vulnerabilidades y su eventual impacto operativo. Generalmente, la mayoría de las industrias de alto riesgo (por ejemplo, energía y salud) suelen requerir niveles de seguridad (SL3 o SL4), mientras que las industrias con menor impacto pueden optar por SL1 o SL2.  

SL1 Protección contra infracciones accidentales  

En esta categoría, solo la remediación de infracciones accidentales es eficaz. Se hace hincapié en las medidas para contrarrestar los errores humanos., Como la configuración incorrecta de la información y la eliminación involuntaria. Estas medidas incluyen soluciones básicas como la autenticación de usuarios para garantizar que solo las personas autorizadas puedan acceder a los sistemas. Además, se implementan controles de acceso para restringir el acceso de usuarios no autorizados.

SL2 Protección contra ataques deliberados

El nivel 2 se centra en ataques simples pero intencionales. Estos tipos de ataques suelen implicar el uso de malware básico o la explotación de vulnerabilidades débiles o sin parchear del sistema. La protección contra el malware se realiza mediante software antivirus y antimalware, y se implementan mecanismos de autenticación de usuarios más robustos, como requisitos de complejidad de contraseñas y autenticación multifactor, para proteger los sistemas.     

SL3 Protección contra ataques sofisticados

El nivel de seguridad 3 se encarga principalmente de los ataques de atacantes más organizados y hábiles. Estos atacantes son capaces de explotar vulnerabilidades complejas y pueden utilizar herramientas y métodos sofisticados para vulnerar los sistemas. Este nivel implica una amplia gama de prácticas de seguridad muy rigurosas. Se exige acceso biométrico, la instalación de sistemas de alarma sofisticados y protocolos de usuario estrictos. La monitorización es continua y se aplican múltiples capas de seguridad para garantizar una protección integral.

SL4 Protéjase de ataques externos mediante herramientas avanzadas

El Nivel 4 es el punto culminante de los Niveles de Seguridad, que previene los ciberataques más avanzados que involucran escenarios de alto riesgo que pueden causar pérdidas devastadoras. El Nivel 4 requiere inteligencia de amenazas avanzada, detección de anomalías en tiempo real, monitoreo basado en IA y segmentación de red. También incluye respuesta automatizada a incidentes, arquitectura de confianza cero, cifrado reforzado y controles de acceso estrictos.

El concepto de zonas y conductos   

La aplicación de zonas y conductos es fundamental para organizar y gestionar la seguridad de las redes industriales, por lo que es importante comprender las normas IEC 62443. Este concepto plantea la noción de que el sistema debe dividirse en varias partes lógicas, gestionando el tráfico de datos entre ellas, lo cual constituye un enfoque básico para el control de riesgos en sistemas complejos. En IACS, las zonas se caracterizan como áreas específicas con necesidades de seguridad específicas en función de las actividades y los riesgos específicos involucrados. Estas zonas se interconectan mediante conductos, que son canales de comunicación entre ellas.

Zonas

Se trata simplemente de una agrupación lógica y física de entidades o sistemas con características operativas o de seguridad comunes. El objetivo es separar los diversos componentes de un sistema con requisitos distintos según su funcionalidad o sensibilidad. Un ejemplo de ello podría ser una fábrica donde el área de fabricación se encuentra en una zona, mientras que los sistemas de TI responsables de la comunicación y la gestión se encuentran en otra.

conductos

Los conductos son vías de comunicación que facilitan el flujo de datos y controlan y protegen la interacción entre zonas. Garantizan que solo se produzcan intercambios de datos autorizados y seguros. Actúan como puntos de control entre las zonas; básicamente, aplican controles de seguridad a la comunicación entre ellas. Estos controles pueden incluir listas de control de acceso, cortafuegos, sistemas de detección de intrusos, etc. Un ejemplo de esto es que, en una fábrica similar, un conducto puede controlar el flujo de datos entre la zona de campo y la zona de gestión. Un cortafuegos puede actuar como intermediario y restringir el tipo de datos que pueden pasar entre estas zonas.

El modelo de zonas y conductos de la norma IEC 62443 ofrece diversas ventajas para la seguridad y la gestión de los Sistemas de Automatización y Control Industrial (IACS). Una ventaja importante es el aislamiento de riesgos; la agrupación de activos en zonas separadas limita el área de impacto de una brecha. Los conductos proporcionan una seguridad mejorada para controlar estrictamente las comunicaciones entre zonas y evitar el acceso no autorizado y la manipulación de la información intercambiada. Además, simplifica la administración de la seguridad, ya que las políticas de seguridad se definen y aplican estrictamente en todas las zonas bien definidas. El modelo también es escalable, lo que permite añadir más zonas y conductos a medida que el sistema cambia y crece, garantizando así una protección permanente a medida que el entorno se expande.

Lograr el cumplimiento de la norma IEC 62443

Una organización que desee cumplir con la norma IEC 62443 debe realizar un análisis completo evaluación de riesgos, que incluirá la identificación de riesgos importantes, vulnerabilidades y activos críticos relacionados con todos los Sistemas de Automatización y Control Industrial (IACS). Con base en esta evaluación, Sistema de gestión de seguridad Se diseña un Sistema de Gestión de Seguridad (SMS) que contiene las políticas, procesos y responsabilidades para proteger el IACS, apuntando tanto a la ciberseguridad técnica como a la organizacional. Segmentación de red se puede lograr mediante la creación de zonas seguras, cada una con un conducto controlado para el movimiento de datos entre ellas. Fuerte control de acceso Se deben imponer mecanismos, incluida la autenticación multifactor y el acceso basado en roles, para evitar el acceso no autorizado.

Monitoreo continuo Se debe establecer un sistema para detectar y responder eficazmente a las amenazas a medida que surjan. También se establecerá un plan de respuesta a incidentes Describir medidas para contener, recuperar y comunicarse con todas las partes interesadas en incidentes de ciberseguridad. Formación de los empleados Debe establecerse para capacitar al personal sobre qué hacer ante las amenazas de seguridad que enfrenta una organización. Además, todos los proveedores externos con los que trabaja la organización deben cumplir con sus requisitos de seguridad. Esto reduce la exposición a los sistemas de control de acceso (IACS) externos. Finalmente, auditorías periódicas de cumplimiento y certificación de terceros Se debe buscar evidencia para fundamentar la adhesión a la norma IEC 62443.

¿Cómo ayuda?

La norma IEC 62443 proporciona un marco estructurado para mitigar riesgos a lo largo del ciclo de vida de los sistemas de control de acceso (IACS), abordando las vulnerabilidades de seguridad desde el principio. Esta norma enfatiza un enfoque de seguridad por capas: protege los activos críticos y sensibles y minimiza el posible impacto de las ciberamenazas mediante la segmentación de la red. Impulsa el uso proactivo de tecnologías como firewalls, soluciones SIEM, etc., para la detección de amenazas, lo que permite identificarlas y mitigarlas dentro de esas capas. La revisión periódica, la monitorización continua y la ejecución de auditorías de cumplimiento garantizarán que la organización pueda mantenerse al día con las amenazas en constante evolución, manteniendo al mismo tiempo una sólida defensa.

De diversas maneras, esta norma ayuda a las organizaciones a disfrutar de los beneficios de una mayor seguridad, resiliencia operativa y cumplimiento normativo, optimizando los sistemas tanto ante la falta de uso accidental como ante ataques premeditados, reduciendo el tiempo de inactividad y mejorando la eficiencia operativa. Además de generar confianza entre las partes interesadas, este compromiso también permite a las organizaciones aprovechar las mejores prácticas reconocidas internacionalmente y cumplir con los estándares globales de ciberseguridad para proteger la infraestructura crítica.

IEC-62443 4 2-

La norma IEC 62443-4-2 es una norma de la serie IEC 62443 que se centra en los requisitos técnicos de seguridad para componentes individuales de sistemas de control industrial (IACS), incluyendo dispositivos embebidos, componentes de red, aplicaciones de software y dispositivos host. Hace hincapié en el mantenimiento de los componentes de los IACS durante todo su ciclo de vida, abordando las cuestiones de seguridad desde el diseño y el desarrollo hasta la operación y el desmantelamiento. La norma especifica requisitos de seguridad detallados para la protección contra diversas ciberamenazas, garantizando la integridad, la confidencialidad y la disponibilidad de los componentes de los IACS tanto a corto como a largo plazo. Se alinea con el marco más amplio de la norma IEC 62443, apoyando la implementación segura de sistemas de control industrial mediante la definición de las medidas de seguridad a nivel de componente necesarias para salvaguardar la infraestructura crítica.

Componentes individuales, como controladores o sensores, pueden presentar vulnerabilidades que vulneren todo el IACS, lo que hace que la seguridad de los componentes sea crucial para la seguridad del sistema. Los componentes seguros pueden incluir control de acceso, cifrado, gestión de parches o comunicación segura. Las dependencias surgen cuando un componente débil se convierte en una puerta de entrada para atacar sistemas interconectados. Por lo tanto, la norma IEC 62443-4 busca garantizar la seguridad desde el diseño, mientras que la IEC 62443-3 ofrece una visión general del sistema para garantizar que ningún fallo individual comprometa la seguridad de todo el sistema.

¿Qué exige la norma IEC 62443-4-2?

Uno de sus requisitos clave es la adopción de un Ciclo de vida de desarrollo seguro (SDL), que integra la seguridad desde el inicio del desarrollo del producto, garantizando que las pruebas y la validación de seguridad se realicen en cada etapa para salvaguardar la integridad del producto. La norma también exige procesos de gestión de parches para garantizar actualizaciones oportunas de vulnerabilidades en relación con la seguridad operativa. La norma IEC 62443-4-2 destaca la importancia de Mecanismos de control de acceso y autenticación sólidos, garantizando que solo los usuarios autorizados puedan acceder a los componentes de IACS, lo que se alinea con seguridad de confianza cero.

También incorpora Medidas de seguridad física para evitar el acceso físico no autorizado y proteger los sistemas con espacio de aire. Protección de datos es un enfoque clave, con requisitos de cifrado para proteger datos confidenciales, junto con controles para mantener la integridad del sistema y detectar malware o cambios no autorizados. El estándar también enfatiza Resiliencia del sistema ante ciberataques, que requiere componentes para mantener operaciones seguras bajo amenaza, y exige mecanismos de detección y respuesta a incidentes para abordar rápidamente las brechas de seguridad. Mantener la excelencia operativa también requiere una sólida gestión de la configuración, que garantice que cualquier cambio sea intencional y esté bien documentado. Documentación y capacitación completa para que el personal gestione y mantenga eficazmente operaciones seguras.

El cumplimiento de la norma IEC 62443-4-2 no es fácil de lograr debido a su alta complejidad técnica, la alta demanda de recursos y experiencia, y la necesidad de monitorizar y mantener continuamente las medidas de seguridad durante todo el ciclo de vida de los componentes del IACS. Implementar la norma requiere un profundo conocimiento de los principios de ciberseguridad y de los requisitos operativos específicos de los sistemas de control industrial. Además, implica abordar desafíos como los sistemas heredados, la limitación de recursos para organizaciones pequeñas y la naturaleza cambiante de las ciberamenazas, que requieren actualizaciones y ajustes constantes de las prácticas de seguridad. Lograr el cumplimiento requiere una inversión significativa en personal cualificado, actualizaciones tecnológicas y sólidas estrategias de gestión de riesgos.

PKI e IEC 62443

PKI La norma IEC 62443 y la norma IEC 62443 son dos áreas completamente distintas, pero que se solapan, en ciberseguridad. La criptografía de clave pública, que utiliza pares de claves asimétricas, certificados y firmas digitales, ofrece algunos de los métodos más prácticos para abordar los desafíos de ciberseguridad que enfrentan los IACS. Esto es fundamental para garantizar la seguridad de los sistemas de automatización y control industrial (IACS). Existen algunos atributos que los IACS deben poseer para cumplir con la norma IEC 62443, que son, sin duda, la especialidad de la infraestructura de clave pública. Por ejemplo,

1. Autenticación tanto de usuarios como de dispositivos
2. Control de Acceso   
3. Validación de software      
4. Comunicación segura     

Según la norma IEC 62443, Parte 4-2, se hace especial hincapié en garantizar la autenticación de dispositivos y usuarios, y la protección de los datos contra accesos o modificaciones no autorizados, lo cual constituye el punto fuerte de infraestructuras como la PKI. Además, la PKI aborda la seguridad del software en entornos industriales, facilitando que los procesos de actualización utilicen la firma de código para garantizar la fiabilidad del software y del paquete de firmware proporcionado. También ayuda a mantener el sistema limpio, permitiendo la entrada únicamente de paquetes de confianza. En resumen, una buena solución PKI mejora la seguridad operativa y garantiza que sus sistemas industriales cumplan con las... amenazas modernas en ciberseguridad.

IEC 62443 y la industria en evolución

La cuarta revolución industrial ha marcado el comienzo de una nueva era en la manufactura debido a la adopción de tecnologías modernas como la Internet de las Cosas y Inteligencia ArtificialEstos han mejorado significativamente las operaciones mediante la optimización de procesos, el análisis de datos en tiempo real y el mantenimiento predictivo. Con toda esta interconectividad, surgen nuevos desafíos de ciberseguridad. Con muchos dispositivos y sistemas interconectados, el panorama de amenazas se amplía.

Aquí es donde la norma IEC 62443 cobra importancia. Seguir sus instrucciones ayuda a los fabricantes a construir un entorno más seguro con menor probabilidad de ciberataque. El marco de la norma IEC 62443 incluye requisitos para la seguridad de dispositivos, redes y sistemas dentro del IACS, así como para garantizar la implementación de medidas adecuadas de gobernanza, gestión de riesgos y control de acceso. También enfatiza la importancia de la monitorización continua, la gestión de vulnerabilidades y la respuesta a incidentes, todos ellos cruciales para mitigar los ciberriesgos que introducen las tecnologías de la Industria 4.0. Ante los desafíos emergentes, las próximas versiones de la norma también se centrarán en estas amenazas y ayudarán a mitigarlas.

Es un desafío constante estar al tanto, pero mientras la norma IEC 62443 esté vigente y los fabricantes desarrollen todos los sistemas teniendo en cuenta la seguridad, sus sistemas seguirán siendo relevantes. En relación con esto, el desarrollo de criptografía postcuántica presenta nuevas oportunidades para todos, y es necesario reservar recursos tanto para la seguridad digital como para la física.

Conclusión

Aunque proteger un Sistema de Automatización y Control Industrial (IACS) parezca una tarea compleja, la norma IEC 62443 ofrece una guía clara para facilitar la gestión. Vivimos en un mundo moderno e interconectado donde las amenazas evolucionan casi a cada minuto, y este innovador marco permite a las organizaciones adoptar y aplicar prácticas de seguridad hasta el final del ciclo de vida de sus sistemas.   

Lo mejor de la norma IEC 62443 es que no se limita a la tecnología. También expresa el valor de la colaboración, el aprendizaje continuo y la flexibilidad. Con este marco, las industrias podrán superar los desafíos actuales y futuros en materia de ciberseguridad.