Las estrategias de defensa en profundidad proponen aplicar diferentes mecanismos de protección a diferentes niveles dentro de una instalación ICS OT. De esta manera, en caso que una capa de protección falle, existirán otras capas interiores que evitarán la materialización del ataque, disminuyendo así el nivel de riesgo operativo que puedan tener los activos industriales.

La capa de protección más interna de este tipo de estrategias es la defensa de los datos. Históricamente, la protección de los datos ICS OT no se le ha dado mucha importancia por el hecho de que son datos en bruto de procesos industriales que no tienen mucho interés de confidencialidad. Sin embargo, la integridad y disponibilidad de los datos sí que toma un carácter más importante.

Además de los datos de proceso, hay que considerar otros tipos de información como la documentación interna, los programas y lógicas de los PLC’s que ejecutan el proceso, credenciales, etc. que sí tienen una relevancia a considerar.

Los datos deben ser protegidos tanto cuando están en reposo (por ejemplo, archivos almacenados en algún equipo/servidor) como cuando están en tránsito entre dispositivos dentro de una red.

Datos en reposo

Los mecanismos de protección de los datos cuando éstos están en reposo son:

  • Uso de cifrado fuerte para hacerlos ilegibles.
  • Uso de mecanismos de control de acceso y autorización para restringir los accesos a ellos.
  • Disponer de copias de seguridad y/o un control de versiones.
  • Seguridad física de las instalaciones dónde están almacenados los datos.

 

protección datos en tránsito

Datos en tránsito

Los mecanismos de protección de los datos cuando éstos están en tránsito son:

  • Uso de cifrado en las comunicaciones, por ejemplo utilizando protocolos industriales seguros como puede ser el OPC UA.
  • Uso de una electrónica de red con capacidades de evitar ataques de spoofing y asegurar que las comunicaciones -y sus datos- viajan por las bocas de los switches estipulados. Estamos hablando de mecanismos de port-security, IGMP, DHCP Snooping, etc.
  • Seguridad física de la red para evitar irrupciones físicas de los enlaces de comunicación.

Desde Logitek, ponemos a su disposición soluciones para implementar redes industriales seguras con tecnologías que permiten la creación de topologías altamente robustas y escalables. Además, con los mecanismos de protección para tener un control de acceso a la red y evitar el abuso de las vulnerabilidades de los protocolos Ethernet e IP.

Para la protección de los datos en reposo, ponemos a su disposición software especializado en el control de cambios de las lógicas de los PLCs. De esta manera, consigue disponer de un repositorio centralizado con el conjunto de programas de automatización, además de:

  • Securizar su propiedad intelectual al disponer un control de acceso flexible al repositorio de datos.
  • Detectar los cambios realizados. Informar de quién, cuándo, desde dónde y porqué se ha realizado un cambio e identificar las modificaciones de código realizadas.
  • Recuperar, de forma ágil y fácil, a una versión anterior del programa ante un cambio problemático o no autorizado.

Algunos enlaces de interés:

Para más información, no dudes contactar con nosotros.