Norma ISA/IEC 62443: La Importancia de la Ciberseguridad en Entornos Industriales
En 2015, un ataque cibernético a la red eléctrica de Ucrania interrumpió el suministro de energía, afectando a 250.000 personas durante seis horas en pleno invierno. En 2017, un ataque en una planta petroquímica de Arabia Saudí intentó tomar el control del software de seguridad con el objetivo de modificar ciertos controladores industriales, pero un fallo en el malware alertó a los operadores. En 2023, El Hospital Clínic de Barcelona fue víctima de un ataque informático que afectó al funcionamiento normal del hospital, obligando a desprogramar cirugías y a realizar procedimientos manualmente.
Estos son algunos ejemplos de como un ciberataque a infraestructuras críticas como una planta de energía o un hospital puede dañar un sistema y afectar directamente a personas y servicios básicos como agua, energía o atención médica. A medida que crece la cantidad de dispositivos conectados, que se comunican y colaboran entre sí, también aumentan los puntos finales y las vías potenciales por las que los ciberdelincuentes pueden infiltrarse en redes y sistemas de infraestructura.
En este artículo trataremos la normativa IEC62443 que aborda la ciberseguridad en los Sistemas de Automatización y Control Industrial (IACS). Si estás interesado en la ciberseguridad en dispositivos IoT, puedes profundizar en el artículo de nuestro blog «Ciberseguridad en IoT: Claves de diseño para proteger la privacidad en empresas y hogares«.
···
Tecnologías de la Información (IT) vs Tecnologías Operativas (OT)
La ciberseguridad a menudo se asocia con la Tecnología de la Información (IT) y se enfoca en la protección de los datos en el mundo virtual. Sin embargo, las infraestructuras críticas y el entorno automatizado de las fábricas tienen requisitos de seguridad diferentes, ya que forman parte del mundo físico. En este caso, se utilizan las Tecnologías Operativas (OT) para garantizar la correcta ejecución de acciones automatizadas como cerrar una válvula para evitar un desbordamiento o poner en línea un generador para evitar un apagón. Las OT incluyen tanto hardware como software y su objetivo es mantener los sistemas del mundo real funcionando según lo previsto, de manera segura y eficiente.
Con la aparición del internet de las cosas industrial (IIoT) y la integración de máquinas físicas con sensores y software en red, las líneas entre IT y OT se han ido difuminando. A medida que más y más objetos se conectan, se comunican e interactúan entre sí, ha aumentado el número de puntos finales y las posibles formas en que los ciberdelincuentes pueden acceder a las redes y los sistemas de infraestructura. Actualmente, las estrategias de seguridad y defensa abarcan múltiples capas y deben abordar tanto los entornos de IT como de OT.
Con la aparición del IIoT han aumentado las formas en que los ciberdelincuentes pueden acceder a las infraestructuras
···
Introducción a la Norma ISA/IEC 62443
Con el objetivo de proteger las infraestructuras críticas de Estados Unidos frente a los ciberataques, en 2002, la ISA (International Society of Automation), creó la ISA99, un conjunto de estándares de seguridad para sistemas de control y automatización industrial. Estos estándares fueron presentados para su aprobación y publicados como estándar ANSI norteamericanos, que los renumeró como ANSI/ISA-6243 en 2010. Posteriormente, estos estándares fueron utilizados por la IEC (International Electrotechnical Commission) para la creación de los estándares IEC 62443, aprobados en 2021.
ISA/IEC 62443 es un conjunto de normas que establecen los requisitos y procesos para implementar y mantener la seguridad electrónica en los Sistemas de Automatización y Control Industrial (conocidos por sus siglas en inglés, IACS). Estas normas son aplicables a todos los sectores industriales que emplean sistemas de automatización y control, como la automatización de edificios, la generación y distribución de energía eléctrica, los dispositivos médicos, el transporte y diversas industrias de procesos como la química, el petróleo o el gas.
Estas normas proporcionan las mejores prácticas en ciberseguridad y una forma de evaluar su rendimiento. La metodología que proponen es integral, abarcando tanto la tecnología operativa (OT) como la tecnología de la información (IT), además de cubrir tanto la seguridad de procesos como la ciberseguridad.
···
Objetivos y Requisitos de la IEC62443
La serie de normas ISA/IEC 62443 aborda la seguridad de los sistemas de control industrial a lo largo de su ciclo de vida completo. Se aplican a todos los sistemas de automatización y control, no únicamente a los sistemas industriales. Los objetivos principales de estas normas son:
- Definir términos y conceptos comunes para todos los responsables de la ciberseguridad en sistemas de control.
- Ayudar a los propietarios de activos a determinar el nivel de seguridad necesario para sus necesidades de negocio y gestión de riesgos.
- Establecer un conjunto común de requisitos y un ciclo de vida de ciberseguridad para los desarrolladores de productos, incluyendo un mecanismo para certificar tanto los productos como los procesos de desarrollo.
- Definir los procesos de evaluación de riesgos que son clave para proteger los sistemas de control.
Los siete requisitos clave que deben cumplirse incluyen:
- Identificación y autenticación de usuarios (personas, procesos y dispositivos).
- Control de uso (aplicación de privilegios de acceso).
- Garantizar la integridad de datos, programas y equipos.
- Garantizar la confidencialidad de la información en los flujos y almacenamientos de datos.
- Restringir los flujos de datos innecesarios.
- Responder a ataques informando a la autoridad competente.
- Garantizar la resiliencia del sistema frente a ataques, como los ataques DDoS.
La normativa IEC62443 propone una metodología integral que abarca tanto la tecnología operativa (OT) como la tecnología de la información (IT)
···
Estructura de la norma IEC 62443
La serie IEC 62443 está organizada en cuatro partes principales:
- General (62443-1): Incluye temas comunes a toda la serie.
- Políticas y Procedimientos (62443-2): Se enfoca en los métodos y procesos relacionados con la seguridad de los IACS (Sistemas de Automatización y Control Industrial).
- Sistema (62443-3): Define los requisitos a nivel de sistema.
- Componentes y Requisitos (62443-4): Proporciona los requisitos detallados para productos y componentes de IACS.
Cada parte, ha ido desarrollando una serie específica de normas, de las que destacan:
- IEC 62443-2-1: Orientada a los operadores de soluciones de automatización, establece los requisitos durante la operación de las plantas.
- IEC 62443-2-4: Define los requisitos para los integradores en 12 áreas, como gestión de configuración, acceso remoto, protección contra malware, y más.
- IEC 62443-4-1: Describe cómo debe ser un proceso de desarrollo de producto, abarcando la gestión, el diseño y la publicación de actualizaciones.
- IEC 62443-4-2: Establece requisitos técnicos para productos o componentes, incluyendo las restricciones de seguridad comunes que deben cumplirse.
Según la norma IEC 62443-4-2, los productos se clasifican en cuatro niveles de seguridad (Security Levels – SL), que indican la resistencia frente a distintas clases de atacantes:
- SL 0: No se requiere protección especial.
- SL 1: Protección contra mal uso accidental.
- SL 2: Protección contra ataques intencionales con recursos limitados.
- SL 3: Protección frente a ataques sofisticados con conocimientos específicos de IACS.
- SL 4: Protección contra ataques complejos con recursos extensivos y alta motivación.
Crear productos «seguros por diseño» requiere incorporar la ciberseguridad desde el comienzo del proceso de desarrollo. El enfoque antiguo de diseñar primero y considerar la seguridad después ha quedado desfasado. Actualmente, la ciberseguridad es un requisito indispensable para garantizar un rendimiento operativo eficiente.
···
Soluciones y Empresas Certificadas IEC-62443
La certificación IEC62443-4-2 garantiza que los productos integran las medidas de seguridad necesarias para proteger las infraestructuras críticas y las redes industriales de vulnerabilidades y accesos no autorizados. Nuestro partner Inhand Networks, fabricante especializado en soluciontes IoT y conectividad industrial, ha conseguido la certificación IEC-62443-4-2 en sus routers industriales IR302 e IR315, así como para los gateways IoT Edge IG502 y IG902 y para el Edge Computer EC312.
Esta certificación confirma que cumplen con los rigurosos requisitos de seguridad para sistemas de control industrial, incluida una protección robusta contra amenazas cibernéticas, comunicación segura y actualizaciones seguras de software y firmware.
Edge Computer, Routers y gateways con certificación IEC62443-4-2
Por otro lado, HMS Networks ha obtenido la certificación IEC 62443-4-1 para el proceso de desarrollo de productos seguros para sistemas de control y automatización industrial. Este certificado garantiza que HMS tiene un proceso implementado para el diseño seguro de productos, tecnología para gestionar la difusión de vulnerabilidades y la capacidad de trabajar de manera transparente con los clientes para ayudarlos a gestionar los riesgos de seguridad.
···
Más Información sobre Ciberseguridad Electrónica
Una estrategia efectiva de ciberseguridad debe enfocarse en proteger los activos más valiosos, priorizando los riesgos y mitigándolos a niveles aceptables, ya que no es realista intentar salvaguardar todo de la misma manera. Esto requiere un enfoque que permita emplear diferentes métodos de evaluación de conformidad, ajustándose a los distintos niveles de riesgo, desde autoevaluaciones hasta pruebas independientes. En entornos industriales, este enfoque debe ser integral, incorporando segmentación de redes, cortafuegos industriales y actualizaciones periódicas, con el fin de asegurar la protección sin comprometer la fiabilidad operativa.
En Venco, entendemos la complejidad y la importancia de mantener sistemas seguros y actualizados frente a las amenazas emergentes. Por ello, no solo nos dedicamos a proporcionar productos que cumplen con los más altos estándares de seguridad, sino que también colaboramos estrechamente con nuestros partners para ofrecer un soporte y soluciones integrales.
Con más de 40 años de experiencia en el sector de la Electrónica Industrial, estamos comprometidos con la seguridad de nuestros clientes y ofrecemos nuestra experiencia y recursos para navegar en el dinámico mundo de la ciberseguridad. Si estás buscando un producto de electrónica industrial que cumplan las certificaciones de ciberseguridad, pregúntanos sin compromiso y nuestro especialista te aconsejará sobre cual puede adaptarse mejor a tus necesidades. Además, también estaremos a tu lado durante el proceso de desarrollo del proyecto para solucionar cualquier duda o incidencia.
Solicítanos una asesoría sin compromiso:
Otras vías de contacto:
- Formulario General de Contacto: https://www.vencoel.com/contacto/
- Teléfono: (+34) 93 263 33 54