En cualquier discusión sobre la seguridad cibernética industrial, siempre va a haber objeciones de algunas personas que se basan en percepciones erróneas. Las más comunes son:
- La ciberseguridad de las redes industriales no es necesaria. Este mito proviene de la creencia de que cualquier cosa que suceda en IT no aplica para OT. Esto simplemente no es cierto. Si bien la segmentación de redes es un método valioso para establecer zonas de seguridad y mejorar la seguridad, la separación absoluta de las redes es prácticamente imposible de obtener. Siempre existen sistemas que admiten puertos de diagnóstico inalámbricos, medios extraíbles que se pueden operar manualmente, etc. Este mito también supone que todas las amenazas se originan fuera de la red industrial, y no aborda el riesgo de la información privilegiada y el impacto resultante de un evento cibernético en el ICS de un usuario autorizado.
- La seguridad industrial es imposibile. La seguridad requiere parches. Los dispositivos deben ser parcheados para protegerlos contra la explotación de una vulnerabilidad descubierta, y los sistemas antivirus necesitan actualizaciones regulares. Los entornos de control no pueden soportar ciclos de parches adecuados, lo que hace que las medidas de seguridad cibernética sean discutibles. Si bien es cierto que se trata de desafíos a los que se enfrentan los ICS, no significa que una postura de seguridad fuerte no se puede obtener a través de otros controles compensadores. La seguridad industrial requiere una base de gestión de riesgos y una comprensión del ciclo de vida de la seguridad.
- La seguridad cibernética es responsabilidad de otra persona. Este es muy típico en muchas empresas, sobre todo cuando no se establecen las políticas de responsabilidades adecuadas, el paso de la pelota cuando hay dificultades el lo primero que suelen hacer. Los gerentes operativos de la planta esperan que los gerentes de TI adopten la responsabilidad (y el presupuesto) para la seguridad cibernética o biceversa. La Ciberseguridad debe estar considerada en los niveles ejecutivos más altos en una organización debidamente estructurada, y las responsabilidades apropiadas se reducirán tanto a TI como a OT según sea necesario, para que puedan trabajar en conjunto, la seguridad cibernética es un problema integral que requiere una solución integral.
Es lo mismo que la seguridad cibernética “IT”. Esta es otra percepción errónea común que a veces puede dividir los grupos de operaciones de TI y planta dentro de una organización. El solo hecho de que las redes OT tangan el mismo ethernet no significa que la ciberseguridad deba ser tratada de la misma manera. Como señalé en una conferencia de INACAP este año, los protocolos SCADA/ICS tienen particularidades especiales que no permiten que el mismo firewall y el mismo IDS/IPS funcionen adecuadamente en ambos ambientes. Las redes industriales y empresariales son diferentes, y requieren diferentes medidas de seguridad para protegerlas adecuadamente.