Serie de normativas sobre protección IEC 62443

La serie de normas internacionales IEC 62443 "Redes de comunicación industrial. Seguridad de la TI para redes y sistemas" describe cómo implementar la seguridad de TI en la automatización. El abanico de temas va desde el análisis de riesgos y los requisitos para el funcionamiento seguro hasta el desarrollo seguro de productos (Security by Design). Esto convierte la IEC 62443 en la mejor guía de la actualidad para la implementación eficaz de la protección industrial (Industrial Security) por parte de empresas usuarias de instalaciones y fabricantes de máquinas y equipos.

En la IEC 62443 se contemplan cinco ámbitos: los requisitos básicos de protección industrial (Industrial Security), el principio de zonas y canales de comunicación (Zones and conduits), los niveles de seguridad, el ciclo de vida de la protección y el análisis de riesgos.

Para ello es fundamental el procedimiento de una evaluación de riesgos de seguridad que sirva de base para establecer medidas de protección personalizadas. Se hace hincapié además en la interacción entre medidas organizativas y técnicas. Limitarse a soluciones técnicas conduce, en el peor de los casos, a una falsa sensación de seguridad, ya que las medidas técnicas pueden verse fácilmente socavadas por el comportamiento humano. Una contraseña, por ejemplo, ofrece protección sólo si se cambia, no se comparte y no está expuesta visiblemente en el propio dispositivo.

Los sistemas de automatización industriales requieren un enfoque de defensa en profundidad (Defense in Depth) para cumplir los requisitos de seguridad de la OT. Pilz apoya a los fabricantes y empresas usuarias de máquinas con know-how experto en la implementación de los requisitos organizativos y técnicos específicos de la normativa IEC 62443.

A través de un concepto de protección industrial (Industrial Security) y el cumplimiento de las normas y los requisitos legales se aumenta significativamente la ciberseguridad de una empresa, también a nivel de la maquinaria. 

ISO/IEC TS 63074:2023

"Safety of machinery - Security aspects related to functional safety of safety-related control systems"

Esta norma se refiere principalmente al punto de intersección entre la seguridad de las personas y la seguridad entendida como protección de las máquinas. En consecuencia, trata en esencia lo que exige el Reglamento de Máquinas. Para identificar amenazas para la seguridad y vulnerabilidades se basa en criterios de la serie IEC 62443. Tiene en cuenta vulnerabilidades del control de seguridad que podrían ser explotadas por amenazas para la protección (como accesos no autorizados, programas maliciosos o ciberataques). El objetivo es proteger las funciones de seguridad de forma que puedan desplegar realmente su efecto protector. Se recomienda un principio "Defense in Depth" sobre todo por lo que respecta a la seguridad de las personas.

El documento define casos de uso y les aplica los correspondientes modelos de amenazas. Esto ayuda a comprender de qué manera afectan las amenazas para la protección de las máquinas a la seguridad para las personas. No se analizan explícitamente otros efectos de los ciberataques.

ISO 27001 - Sistemas de Gestión para la Seguridad de la Información (SGSI)

La SRI 2 conduce al tema de la gestión de sistemas de seguridad de la información. La atención se centra especialmente en la normativa ISO/IEC 27001 porque está reconocida en todo el mundo como la norma de facto para la seguridad de la información y porque es certificable. Establece los requisitos de los sistemas de gestión de seguridad de la información.

Se habla de seguridad de la información y no de seguridad informática porque el objetivo es proteger todos los tipos de información, sea digital o analógica (manuscrita, verbal, en imágenes), esté escrita en un papel o almacenada en la nube. El hecho de que actualmente se procese gran parte de la información en soporte informático convierte la protección de la TI en una parte importante de la ecuación.

Esencialmente se trata de minimizar los riesgos para la seguridad de la información en todos los ámbitos de una organización. De manera que afecta también a los equipos de producción, como la maquinaria y las redes OT.

Cuando una organización necesita un SGSI según ISO/IEC 27001 porque se lo exigen requisitos externos (por ejemplo, requisitos legales o acuerdos contractuales con el cliente) o desea implantarlo por iniciativa propia (por ejemplo, para protegerse o para poder utilizar una norma de calidad como proyección exterior), no puede ignorar el tema de la ciberseguridad industrial.

Esto nos lleva de vuelta a la norma IEC 62443, que actualmente ofrece el mejor marco para analizar el tema de la seguridad de la información en el ámbito de la protección industrial (Industrial Security).

El rápido aumento de las amenazas en forma de ciberataques con potencial para causar inmensos daños económicos está llevando a la introducción de marcos legales en todo el mundo que establezcan unos estándares mínimos para empresas, instalaciones industriales, máquinas y componentes de máquinas. La ciberseguridad es un nuevo requisito y una obligación, especialmente para infraestructuras críticas.

El legislador europeo ha elaborado nuevas normativas a fin de reducir estos riesgos.

Reglamento de máquinas

El Reglamento de máquinas 2023/1230 fue aprobado en junio de 2023 y será vinculante para todos los Estados miembros de la UE tras un periodo transitorio de 42 meses. El Reglamento de Máquinas se aplica a fabricantes de máquinas o conjuntos para máquinas, es decir, a fabricantes (OEM = Original Equipment Manufacturer) y a integradores de sistemas. En adelante, los fabricantes de máquinas tendrán que confirmar que las máquinas cumplen lo establecido en el Reglamento de máquinas, también requisitos relativos a la protección. Esto incluye la protección contra falsificación y medidas para resistir los intentos malintencionados de terceros de generar situaciones peligrosas. El cumplimiento del Reglamento de Máquinas se confirma formalmente en la declaración de conformidad. Como señal visible se coloca en la máquina el Marcado CE. Las máquinas que no cumplan los requisitos del nuevo Reglamento de Máquinas no podrán seguir vendiéndose en la UE.

Pilz lleva muchos años apoyando a los fabricantes de máquinas en el proceso de conformidad, un apoyo que abarca casi todos los ámbitos, como el concepto de seguridad, el análisis y la estimación de riesgos y la declaración de conformidad. En adelante lo extenderemos también a los aspectos de protección.

Segunda Directiva UE relativa a la seguridad de los sistemas de redes y de información (SRI 2) 2022/2555

La nueva Directiva UE sobre sistemas de redes y de información (SRI 2) establece un nivel uniforme de protección contra ciberataques para las entidades "esenciales e importantes" de la UE. A diferencia del Reglamento de Máquinas, describe requisitos de ciberseguridad para las empresas, no para las máquinas. La Directiva contiene diferentes requisitos para distintos ámbitos, en función de la importancia de una empresa para la economía nacional (criticidad). Las empresas del sector energético y de transporte ferroviario, por ejemplo, tienen un alto grado de criticidad. La SRI 2 se aplica, entre otros, a fabricantes de máquinas e instalaciones con más de 50 empleados o con una facturación anual superior a 10 millones de EUR, también de sectores menos críticos.

Las empresas deben implantar medidas técnicas, operativas y organizativas para gestionar los riesgos para la seguridad de los sistemas de redes y de información. Esto incluye la formación de directivos y empleados, entre otros aspectos. Es importante tener en cuenta no solo la tecnología ofimática, sino también el ámbito OT y la protección industrial (Industrial Security).

Cyber Resilience Act (2024/2847)

El Reglamento Cyber Resilience Act (CRA) tiene por objeto mejorar las características de seguridad y protección de productos que contienen elementos digitales. Se aplica, por tanto, a fabricantes y a empresas que comercializan estos productos. Y también a fabricantes de máquinas. El CRA introduce requisitos de seguridad vinculantes a lo largo del ciclo de vida de los productos. Exige una obligación de diligencia durante el ciclo de vida completo, incluida la obligación de los fabricantes de proporcionar actualizaciones de software para Patch Management del usuario durante un periodo mínimo de 5 años para cubrir posibles vulnerabilidades de seguridad conocidas del producto. Con la entrada en vigor del CRA, el Marcado CE de los productos exigirá el cumplimiento de esta norma. Por consiguiente, el CRA complementa la Directiva SRI 2 y la Ordenanza sobre máquinas con las características de seguridad de los productos.