La seguridad por diseño llega a las máquinas-herramienta

Cualquiera que quiera elevar los niveles de seguridad informática en el sector de las máquinas-herramienta debe asegurarse de que habla el lenguaje técnico de los fabricantes de máquinas.
Crédito: Envato Elements.

Hace un par de semanas, la Oficina Federal de Seguridad de la Información (BSI) de Alemania emitió una alerta de ciberseguridad de alto nivel sobre una “vulnerabilidad crítica” en la biblioteca Java Log4j, ampliamente utilizada, y que permite a terceros tomar el control del sistema afectado.

En este contexto, la Asociación Alemana de Fabricantes de Máquinas-Herramienta (VDW) señaló que este tipo de advertencias llegan justo a tiempo para los que actualmente trabajan en la promoción de una mayor seguridad en toda la industria y en la elaboración de una directriz para la incorporación sistemática de la seguridad informática en las máquinas-herramienta.

Según el profesor Felix Hackelöer, catedrático de Automatización Inteligente en la Facultad de Informática e Ingeniería de la TH Köln, el fallo de seguridad de Log4j es un buen ejemplo de la creciente amenaza que se dirige directamente a la industria.

En la tecnología de la información, los errores y las vulnerabilidades pueden afectar rápidamente a múltiples sistemas debido al gran número de sistemas diferentes que intervienen, dijo Hackelöer. Esto es especialmente cierto para los componentes estándar que no participan directamente en la creación de valor, como las funciones de registro en el caso de Log4j.

Sin embargo, la implantación de sistemas de software menos comunes no es una opción viable para Hackelöer. “El elevado factor de escalado de la informática es a la vez una maldición y una bendición”, explica el científico. Además de ser altamente rentable, el software es desplegado por millones de usuarios. Esto garantiza que se puedan detectar las vulnerabilidades y ofrecer actualizaciones con relativa rapidez. Sin embargo, la interminable carrera contra los piratas informáticos y el peligro de que los datos sensibles caigan en las manos equivocadas siguen existiendo. Las empresas pueden ser chantajeadas o espiadas, lo que puede amenazar su propia existencia. La única manera de contrarrestar esto es que las empresas se protejan de manera eficaz, tanto externa como internamente. Las propias empresas pueden suponer una amenaza potencial por el manejo descuidado de máquinas y periféricos, así como por la manipulación consciente o inconsciente.

La seguridad informática, una preocupación para todos

El año pasado, el departamento de Investigación y Tecnología de VDW elaboró la primera versión de una guía. Titulada “Seguridad informática en las máquinas-herramienta”, contenía consejos prácticos y estaba dirigida principalmente a los usuarios. Hackelöer también participó en ella como experto consultor. El Grupo de Trabajo 2 de Ingeniería de Control y Sistemas del Instituto de Investigación de VDW se ocupa de las cuestiones de seguridad. Se está elaborando otra guía, esta vez dirigida a los fabricantes de máquinas-herramienta y equipos de fabricación.

“Al principio nos centramos en la seguridad funcional, es decir, en la seguridad de las personas que utilizan la máquina, y tratamos de separarla de la seguridad informática”, explica Eberhard Beck, director de Tecnología de Control de Index-Werke, Esslingen, y presidente del Grupo de Trabajo 2 de la VDW.

Sin embargo, entretanto ha quedado claro que la seguridad funcional de una máquina solo puede mantenerse si cuenta con una seguridad informática plenamente operativa. “Es una cuestión que afecta a todos los ámbitos”, señala Beck. “No se pueden definir sus límites ni trasladar la responsabilidad a otros. Afecta a todos”.

Situación agravada por la heterogeneidad de las máquinas-herramienta

Según Beck, la consecuencia es que el grupo de trabajo se ocupa ahora casi exclusivamente de cuestiones de seguridad. Y las razones son obvias. La fabricación en general, y las máquinas-herramienta y los sistemas en particular, están experimentando un proceso inexorable de transformación digital. Los componentes de control que antes funcionaban como soluciones independientes están ahora conectados en red en toda la empresa, interconectados a través de Internet o interactuando con servicios de software en la nube.

Para agravar el problema está el hecho de que el mundo de las máquinas-herramienta es mucho más heterogéneo que el mundo de las TI, dice Beck.

“Los profesionales de TI ven el mundo desde un PC que normalmente no tiene más de dos años y que funciona con el último sistema operativo, mientras que las máquinas-herramienta son productos únicos adaptados específicamente a una aplicación concreta”.

Muchas de ellas siguen intactas desde el punto de vista mecánico y se utilizan incluso después de décadas de producción, afirma. Y los sistemas de control de las máquinas pueden basarse en un diseño de hace una década o más, cuando la ciberdelincuencia aún no era un problema.

Para proteger las máquinas existentes, no basta con instalar un nuevo sistema operativo si el proveedor de software ya no ofrece actualizaciones de seguridad para la versión antigua, dice Beck. La tarea es tan difícil que se ha desarrollado un campo de negocio completamente nuevo como respuesta. Ahora hay proveedores que se especializan en el reequipamiento de máquinas existentes, como se podrá comprobar en eventos como la próxima feria Metav, que tendrá lugar del 21 al 24 de junio.

En el futuro, sin embargo, el objetivo principal debe ser integrar las soluciones de seguridad en el desarrollo de una máquina, de forma que se garantice su resistencia durante todo su ciclo de vida.

Seguridad por diseño

Andreas Kahmen, jefe de desarrollo de control para plataformas de máquinas en Trumpf.
Crédito: Metav / Trumpf.

Un método de desarrollo de software conocido como Seguridad por Diseño ha echado raíces. Se utiliza desde hace varios años. En la ingeniería mecánica y de plantas se aplica en la norma internacional IEC 62443. Esta norma se ha consolidado como el punto de referencia para la seguridad informática en todo el ciclo de vida de las soluciones de automatización.

Hasta ahora, los fabricantes de máquinas no estaban obligados a cumplir esta norma, explica Hackelöer. Esto se debe a que no tienen control sobre el entorno en el que se utiliza la máquina y la norma se creó inicialmente para la ingeniería de plantas e infraestructuras críticas. Además, la norma es relativamente nueva. Sin embargo, Hackelöer está seguro de que va a ganar aceptación en el sector de las máquinas-herramienta. “Los clientes ya la están aplicando en la ingeniería mecánica”, señala.

Andreas Kahmen, jefe de desarrollo de control para plataformas de máquinas en Trumpf Werkzeugmaschinen, también confirma el aumento de la demanda de soluciones de seguridad. Kahmen es miembro del grupo de trabajo 2 de la VDW y estará presente en el stand de Trumpf en la Metav como empresa asociada a la iniciativa umati.

“Estamos convencidos de que el trabajo en red es la clave para liberar el potencial de la producción en el futuro”, afirma Kahmen.

Desde muy pronto, Trumpf comenzó a ofrecer soluciones de seguridad con certificación BSI. Ya a mediados de la década de 2000, se desarrolló un concepto de seguridad basado en un componente de hardware con un cortafuegos integrado para proteger la red de máquinas de accesos no autorizados. El cortafuegos permitía el acceso para el servicio remoto, pero bloqueaba todos los demás accesos. En aquel momento, había muy poca demanda de soluciones de seguridad, pero eso ha cambiado notablemente. La demanda no solo procedía de grandes empresas del sector automotor, por ejemplo, sino también —y principalmente— de empresas más pequeñas. Los clientes son ahora cada vez más conscientes de la seguridad informática.

El hecho de que el trabajo de seguridad realizado por el Grupo de Trabajo 2 de la VDW haya resultado ser un “camino largo y pedregoso” se debe más a la complejidad del tema que a la falta de interés. Es necesario aumentar el nivel de conciencia sobre estas cuestiones de seguridad. Esto se aplica no solo a los clientes, sino también a las empresas fabricantes de maquinaria y a los expertos en informática, algunos de los cuales creen que los problemas son fáciles de resolver.

“Es entonces cuando hay que explicar que no es posible simplemente ejecutar un escáner de virus en una máquina-herramienta por defecto. Eso requiere tanta potencia de cálculo a corto plazo que podría afectar al comportamiento de la máquina”, dice Kahmen.

Hackelöer también señala que el “trabajo de traducción” representa un aspecto importante del trabajo científico en la interfaz entre la informática y la industria. Cualquiera que quiera elevar los niveles de seguridad informática en el sector de las máquinas-herramienta debe asegurarse de que habla el lenguaje técnico de los fabricantes de máquinas, afirma.

De conocimiento experto a guía comprensible

La nueva “Guía para la implantación sistemática de la seguridad informática en las máquinas herramienta”, por ejemplo, explica paso a paso cómo determinar las medidas de seguridad necesarias para una máquina-herramienta concreta. El trabajo en la guía está encabezado por Ralf Reines, un experto del departamento de Investigación y Tecnología de la VDW.

La guía establece que las empresas fabricantes de máquinas, los clientes y los proveedores de componentes tienen la responsabilidad conjunta de garantizar que cada máquina-herramienta tenga un nivel de seguridad que cumpla con los requisitos del entorno operativo y del operador.

Hackelöer, que también participa en la elaboración de la guía, cree que ha llegado el momento de promover los temas de seguridad y de estudiar la respuesta del sector a la norma IEC 62443.

“Nunca se puede tener una protección del 100%”, reconoce. “Sin embargo, es importante evaluar la amenaza de los ciberataques en casos de uso concretos e identificar qué medidas se pueden tomar contra ellos”. Un buen conocimiento de los procesos y métodos es indispensable para hacer frente a la complejidad que entraña.