La International Society of Automation (ISA) -la principal sociedad profesional de automatización- ha anunciado la publicación de un libro blanco en el que se describen recomendaciones para elevar el listón de la seguridad de los sistemas de automatización y control. ISA publicó el documento junto con su programa de certificación de ciberseguridad ISASecure® y ISA Global Cybersecurity Alliance (ISAGCA).
Este documento aboga por el diseño y la certificación de productos comerciales listos para usar (COTS) con un mínimo de nivel de seguridad 2 (SL2), tal y como se define en la serie de normas ISA/IEC 62443, las principales normas mundiales basadas en el consenso para la ciberseguridad de los sistemas de control. El informe de 23 páginas, titulado "The Case for ISA/IEC 62443 Security Level 2 as a Minimum for COTS Components" (Argumentos a favor del nivel de seguridad 2 de ISA/IEC 62443 como mínimo para los componentes COTS), explica cómo los criterios SL2 aumentan las capacidades de seguridad de los productos con respecto a los requisitos anteriores, menos estrictos, del nivel de seguridad 1 (SL1). Las capacidades de seguridad SL1 no están pensadas para proteger contra violaciones de seguridad malintencionadas o deliberadas. El informe de ISA describe cómo SL2 ofrece medidas más estrictas para mitigar los vectores de ataque más frecuentes en la actualidad.
"Estamos observando un número creciente de ciberataques intencionados contra los sistemas de automatización y control industrial", afirma Andre Ristaino, director gerente de los programas de evaluación de la conformidad de ISA. "Los productos comerciales listos para usar están siendo objeto de estos ataques dirigidos. La serie ISA/IEC 62443 es el principal conjunto de normas internacionales de ciberseguridad para el panorama de la tecnología operativa (OT), y las capacidades de nivel de seguridad 2 presentan las directrices mínimas ideales para proteger los productos COTS. Este nuevo documento proporciona una gran información sobre las capacidades de seguridad necesarias para cumplir la norma ISA/IEC 62443 SL2".
El informe incluye una revisión de cómo los criterios SL2 pueden aumentar la resistencia de los componentes COTS en un incidente de ciberseguridad, así como la de cualquier sistema en el que se integren los componentes. Los criterios SL2 exigen que un componente:
- Distinga de forma única entre usuarios individuales humanos o no humanos que interactúan con el componente, aumentando la capacidad de rastrear el origen de la actividad del usuario que pueda constituir un ataque.
- Se autentique a sí mismo en un sistema global en el que se haya integrado, aumentando el nivel de confianza entre el sistema y el componente.
- Proporcionar la capacidad de adaptar las definiciones de funciones humanas para reflejar las operaciones del sitio, limitando el acceso interno innecesario.
- Cerrar las sesiones de comunicación inactivas que permanecen abiertas como posibles vectores de ataque.
- Verificar el origen de las comunicaciones con el componente, limitando las fuentes de ataques a la red.
- Proteger las interfaces de prueba para que no se utilicen como posibles vectores de ataque.
- Aumentar la garantía de que el código en ejecución -incluido el código móvil, las actualizaciones y las mejoras- procede de una fuente de confianza y no ha sido objeto de manipulación.
«The Case for ISA/IEC 62443 Security Level 2 as a Minimum for COTS Components» puede descargarse en los sitios web de ISASecure e ISAGCA.
(International Society of Automation)
