---

El uso de controles numéricos computarizados (CNC) se extiende por un gran número de plantas productivas y constituye una pieza clave en las organizaciones de la actualidad.

En los últimos años, con la entrada de la Industria 4.0 en las fábricas, han empezado a aflorar nuevas necesidades de conectividad. Por ello, tus máquinas CNC modernas ya no son máquinas mecánicas que funcionan offline o a través de protocolos de comunicación punto a punto. Ahora, estas máquinas se conectan con diferentes sistemas de tu fábrica a través de redes como internet (o planeas que así sea en un futuro cercano), lo que presenta numerosas ventajas para tu empresa, entre ellas, el control minucioso de la producción para su optimización.

Aunque esta transformación presenta nuevas oportunidades de negocio, también abre puertas a amenazas de ciberseguridad de las que muchas empresas ni siquiera son conscientes a día de hoy.     

En este ámbito, Trend Micro y Celada han publicado una investigación sobre los riesgos asociados a la conectividad de máquinas CNC. Para ello, han realizado evaluaciones de seguridad en cuatro de los proveedores más representativos de controladores CNC en todo el mundo: Haas, Okuma, Heidenhain y Fanuc.

Simulador de Okuma utilizado durante el testing (Fuente: Trend Micro)

La investigación y sus resultados

La evaluación ha identificado y confirmado la ejecución exitosa de 18 ataques (o variaciones de ataques) que se agrupan en 5 tipos: RCE (Remote Code Execution/Ejecución remota de código), daños en la máquina, denegación de servicio (DoS), hijacking y robo de propiedad intelectual.

En los siguientes avisos publicados por Incibe-cert (centro de respuesta a incidentes de seguridad del Instituto Nacional de Ciberseguridad) podrás ver los CVEs asociados a las investigaciones realizadas, todas ellas de importancia alta o crítica:

• Múltiples vulnerabilidades en Haas Automation Controller: https://www.incibe-cert.es/alerta-temprana/avisos-sci/multiples-vulnerabilidades-haas-automation-controller
• Autenticación incorrecta en Hedenhain: https://www.incibe-cert.es/alerta-temprana/avisos-sci/autenticacion-incorrecta-heidenhain

Además, aunque en esta investigación no está enfocada en CNCs de Siemens, puedes comprobar que también se publican CVEs periódicamente para dichos controles:

• Aviso de seguridad de Siemens: https://www.incibe-cert.es/alerta-temprana/avisos-sci/avisos-seguridad-siemens-noviembre-2022

El mercado está empezando a ver al rey desnudo en lo referente a la ciberseguridad industrial, y es cada vez más consciente de las enormes vulnerabilidades a las que están sometidas las máquinas. Esto hace que no sea posible conectarlas, dado que las actualizaciones necesarias muchas veces son inaplicables.

 

¿Qué puedes hacer para evitar estos ataques?

Algunas soluciones en el mercado promueven como ventaja competitiva no utilizar dispositivos intermedios para la captura de datos de máquina, lo cual es un error. Ya has visto que aparecen nuevas vulnerabilidades periódicamente y los fabricantes ponen a disposición las actualizaciones y parches necesarios para mitigarlas, lo cual es completamente normal en el desarrollo de cualquier software.  Pero, actualizar tus máquinas de forma individual cada vez que se publique una nueva vulnerabilidad es inviable, porque requiere de una parada de producción para la actualización y esto no es posible en muchos entornos.

Por eso, la estrategia de Savvy es utilizar siempre el dispositivo intermedio Savvy SmartBox.

Utilizando nuestro sistema, tus controles nunca se conectarán ni en red ni a internet.  Solo se conectarán con nuestro dispositivo SmartBox, que dispone de dos bocas de red no switcheadas, una para conectarse con el controlador de la máquina y otra para conectarse con la red IT, y que recibe todas las actualizaciones y parches de ciberseguridad de manera periódica. Por tanto, será irrelevante que tu control nos esté actualizado en términos de ciberseguridad ya que nuestro SmartBox se encarga (y está certificado para ello) de mantener seguras todas las comunicaciones y, sobre todo, de mantener aislado a la máquina.

Aunque nuestras soluciones tuvieran temporalmente alguna vulnerabilidad, hasta que la detectáramos y la parcheáramos en una actualización, el vector de ataque para llegar hasta tu máquina sería tan complejo que sería inviable, dadas las múltiples capas de seguridad, autenticación y registro forense que interpone nuestro sistema como defensa ante posibles ataques a activos.

Además, conectar tus máquinas a nuestro sistema tiene varias ventajas:

• Análisis de datos en el Edge (al lado de la máquina).
• Evitar sobrecargas de los elementos que están encargados de la operación de la máquina, tales como el PLC y el CNC.
• Versatilidad a la hora de actualizar el software.
• Simplicidad en el control de activos.
• Facilidad de instalación. Autodesplegable y autoconfigurable.
• Captura de datos de diferentes niveles: PLC, CNC, ERP; otros estándares del mercado OPC UA, MQTT,etc. y en caso de dispositivos muy antiguos, modo compatibilidad FTP, XML, CSV, SQL.

En Savvy Data Systems nos tomamos muy en serio la Ciberseguridad a la hora de diseñar e implantar soluciones digitales para nuestros clientes. Muestra de ello es que somos la única empresa con triple certificación de ciberseguridad: Common Criteria, ISO/IEC 15408, ISO / IEC 18045.