En medio de la crisis por la pandemia de COVID-19, una de las industrias que saldrá triunfante será la farmacéutica, la cual prevé un crecimiento en ventas de hasta 7% al cierre de este año en México, ubicándose en el octavo productor de equipo médico a nivel mundial y el primero en Latinoamérica, de acuerdo con Rafael Gual, director general de la Cámara Nacional de la Industria Farmacéutica. Dado el nivel de valor monetario que las compañías farmacéuticas y sus fórmulas de medicamentos tienen hoy, sus procesos de manufactura se han convertido en un objetivo importante para los ataques cibernéticos. A pesar de esto, muchas organizaciones aún carecen de las soluciones de seguridad adecuadas para abordar las vulnerabilidades de los entornos OT y evitar este tipo de ataques.
“Es verdaderamente grave lo que un ciber ataque en este sector puede provocar, no sólo por las interrupciones operativas o el tiempo de inactividad de la producción, pero más allá de eso, puede dar lugar a medicamentos ineficientes o manipulados, derrames de materiales peligrosos y otros resultados dañinos”, dijo Luis Isselin, Country Manager de Tenable México.
El directivo explicó que en el corazón de las instalaciones de la manufactura farmacéutica se encuentran los sistemas de control industrial (ICS), los cuales se encargan de controlar la calidad de la producción y asegurar que los productos químicos y otras sustancias se mezclen, calienten y enfríen estrictamente de acuerdo con las especificaciones de cada medicamento.
Para evitar que cualquier incidente comprometa estos sistemas ICS críticos, debido a un ciberataque o un error humano, y además se cumplan con los requisitos de las regulaciones federales, los fabricantes farmacéuticos necesitan una mejor visibilidad y control de la seguridad de sus redes ICS.
Esto se puede lograr aprovechando las soluciones de seguridad que utilizan consultas activas y monitoreo pasivo para proporcionar visibilidad, seguridad y control continuos para los equipos de TI y OT y para garantizar que sus dispositivos estén funcionando como deberían en todo momento. Con este conocimiento y control de su infraestructura OT, los equipos de seguridad están informados oportunamente de cualquier cambio o anomalía y pueden tomar medidas para remediar las vulnerabilidades que representan un riesgo para la operación.
A decir de Luis Isselin, los errores involuntarios son la causa principal del tiempo de inactividad operativa. Los errores simples, como realizar cambios en el controlador lógico programable (PLC) incorrecto, o el mantenimiento incompleto de los sistemas de control distribuido (DCS), pueden causar una amplia gama de interrupciones y tiempos de inactividad, y dar como resultado productos peligrosos.
Para evitar esto, las organizaciones requieren soluciones de seguridad que ofrezcan un seguimiento en tiempo real de las actividades de ICS, alertas de detección temprana, registros detallados de información de incidentes, y bitácoras de eventos exhaustivas para garantizar la actividad de mantenimiento y las capacidades de control de configuración.
A pesar de operar en un entorno muy regulado, algunas de las redes ICS utilizadas en la manufactura de productos farmacéuticos carecen de estas soluciones integrales de seguridad y de los controles básicos necesarios para garantizar que se cumplan los requerimientos establecidos. Por ejemplo, la mayoría de los dispositivos de control como los PLCs, unidades terminales remotas (RTU) y controladores DCS carecen de autenticación, utilizan contraseñas predeterminadas y no pueden cifrar su comunicación. Esto hace que sea prácticamente imposible evitar cambios no autorizados en estos sistemas.
Además, la falta de registro de eventos hace que sea muy difícil identificar los cambios. Esta carencia de visibilidad y control en las redes ICS impide la detección temprana de incidentes de seguridad, ya sea causados por ataques cibernéticos o por errores humanos. Como resultado, los problemas a menudo se detectan demasiado tarde, generalmente después de que ocurrieron interrupciones o que los activos fueron afectados.
En las redes ICS, los cambios en la lógica de control, el firmware del PLC y la configuración se ejecutan a través de protocolos patentados específicos del proveedor conocidos como el plano de control.
Cada proveedor de OT utiliza su propia implementación del estándar internacional IEC-61131 para controladores programables, y dado que estos rara vez se documentan, se convierte en un desafío para asegurar. Estas situaciones se traducen en oportunidades para los atacantes, y las organizaciones deben priorizar la seguridad de estas redes garantizando que los equipos de seguridad estén al tanto de todos los cambios en los controladores PLC, RTU y DCS, incluidos los ajustes de firmware y los controles de configuración
En ese sentido, Isselin dijo que el principal desafío de seguridad en la manufactura farmacéutica, similar a otras industrias, es la visibilidad de las actividades de ingeniería.
¨Esto es preocupante, porque todos los controles y procesos de seguridad dependen de la visibilidad que proporcionan los inventarios de activos completos. Las soluciones de seguridad que proveen un inventario completo de hardware y software para todos los marcos de seguridad y requisitos de cumplimiento, entre ellos, los controles CIS y el marco de referencia NIST, son indispensables para mejorar la ciberseguridad de las infraestructuras críticas y el NERC CIP¨ concluyó Luis Isselin.
Para asegurar los entornos críticos de manufactura de productos farmacéuticos, las organizaciones deben buscar invertir en soluciones que puedan garantizar el inventario y control de todos sus activos y sistemas y de esta manera habilitar a los equipos de seguridad para que estén al tanto de cualquier cambio en la red.
A medida que estas amenazas externas continúan persistiendo, es imperativo que los equipos de seguridad prioricen las vulnerabilidades de alto riesgo y detengan los cambios no autorizados en los sistemas y controladores. Con esto, los equipos de seguridad pueden garantizar la protección de la propiedad intelectual y reducir la amenaza de un ciberataque perjudicial.