Industria 4.0: La ciberseguridad extremo a extremo en los entornos de IoT

Cada día, y de manera cada vez más frecuente, nos encontramos expuestos a amenazas a ataques informáticos y de ciberseguridad a nivel de equipos y dispositivos instalados en empresas de producción industrial, en especial en lo relativo a sistemas novedosos como el Internet of Things. Los sectores agroalimentario, farmacéutico, cosmético, químico, donde AINIA desarrolla su actividad, no están exentos de este tipo de amenazas. INCIBE, la agencia nacional promovida por el Ministerio en Digitalización e Inteligencia Artificial, especializada en ciberseguridad, publicó en 2020 un informe llamado “Seguridad en la instalación y uso de dispositivos IoT: Una guía de aproximación para el empresario”. La finalidad de este informe es ayudar a las empresas a gestionar la conectividad de dispositivos IoT (Internet of Things) desde un punto de vista seguro. La naturaleza de estos dispositivos hace que su potencial de vulnerabilidad sea muy alto, dado que son dispositivos muy conectados entre sí a otros muchos, y a que, en ocasiones, no se les da la importancia y el nivel de protección necesario. Además, no disponen de mecanismos de autenticación robustos, ni tampoco de gran capacidad de computación lo que limita también las oportunidades de implantar tecnologías criptológicas que permitan proteger la información tanto en su almacenamiento como en las comunicaciones.

En AINIA, estamos desarrollando aplicaciones industriales de tratamiento masivo de información con el objetivo de mejorar la gestión de la calidad de los productos y su seguridad alimentaria. En este contexto, el Internet of Things, es una tecnología habilitadora de la Industria 4.0 para hacerlo realidad. Es importantísimo lograr obtener datos del entorno productivo de manera automática y que puedan procesarse a posteriori por algoritmos avanzados para hacer realidad este paradigma. Conscientes de la necesidad de disponer de datos fiables y robustos a la hora de construir modelos predictivos o descriptivos del entorno productivo, el equipo del departamento de Tecnologías de la Información de AINIA, ha desarrollado un framework tecnológico de control de la ciberseguridad de dispositivos IoT extremo a extremo para un entorno industrial desde el entorno de fábrica hasta la nube, y su posterior utilización por parte de aplicaciones. Esta actividad forma parte de la línea de I+D en tecnologías de computación que AINIA está desarrollando en el marco del programa PROMECE 2021 financiado por el Instituto Valenciano de Competitividad Empresarial (IVACE).

En este trabajo se han analizado los procesos principales que tienen lugar desde el elemento sensor/actuador hasta el almacenamiento y consumo posterior del dato desde la nube, teniendo en cuenta el estado del arte de las tecnologías actuales, y sus carencias más acuciantes, a lo largo de toda la cadena de custodia y tratamiento de la información. En este sentido, se ha estructurado el framework en diferentes fases y bloques para los que se han identificado alternativas tecnológicas y propuestas concretas de implementación y en los que pensamos que se necesitan esfuerzos específicos a la hora de implantar este tipo de sistemas:

1. Lectura del dato original proveniente del transductor del sensor e integridad del dato en origen.
2. Securización y bastionado de dispositivos IoT industriales con capacidad de cálculo, en principio, a nivel de concentradores en un contexto de Edge Computing, es decir, almacenamiento cache y acceso a los dispositivos para su administración y gestión individual.
3. Securización del canal de comunicación entre el dispositivo y la nube o Data Center, tanto en contextos de envío de la información en bloques utilizando tecnologías de RCP (por ejemplo, un API REST), o bien abordando el envío continuo en streaming de la información utilizando protocolos de transporte (por ejemplo, MQTT).
4. Protección de las comunicaciones desde el dispositivo IoT hasta la nube, a nivel de capas de cifrado, incorporando la combinación de tecnología de VPN y SSL de última generación.
5. Protección del almacenamiento del dato, especialmente en aquellos casos en los que se esté protegiendo información de carácter personal, como, por ejemplo, la localización de un trabajador en una fábrica. Aquí se ha hecho hincapié en definir diferentes estrategias dependiendo de los sistemas de gestión de bases de datos y/o control de ficheros de almacenamiento.
6. Mecanismos de autenticación de acceso a los datos almacenados en cada una de las fases, es decir, tanto en el entorno más cercanos a la red de sensores, como desde el entorno cloud.
7. Mecanismos de protección en las comunicaciones entre el almacenamiento del dato en el sistema cloud y su consumo en forma de aplicaciones a emplear por los diferentes departamentos técnicos y de gestión de las empresas productoras.
8. De manera vertical, se ha identificado metodológicamente la necesidad de definir políticas integrales de gobierno, control y administración de los recursos a proteger, en este caso, los datos que adquirimos del entorno industrial y también de otros equipos auxiliares como equipos de laboratorio, por ejemplo, para controlar aspectos microbiológicos de los alimentos.

Durante el proyecto, se ha tenido en cuenta las guías del Esquema Nacional de Seguridad, promovido en 2015 por parte del Ministerio de la Presidencia. El ENS es la referencia para la protección de la información en el sector público en España, y busca el impulso de la gestión continuada de la seguridad proporcionando un conjunto de requisitos uniforme al sector industrial, siendo un referente de buenas prácticas.

Desde AINIA, estamos convencidos de la protección de la información extremo a extremo constituye la base sobre la que construir soluciones TIC que permitan aprovechar los datos para mejora la calidad de los productos alimentarios que los clientes y consumidores demandan, así como para dar pasos hacia asegurar la inocuidad total de los alimentos. Gracias a este marco de tecnologías confeccionado por AINIA para la protección de la información, es posible seguir confiando en las TIC, y en el Internet of Things en particular, como la base tecnológica que permita automatizar la custodia y vigilancia de la obtención y tratamiento de los datos. Este aspecto es clave para que las empresas puedan tomar decisiones sobre la base de datos íntegros y fiables, que no hayan sufrido manipulaciones tanto internas como externas, y que podamos disfrutar de alimentos de buena calidad y seguros para nuestra salud.