¡Cuántos dedos se hubieran salvado si mi máquina de cortar cartones avisara de los accesos remotos!

¡Menuda pregunta! Algunos te dirán tajantemente que no, que el acceso remoto siempre te abre un agujero de seguridad. Y probablemente tengan razón. Pero hoy en día, el acceso remoto no es una opción, así que tendremos que minimizar los riesgos.

Por donde empezamos, ¿software específico de escritorio remoto o escritorio virtual? Se me ponen los pelos de punta solo de pensarlo. Necesitas un PC en máquina, muchas veces solo para esta única tarea. Hay que tener en cuenta los costes de licencia de este software y tienes que tener el software de programación actualizado (con su coste de licencia adicional) ¡y se lo dejas accesible al cliente! Y lo peor, ¡estas soluciones te proporcionan acceso a toda la red del cliente! no solo a tu máquina. ¡DESCARTADAS!

También tenemos las VPNs propietarias, muy seguras, eso sí, las gestiona en muchos casos el firewall perimetral del cliente y es el propio cliente el que genera y controla los usuarios, contraseñas, trazabilidad de las conexiones, etc. Estos motivos que las hacen ‘buenas soluciones’ también son sus debilidades.

¿Qué pasa si en el momento crítico que necesitas conexión a la máquina tu cuenta está deshabilitada? Como todos sabemos, el informático que nos tiene que habilitar la cuenta, [sarcasmo mode on] es un señor que está todo el día sentado en su despacho sin hacer otra cosa que esperar a que le avisen para activar un acceso por VPN. No tiene que mirar porque no imprime la impresora, ni actualizar el antivirus, ni lidiar con ataques de ransomware, y, por supuesto, está disponible 24 horas al día para esto [sarcasmo mode off].

Además, estas soluciones rara vez cumplen normativas que regulan el acceso remoto a máquina. Por ejemplo, la norma UNE-EN 415 del 2014, que regula en su parte 10 la seguridad de las máquinas de embalaje nos dice, entre otras cosas, que siempre que hay un acceso remoto, la máquina tiene que ponerse en estado de safety, vamos, como si se abriera la jaula de seguridad, y además tiene que haber una señal luminosa o acústica que indique que se está accediendo desde fuera y que la propia máquina tiene que tener un mecanismo para permitir o denegar el acceso remoto. O sea, que tiene que haber un botón, una llave o algo físico (que no sea arrancar el cable) que nos permita controlar a pie de máquina los accesos remotos.

¿De verdad el firewall perimetral o el gestor general de VPN’s de la empresa está conectado a la máquina? Lo dudo.

El elemento de acceso remoto a máquina debe formar parte de la máquina

Esta sencilla frase la tenemos que tener tatuada a fuego en nuestra conciencia de usuarios remotos. Es muy fácil de recordar, “el elemento de acceso remoto a máquina debe formar parte de la máquina”. Hasta tiene musicalidad. Pero cuidado, una vez que sabemos que el elemento de acceso remoto a máquina debe formar parte de la máquina, no podemos irnos a coger cualquier modem o router de tres al cuarto, no. Tenemos que elegir un dispositivo o, mejor aún, un sistema que nos dé todas las garantías de funcionamiento y seguridad que necesitamos. ¿Y qué le tienes que pedir a este tipo de sistemas? Muy fácil: Seguridad, Alta Disponibilidad, Eficiencia y Facilidad de uso.

Aquí es donde entran en escena Ewon y Talk2M.

Ewon lleva más de 20 años fabricando routers industriales y es, posiblemente, el equipo de acceso remoto más usado en la industria.

Talk2M es el servicio de gestión de accesos remotos en la nube que, desde 2006, ha convertido este tándem en el mejor valorado por los ingenieros de todo el mundo para el acceso remoto.

Fíjate en esta imagen…

…estos números no se consiguen porque sí. Veamos qué tiene de especial este sistema para estar donde está.

¿Tiene identificación y autenticación única por usuario?

Por supuesto, todas las personas con acceso remoto a la máquina tienen que tener su propio usuario y contraseña. Esto con Ewon y Talk2M es posible, ya que podemos crear tantos usuarios del servicio como necesitemos.

Pero todo el mundo conoce los passwords por defecto.

Hay que cambiarlos. Ahora, los equipos Ewon obligan a cambiar el password por defecto en el primer uso.

¿Podemos usar multifactor para la autenticación?

Claro, asociando un dispositivo físico, como el móvil, a una cuenta de cualquier servicio cloud (desde acceso remoto hasta servicios bancarios), evitamos la suplantación de identidad. El servicio de Talk2M te permite el uso del mutifactor al iniciar sesión, vinculándolo con hasta dos dispositivos móviles.

Pero, todo el que entra puede ver y tocar todo, ¿no?

No, no todo el mundo tiene que tener acceso a todo. Las políticas de usuarios de Ewon y Talk2M te permiten decidir quién tendrá acceso a qué, incluyendo qué protocolos de comunicación permitiremos usar durante la conexión remota.

Me preocupa saber quién ha hecho qué y cuándo.

Tranquilo, el servicio de Talk2M incorpora un registro de conexión que no se puede desactivar (aquí ni por mala praxis del usuario final la podemos liar). Este registro guarda quién, cuándo, a qué y durante cuánto tiempo se ha realizado una conexión remota y, además, para cada conexión podemos detallar lo que se ha realizado en la máquina.

¿Cómo puede permitir o no la máquina el acceso remoto?

Esto es fundamental. El acceso remoto solo puede ser usado si previamente se ha activado un selector en la máquina o el SCADA y ese mismo selector debe interrumpir dicho acceso al pasar a modo OFF. Los dispositivos Ewon incorporan una entrada digital que, correctamente usada, permite o interrumpe el acceso remoto.

¿Puedo saber si hay alguien conectado en remoto?

Siempre tenemos que saber si, una vez activado el permiso anterior, se está realizando el acceso. Imprescindible para garantizar la seguridad del personal por los alrededores de la máquina. Ya sabes, eso de los dedos… Ewon también dispone de una salida digital que puede encender una luz, hacer sonar una alarma o mostrar un indicador en el SCADA de turno. Si las medidas de safety lo requieren, esta señal puede ser usada por el PLC para colocar la máquina en un estado de seguridad mientras dura el acceso remoto.

Me preocupa la privacidad de mis datos.

Por supuesto, ¿a quién no? Si usas Ewon junto con el servicio Cloud de Talk2M todo el tráfico está cifrado, encriptado y circulando por VPN. Sin esto sería imposible ofrecer este servicio.

Pero yo no quiero por error meterme en la red del cliente y liarla parda.

Tranquilo, quien ofrece teleservicio no necesita acceder a la red planta. Ni lo necesita ni lo quiere. Solo quiere acceso a su máquina. Ewon segmenta la red de planta de la de máquina garantizando acceso exclusivo a esta última. Y recordemos que aplicando las políticas de usuarios que Ewon y Talk2M proporcionan, solo ofreceremos acceso a las partes de la máquina que cada usuario necesite.

Ya, pero el cliente no me deja usar su red para salir a internet, le da miedo.

Este punto es delicado. Seguro que tu cliente tiene un firewall perimetral y todo el tráfico tiene que pasar por él, sí, todo, incluido nuestro Ewon. Simplemente tenemos que hacer ver al cliente que él (su firewall) es quien realmente controla el tráfico. El firewall perimetral permitirá la salida del Ewon únicamente hacia los servidores de Talk2M y, por supuesto, el Ewon no necesita ningún puerto de entrada abierto. ¡Atención a esto! los principales fabricantes de firewalls incorporan en sus bases de datos las políticas necesarias para permitir las conexiones del Ewon a Talk2M con un par de clics.

Cada vez hay más amenazas de seguridad, ¿cómo influye esto en mis sistemas de acceso remoto?

Es muy importante no permitir el acceso a la máquina directamente desde Internet. Con Ewon, solo los accesos desde el servicio Cloud de Talk2M son admitidos. Con eso minimizamos los riesgos de seguridad. Otra cosa importante es mantener el firmware del Ewon actualizado. Ewon se encarga de añadir todas las medidas de seguridad necesaria en sus firmwares y tú solo tienes que instalarlo. Y de la seguridad del servicio de Talk2M también se encargan ellos.

Todo eso está muy bien, pero seguro que cuando lo necesito no funciona.

¡Eso sí que no! El servicio de acceso remoto cloud de Ewon no tiene competencia. Fuimos los primeros del mercado con más de 20 años de experiencia. Disponemos de una infraestructura global de más de 20 datacenters repartidos por todo el mundo capaces de balancear la carga en cada momento. El sistema está monitorizado 24/7/365. No tendríamos más de 20.000 clientes y más de 400.000 Ewons registrados, si el servicio no funcionase.

Pero la ciberseguridad va mucho más allá de contestar esta serie de preguntas. Nos falta definir quién o quiénes serán los responsables de cumplir con las tareas de ciberseguridad. ¿Quién actualiza el firmware? ¿Quién revisa los registros de acceso? ¿Quién verifica que la red de origen del acceso remoto es confiable? Y muchísimas otras cosas. Y esto no depende de usar un Ewon o un servicio propietario de VPN. Por eso siempre hay que buscar un partner de confianza, que sepa lo que hace, lo que vende, cómo se usa… Tendremos que realizar un contrato de servicio donde queden claras las responsabilidades de cada uno. Y este partner tiene que ser capaz de dar formación sobre el producto y todo lo relacionado con él.

En este punto puedes contar con SIDE, puedes contar con nosotros.

Ewon es una marca de HMS, que fabrica las tecnologías, pero aquí, en España, está SIDE para ponerlas en el mercado.

Ofrecemos asesoramiento comercial y técnico tanto preventa como postventa, servicio de formación, de stock, reparaciones, desarrollo de proyectos…

Somos especialistas en tecnologías y soluciones de automatización industrial desde hace 40 años, con ingeniería propia y experiencia real del mercado y sus necesidades. Tenemos más de 20 años de experiencia en comunicaciones industriales y en acceso remoto a máquina. Más de 5 años de experiencia en proyectos IIoT y análisis de datos. Por supuesto, somos quien mejor conoce el producto Ewon, sus aplicaciones, sus usos y sus beneficios, ya que tenemos centenares de clientes con sus centenares de aplicaciones e ideas. Y además somos expertos en ciberseguridad industrial, esencial hoy en día, pero muy pocas empresas pueden decirlo.

César Ricón Bada

Ingeniero en Informática

Máster en Ciberseguridad Industrial

Director de proyectos IIoT en SIDE

Este artículo aparece publicado en el nº 542 de Automática e Instrumentación págs. 48 a 50.