Nube o periferia en la industria: ¿qué impacto tiene en la ciberseguridad y la gestión inteligente?
.jpg)
Todo lo que quería saber sobre la nube industrial (pero no quería preguntarle a su director de tecnología)
En un mundo en el que incluso las instalaciones industriales más críticas están controladas por inteligencia artificial, El debate entre la nube y la periferia ya no hace sonreír a nadie.
¿Deberíamos mantener la inteligencia in situ? ¿Es más seguro, rápido y autónomo? ¿O deberíamos centralizarnos en la nube, corriendo el riesgo de ser hackeados por una nevera conectada?
Revelación: la respuesta no es tan sencilla. Especialmente cuando hablamos de gestión en tiempo real, arquitectura multisitio o ciberseguridad industrial.
Para desmitificar todo esto, formulamos nuestras preguntas a Gautier Avril, CTO de Control puro. Sin filtros, sin jerga, pero con una buena dosis de sentido común industrial.
1. Cloud o EDGE: ¿qué modelo es el más seguro para la gestión industrial?
Gautier Avril: La computación EDGE tiene la gran ventaja de permitir el procesamiento local y, al mismo tiempo, mantener la conectividad con datos externos (actualizaciones de modelos, datos meteorológicos, etc.), limitar la cantidad de datos reportados y permitir una mayor reactividad (por ejemplo, para aplicaciones con cálculos que deben realizarse cada segundo o menos). Por lo tanto, es una solución que puede ser más sencilla y eficiente y que resulta esencial en ciertos casos de uso.
Sin embargo, estas ventajas requieren precauciones de ciberseguridad particulares. Cada dispositivo del sitio se convierte en un punto de vulnerabilidad eso tendrá que ser parcheado, supervisado, auditado y protegido. Si un sistema no se mantiene, es una puerta abierta a los ciberataques.
Aunque EDGE hace sus cálculos localmente, estos cálculos no son más seguros: sería necesario poder analizar todos los algoritmos del equipo y sus reacciones ante los datos de entrada falsificados (por ejemplo, modificando los datos meteorológicos). Es imposible con códigos cerrados. E incluso con códigos abiertos, es inconcebible volver a hacer este trabajo cada vez que actualizas para comprobar que el nuevo algoritmo no contiene una puerta trasera.
Paradójicamente, la computación EDGE a veces tiene una imagen más segura que la nube cuando es completamente lo contrario: es mucho más fácil proteger un punto único que 150 sitios remotos.
Vimos la misma lógica que en la década de 2010: los servidores de correo electrónico autohospedados daban la impresión de ser más seguros que las soluciones en la nube como Office365 o Gmail. Hoy parece que queda mucho por hacer, y algunos lo han aprendido por las malas.
La computación EDGE, que es de verdadero interés técnico para aplicaciones específicas, requiere precauciones adicionales. En otros casos, una solución en la nube será más fiable y fácil de mantener. En Purecontrol, nuestros servidores son hospedado en Francia, en Centros de datos con certificación ISO 27001, con auditorías de seguridad periódicas, mecanismos de autenticación sólidos y un registro de actividad completo.
«Si tiene 150 sitios periféricos, tiene 150 sistemas que corregir, auditar... y 150 riesgos que gestionar».
2. ¿Cuál es el mayor riesgo cibernético que ve sobre el terreno?
G.A.: No es necesariamente el ataque ultra sofisticado que viene del otro lado del mundo. Lo es con frecuencia La línea de falla local olvidada : un PC con Windows 7, un autómata expuesto en Internet, una contraseña de administrador «1234" o una memoria USB utilizada «por costumbre».
El peligro rara vez proviene de la tecnología en sí misma. Proviene del complejidad de los sistemas mal controlados, o la falta de recursos para mantenerlos adecuadamente. Todavía vemos demasiados sitios donde se encuentra el SI industrial documentado a mano, donde las actualizaciones se retrasan por falta de recursos y los operadores eluden las protecciones para ahorrar tiempo. De ahí nuestro enfoque: Cuantas menos puertas haya, menores serán los riesgos. Y cuanto más simples son las arquitecturas, más se siguen.
Si bien es tentador querer aislar completamente los sitios, nos parece más apropiado proteger adecuadamente las comunicaciones útiles. Esto permite mantener los sistemas actualizados, supervisarlos adecuadamente y evitar soluciones alternativas que pueden resultar devastadoras.
«Los espectaculares ciberataques están en los titulares. Sin embargo, en la mayoría de los casos, la falla ya estaba ahí, in situ, y había sido olvidada durante años».
3. Concretamente, ¿cómo funciona su enfoque de ciberseguridad en Purecontrol?
G.A.: Nuestro modelo se basa en tres pilares claros :
- Una infraestructura segura, soberana y auditable
Todos los datos están alojados en servidores en Francia. Todos los flujos están cifrados y segmentados, y los accesos son seguros. Permitimos que nuestros clientes hagan sus propias pruebas de penetración para validar nuestra arquitectura. - Un control indirecto de la IA
Nuestros algoritmos generan recomendaciones, como modificar un punto de ajuste de velocidad, un punto de ajuste de nivel,... pero nunca controles a los autómatas directamente.
Siempre es El autómata local quien comprueba y valida que el pedido se mantenga dentro de los rangos autorizados. Si hay alguna duda, rechaza el pedido. - Reversibilidad instantánea
Si se pierde la conexión o si se detecta una anomalía, El sitio vuelve automáticamente al control local. La arquitectura está diseñada para garantice la continuidad del negocio sin depender de la conexión a la nube.
Gran parte de la seguridad de nuestra solución se basa en equipos dedicados (firewalls con filtrado de aplicaciones), que los equipos de TI de nuestros clientes administran de forma centralizada. Estos equipos son mucho más conscientes de los riesgos cibernéticos, lo que permite garantizar que sus equipos estén actualizados y siempre seguros.
Por el contrario, hemos visto muchas soluciones locales que, sobre el papel, ofrecen niveles de seguridad muy altos, pero cuyas protecciones se eliminan o están mal configuradas. Cuando preguntamos a los operadores acerca de estas opciones, nos dicen que son para»una prueba»,»Que fue temporal pero que duró»,»que no funcionó»,»Que era inútil (¡sic!)».
Por lo tanto, no gestionamos Nunca los firewalls de nuestros clientes. Esta separación de funciones es fundamental. El cliente sigue siendo soberano sobre su entorno de red. Proporcionamos inteligencia, pero el control es local.
4. ¿Y por el lado del rendimiento? ¿Hacer todo en la nube no genera latencia o una gran cantidad de datos?
G.A.: De hecho, es una pregunta legítima. En el caso de procesos industriales como las plantas de tratamiento de aguas residuales, las salas de calderas, los procesos de aireación..., los tiempos de reacción son del orden de el minuto, o incluso la hora. En estos casos, la recopilación de datos se realiza por minuto, lo que representa un volumen de datos muy limitado: 6000 sensores leídos por minuto representan un volumen de datos inferior al de una sola foto HD de un teléfono móvil.
Para las estaciones de bombeo, los tiempos son más cortos y tener datos y control por segundo podría ser de gran interés. En este caso, el volumen de datos es un poco más significativo y un enfoque perimetral podría tener algunas ventajas. Sin embargo, en este caso específico, Purecontrol sí gestión holística. Es decir, ya no administramos cada estación de forma individual, sino que las conectamos en red como un todo, sincronizando las estaciones entre sí para una mayor eficiencia). Por lo tanto, la administración está centralizada con un nodo central. quién debe conocer la situación de cada puesto. Por lo tanto, la solución en la nube es naturalmente más adecuada.
«No se necesitan milisegundos para controlar una planta de tratamiento de aguas residuales. Lo que se necesita es previsión. Y eso es exactamente lo que hace nuestra IA».
5. ¿Qué cambia la Industria 4.0 en términos de ciberseguridad?
G.A.: La industria 4.0 es más inteligencia, pero también más exposición. Cada sensor, cada API, cada autómata es una oportunidad de optimización... pero también un vector de riesgo potencial.
Y lo que vemos con frecuencia es que los proyectos se vuelven más complejos a medida que evolucionan. Apilamos las capas: nube privada, periferia local, VPN, plataformas de IoT, servidores locales... Resultado: arquitecturas demasiado complejas y difíciles de auditar, que acaban siendo ignorados.
Nuestro enfoque consiste en Dominar la base. Una arquitectura simple, supervisada y documentada, diseñada desde el principio con los principios correctos: ciberseguridad desde el diseño, separación de funciones, trazabilidad, validación local.
6. ¿Y si realmente quiero EDGE? ¿Puedes adaptarte?
G.A.: Desde nuestro punto de vista, las elecciones deben estar informadas desde el punto de vista técnico y no deben descartarse los riesgos que plantean las soluciones EDGE porque son intuitivamente más tranquilizadoras.
No tenemos nada en contra de las soluciones EDGE, que son esenciales para ciertos casos de uso. Por ejemplo, ¡un vehículo autónomo no está preparado para ser conducido por la nube! Las razones son puramente técnicas: el volumen de datos y la latencia hacen que sea inviable tener un control fiable desde la nube. La ciberseguridad no tiene nada que ver con eso. Si consigues poner en peligro el software EDGE del vehículo, podrías programarlo para que atropelle a la gente a la primera oportunidad.
Requerir EDGE cuando no hay ningún motivo técnico es algo habitual, pero siempre nos negamos. Por experiencia sabemos que estas posturas dogmáticas suelen ir de la mano de redes complejas y mal mantenidas. En cambio, buscamos aumentar la conciencia de los clientes para abordar las vulnerabilidades de la manera más eficaz posible.
7. ¿Una palabra para los operadores que aún dudan de la IA en la gestión industrial?
G.A.: La IA no es mágica. No es un sustituto. Lo es una herramienta de apoyo a la toma de decisiones, lo que permite anticipar desviaciones, optimizar las instrucciones y estabilice los procesos 24/7.
En Purecontrol, hemos elegido una IA al servicio de las operaciones: nuestros modelos son transparentes sobre las acciones futuras, sus recomendaciones son visibles y rastreables. El operador siempre puede Recupera el control, cambiar una instrucción, ir a nivel local o simplemente explote los análisis producidos por la IA..
La IA simplemente se adapta a un volumen de datos que no es posible procesar humanamente: lo hace ahorre tiempo, tranquilidad y rendimiento.
«La IA trabaja para ti las 24 horas del día, los 7 días de la semana, pero tú sigues siendo el director».
8. ¿Y la Ley de IA en todo esto? ¿Estamos preocupados?
G.A.: El tema se plantea con frecuencia, y con razón. LALey IA impondrá normas estrictas a los sistemas considerados de «alto riesgo», especialmente en los sectores del agua, la energía o la gestión de infraestructuras críticas.
Hicimos el análisis legal y técnico de nuestra solución y no nos afecta esta categoría, porque nuestra IA nunca toma decisiones de forma independiente. Ofrece un escenario operativo óptimo, pero lo es El autómata local que sigue siendo el guardia de seguridad, verificando que cada instrucción cumple con las restricciones comerciales previamente establecidas (rangos de operación, umbrales, normas de seguridad, etc.).
Aplicamos los principios del reglamento (transparencia, supervisión humana, seguridad), pero sin estar sujetos a las obligaciones más estrictas. Este posicionamiento nos permite ofrecer a nuestros clientes al mismo tiempo cumplimiento, simplicidad y rendimiento.
Confianza, seguridad y eficiencia: el tríptico de la gestión industrial controlada
Ante los sistemas industriales cada vez más conectados, la ciberseguridad ya no puede ser una opción. El modelo Purecontrol (nube soberana más validación local) ofrece un compromiso sólido entre seguridad, rendimiento y simplicidad. Le permite centralizar lo que necesita centralizarse y, al mismo tiempo, mantener el control in situ, donde es esencial.
Más que una elección técnica, es una respuesta concreta a los desafíos de las industrias del agua, la energía y las infraestructuras críticas.
