Standards & Safety 3 min read

IEC 62443 Ciberseguridad de sistemas de control industrial: requisitos de parcheo y mantenimiento

Technical analysis: Cyber security IEC 62443 for industrial control systems: patching and maintenance

Кібербезпека промислових систем управління за IEC 62443: вимоги до патчингу та технічного обслуговування - UNITEC-D Industrial MRO
Стаття розглядає практичні вимоги стандарту IEC 62443 до патч-менеджменту та технічного обслуговування промислових систем управління на українських підприємствах. Включено чек-лист відповідності, вимо

Introducción: por qué la ciberseguridad de los ATS es un tema de mantenimiento

Los sistemas de control industrial (ICS/ACU TP) de las empresas ucranianas funcionan en condiciones de constantes amenazas cibernéticas. Según CERT-UA, en 2023-2024 se registraron más de 2500 incidentes dirigidos a instalaciones de infraestructura crítica. La norma IEC 62443 (una serie de 14 documentos, la última edición consolidada: 2024) define un enfoque sistemático para la protección de redes industriales en todos los niveles, desde los componentes hasta las políticas organizativas.

Para un ingeniero de servicios, la ciberseguridad no es una tarea de TI abstracta. Cada parche abierto en el controlador, cada firmware no actualizado del panel HMI, cada puerto Ethernet desprotegido en la unidad es un vector de ataque. IEC 62443-2-3:2015 (Gestión de parches en el entorno IACS) regula directamente los procedimientos para actualizar el software de los componentes ACS como parte del mantenimiento programado.

El 1 de enero de 2024 entró en vigor en Ucrania la Ley "Sobre infraestructuras críticas" (núm. 1882-IX), que obliga a los operadores de instalaciones de infraestructuras críticas a implementar sistemas de ciberprotección de acuerdo con los estándares internacionales. DSTU EN IEC 62443 se adopta como estándar nacional mediante el método de confirmación.

Alcance y obligación

¿Quién debería ser responsable?

  • Operadores de objetos de infraestructura crítica (categorías A, B, C según Resolución de la CMU N° 1109)
  • Empresas con ACS TP conectadas a redes corporativas
  • Producción con sistemas SCADA, DCS, PLC de niveles 0-3 según el modelo Purdue
  • Proveedores de componentes ACS TP (requisitos IEC 62443-4-1 y 4-2)

¿Qué equipos están cubiertos por los requisitos?

  • Controladores lógicos programables (PLC): Siemens S7-1500, Allen-Bradley ControlLogix, ABB AC500
  • Paneles de operador (HMI): Siemens Comfort/Unified, Weintek, Schneider Magelis
  • Convertidores de frecuencia con interfaces de red (Profinet, EtherNet/IP, Modbus TCP)
  • Conmutadores y enrutadores industriales (Hirschmann, Moxa, Phoenix Contact)
  • Sensores y transductores con HART/Foundation Fieldbus/IO-Link
  • PC industriales, servidores SCADA, sistemas historiadores

Industrias

Energía, suministro de agua, industria química, metalurgia, industria alimentaria, producción de cemento, industria minera: cualquier producción con gestión automatizada de procesos tecnológicos.

Requisitos clave de la norma

DocumentorequisitoPeríodo de implementaciónresponsable
CEI 62443-2-1:2010+AMD1:2024Sistema de gestión de seguridad cibernética (CSMS): políticas, procedimientos y funciones12 meses desde el momento de la categorización del objeto.jefe de la empresa
CEI 62443-2-3:2015Procedimientos de gestión de parches para el entorno IACS.6 meses después de la implementación del CSMSIngeniero ACS TP / Seguridad TI
CEI 62443-3-3:2013Requisitos de seguridad a nivel del sistema (SL 1-4)Al diseñar/modernizaringeniero de proyecto
CEI 62443-4-2:2019Requisitos técnicos para componentes (SL-C)Al comprar nuevos componentesDepartamento de Compras / MRO
DSTU ISO/IEC 27001:2023Integración de ISMS con CSMSEn paralelo con IEC 62443-2-1CISO / responsable de SI

Impacto en las operaciones de mantenimiento

Aplicación de parches como parte del mantenimiento programado

IEC 62443-2-3 requiere un proceso de actualización de software formalizado para componentes industriales. Esto significa:

  1. Inventario de todos los activos de software (firmware PLC, HMI OS, versiones SCADA)
  2. Seguimiento de boletines de seguridad de los fabricantes (Siemens ProductCERT, Rockwell Knowledgebase, ABB Cybersecurity Advisory)
  3. Evaluación de riesgos antes de aplicar el parche (puntuación CVSS ≥ 7,0: crítico, período de cierre ≤ 30 días)
  4. Prueba de parches en hardware de respaldo antes de implementarlo en producción
  5. Documentación de cada actualización en el registro de cambios.

Cambios en la adquisición de repuestos.

La norma IEC 62443-4-2 establece cuatro niveles de seguridad de componentes (SL-C 1–4). Al reemplazar el controlador, interruptor o panel HMI, debe:

  • Verifique el certificado ISASecure (EDSA/SSA/SDLA) o la declaración de conformidad IEC 62443-4-2
  • Asegúrese de que el firmware admita una actualización segura (actualización de firmware firmada)
  • Solicitar documentación sobre directrices de endurecimiento al proveedor.
  • Mantenga la integridad de la cadena de suministro: compre solo a distribuidores autorizados

Documentación

Cada procedimiento de mantenimiento relacionado con sistemas ciberfísicos debe contener:

  • ID de activo y versión de firmware actual
  • Lista de parches aplicados con fechas.
  • Resultados de la verificación de integridad (sumas hash, firmas digitales)
  • Firma de una persona responsable con calificaciones (certificado GICSP, Certificado de Ciberseguridad ISA/IEC 62443)

Requisitos y certificación de componentes.

Componentes con certificación obligatoria de ciberseguridad

Tipo de componenteRequisito IEC 62443-4-2SL-C mínimoEjemplos de soluciones certificadas
PLC / PLC de seguridadFR 1–7 (identificación, autorización, integridad de datos, auditoría)SL-C 2 (producción típica), SL-C 3 (infraestructura crítica)Siemens S7-1500 (certificado TÜV SÜD), Allen-Bradley GuardLogix 5580
interruptores industrialesFR 1, FR 2, FR 5 (restricción de flujos de datos)SL-C 2Hirschmann EAGLE40, Phoenix Contact FL MGUARD
Paneles HMIFR 1, FR 3, FR 4 (confidencialidad, integridad)SL-C 2Paneles de confort unificados Siemens (V18+)
Convertidores de frecuencia con EthernetFR 1, FR 7 (disponibilidad de recursos)SL-C 1ABB ACS880, Siemens G120 con CU250S-2
Enrutadores/cortafuegos industrialesFR 1–7 (juego completo)SL-C 3Fortinet FortiGate robusto, Cisco IE-3400

Componentes mecánicos y eléctricos.

Los requisitos de ciberseguridad no anulan las certificaciones clásicas. Para los componentes que operan en un entorno ACS TP, lo siguiente sigue siendo obligatorio:

  • Marcado CE (Directiva 2014/35/UE para equipos de baja tensión)
  • Certificado UkrSEPRO para equipos sujetos a certificación obligatoria en Ucrania
  • Cumplimiento de DSTU EN 60529 (grado de protección IP) para armarios de automatización
  • DSTU EN 61439-1:2017 para dispositivos completos de baja tensión
  • Rodamientos, sellos, conectores: cumplimiento de la norma ISO 9001 y normas específicas (ISO 15:2017 para rodamientos)

Lista de verificación de cumplimiento para el administrador de servicios

  1. Se realizó un inventario completo de los activos de software del sistema de control automático (PLC, HMI, SCADA, equipos de red) y se documentaron las versiones de firmware.
  2. Se creó un registro de activos con clasificación por zonas de seguridad (zonas) y canales de comunicación (conductos) de acuerdo con la norma IEC 62443-3-2.
  3. Se define un nivel de seguridad objetivo (SL-T) para cada zona.
  4. Persona designada responsable de la gestión de parches de ACS TP (no un departamento de TI de propósito general)
  5. Firmado en el boletín de seguridad de todos los fabricantes de los equipos instalados.
  6. Se ha desarrollado un procedimiento de evaluación de riesgos antes de aplicar el parche (plantilla de evaluación de riesgos)
  7. Se ha creado un entorno de prueba para probar parches antes de la producción.
  8. Se definen los plazos máximos para cerrar vulnerabilidades: CVSS ≥ 9,0 — 14 días, CVSS 7,0–8,9 — 30 días, CVSS 4,0–6,9 — 90 días
  9. Implementé un procedimiento de respaldo para las configuraciones de PLC/HMI antes de cada actualización.
  10. Se proporciona protección física de los puertos de programación (USB, puertos serie): enchufes, cerraduras del gabinete.
  11. Comprobado los certificados IEC 62443-4-2 para todos los componentes recién adquiridos.
  12. Implementé segmentación de red (VLAN, firewalls) entre zonas de niveles 0-3 y la red corporativa.
  13. Se configura el registro de eventos de seguridad con recopilación centralizada (syslog/SIEM)
  14. El personal de mantenimiento recibió capacitación en los conceptos básicos de ciberhigiene (cambio de contraseñas predeterminadas, prohibición de unidades USB)
  15. Se desarrolló un plan de respuesta a incidentes con la definición de los roles del personal de mantenimiento.
  16. Se verificaron los contratos con proveedores de repuestos para cumplir con los requisitos de integridad de la cadena de suministro.
  17. Se realizó una auditoría de los sistemas heredados y se determinaron medidas compensatorias para los sistemas sin soporte de parches.
  18. Todas las conexiones remotas a ACS TP (VPN, módems) están documentadas y minimizadas al mínimo requerido
  19. Se implementa la gestión de cambios: no se realizan actualizaciones sin una solicitud de cambio aprobada.
  20. Está prevista una auditoría anual del cumplimiento de la norma IEC 62443 con la participación de un auditor externo.

Inconsistencias típicas identificadas por los auditores

1. Falta de gestión de parches como proceso

En el 78% de las empresas ucranianas (según estimaciones de DSSZZI, 2023), la actualización del firmware del PLC no se realiza en absoluto o solo se realiza durante reparaciones importantes. Los controladores funcionan con firmware de entre 5 y 10 años de antigüedad con vulnerabilidades conocidas (CVE).

2. Contraseñas predeterminadas

Siemens S7-300/400 sin protección con contraseña, paneles HMI con inicio de sesión de administrador/administrador, conmutadores con credenciales predeterminadas de fábrica. Violación de FR 1 (Control de Identificación y Autenticación) IEC 62443-4-2.

3. Falta de segmentación de la red

PLC y red corporativa en la misma VLAN. Sin DMZ entre las capas 3 y 4. Violación directa de IEC 62443-3-3, SR 5.1 (Segmentación de red).

4. Inconsistencia de los componentes comprados.

Reemplazo de un conmutador fallido por un conmutador doméstico (no administrado) sin compatibilidad con ACL, VLAN y 802.1X. Comprar componentes falsificados o no autorizados sin documentación.

5. Falta de registros de cambios

Incapacidad para rastrear quién, cuándo y qué cambió en el programa PLC. Falta de versionado del proyecto.

Responsabilidad y sanciones

Responsabilidad administrativa

La Ley de Ucrania "sobre infraestructuras críticas" (artículo 27) establece:

  • Multa por incumplimiento de los requisitos de ciberprotección: de 3.400 a 51.000 grivnas (de 100 a 1.500 NMDH) para los funcionarios
  • Multa para personas jurídicas: hasta el 2 % del volumen de negocios anual (por analogía con la Directiva NIS2 2022/2555 tras la integración en el mercado europeo)

Responsabilidad penal

Artículo 363-1 del Código Penal de Ucrania (intervención en el funcionamiento de los sistemas de información): si la inacción provocó un incidente con consecuencias graves: hasta 5 años de prisión.

Consecuencias del seguro

Las compañías de seguros se niegan a pagar en caso de incumplimiento demostrado de las normas de ciberseguridad. Una pérdida típica por un ciberataque a una empresa industrial oscila entre 500.000 y 5.000.000 de euros (datos del Allianz Global Industrial Report 2024).

Riesgos contractuales

Los clientes europeos exigen prueba de conformidad con IEC 62443 como condición del contrato. Incumplimiento = pérdida de contratos de exportación.

Recomendaciones prácticas para la implementación.

Paso 1: Auditoría del estado actual (1-2 meses)

Inventario de todos los componentes de ACS TP. Determinación del nivel de seguridad actual (SL-A — alcanzado). Identificación de la brecha entre SL-A y SL-T objetivo.

Paso 2: Desarrollo de políticas (2-3 meses)

Creación de un procedimiento de gestión de parches según IEC 62443-2-3. Integración con el sistema de mantenimiento programado (CMMS) existente. Definición de roles y responsabilidades.

Paso 3: Implementación técnica (3 a 6 meses)

Segmentación de la red. Reemplazo de equipos que no soportan los requisitos de seguridad. Configuración de seguimiento. Implementación de acceso remoto seguro.

Paso 4: comprar los componentes adecuados

En el caso de sustitución o modernización planificada, la selección de componentes con conformidad confirmada con IEC 62443-4-2. Interruptores industriales, controladores, convertidores de frecuencia, sensores con interfaces de red: todo debe tener documentación que describa las funciones de seguridad implementadas (Características de seguridad).

Resultado

La ciberseguridad de los sistemas de control industrial no es una iniciativa informática opcional. Este es un componente obligatorio del mantenimiento técnico, establecido por la legislación de Ucrania y las normas internacionales. IEC 62443-2-3 define explícitamente la aplicación de parches como un procedimiento de mantenimiento. Cada sustitución de un componente del ACS TP debe tener en cuenta los requisitos de ciberseguridad junto con las características eléctricas y mecánicas.

UNITEC-D GmbH garantiza el suministro de componentes industriales certificados, desde rodamientos y sellos hasta equipos de red y elementos de sistemas de automatización, con documentación completa de conformidad con los estándares CE, ISO y de la industria. Utilice el UNITEC-D E-Catalog para seleccionar componentes que cumplan con sus requisitos de nivel de seguridad.

Lista de documentos normativos.

  • IEC 62443-2-1:2010+AMD1:2024. Seguridad para sistemas de control y automatización industrial. Parte 2-1: Establecimiento de un programa de seguridad IACS.
  • IEC 62443-2-3:2015 — Gestión de parches en el entorno IACS
  • IEC 62443-3-2:2020: Evaluación de riesgos de seguridad para el diseño de sistemas
  • IEC 62443-3-3:2013: requisitos de seguridad del sistema y niveles de seguridad
  • IEC 62443-4-1:2018: requisitos seguros del ciclo de vida del desarrollo de productos
  • IEC 62443-4-2:2019: requisitos técnicos de seguridad para componentes IACS
  • Ley de Ucrania "sobre infraestructuras críticas" N° 1882-IX del 16 de noviembre de 2021
  • Resolución CMU N° 1109 de 9 de octubre de 2020 "Sobre la Aprobación del Procedimiento para la Formación de una Lista de Objetos de Infraestructura Crítica"
  • DSTU ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT)
  • Directiva (UE) 2022/2555 (NIS2): para empresas con contratos europeos
  • NIST SP 800-82 Rev.3 (2023): Guía de seguridad de OT (referencia)

Related Articles