Página 1
Estados de sistema de importancia crítica para la seguridad Procedimiento de gestión de las actualizaciones de seguridad Válido para control SINUMERIK ONE Sugerencias para pruebas Software CNC versión 6.23 de seguridad Referencias 01/2024 A5E51912408E AB...
Página 2
Considere lo siguiente: ADVERTENCIA Los productos de Siemens sólo deberán usarse para los casos de aplicación previstos en el catálogo y la documentación técnica asociada. De usarse productos y componentes de terceros, éstos deberán haber sido recomendados u homologados por Siemens. El funcionamiento correcto y seguro de los productos exige que su transporte, almacenamiento, instalación, montaje, manejo y mantenimiento hayan sido realizados de forma...
Página 3
1.2.2 Alcance estándar ......................... 9 Documentación en Internet....................10 1.3.1 Sinopsis de la documentación de SINUMERIK ONE .............. 10 Opinión sobre la documentación técnica ................11 Documentación de mySupport ................... 12 Service and Support......................13 Utilización de OpenSSL ...................... 15 Reglamento general de protección de datos ...............
Página 4
Índice Seguridad de red........................ 35 5.7.1 Vista general........................35 5.7.2 Segmentación de la red ..................... 35 5.7.2.1 Separación entre redes de producción y redes de oficina............. 35 5.7.2.2 Segmentación de redes con SCALANCE S ................36 Integridad del sistema y autenticidad ................. 39 5.8.1 Vista general........................
Página 5
Índice 9.3.4.7 Copia de seguridad y restauración de datos ................ 70 Copia de seguridad y restauración ..................71 9.4.1 Posibilidades para crear una copia de seguridad y restaurar los datos ........71 9.4.2 Archivo de seguridad ......................72 Integridad del sistema......................74 9.5.1 Comprobación de integridad en la NCU ................
Página 6
Índice Estados de sistema de importancia crítica para la seguridad ............105 11.1 Vista general........................105 11.2 Sistema de servicio técnico eBoot en una memoria USB ............ 106 11.3 Sistema operativo con acceso a la tarjeta SD..............107 11.4 Acceso a un sistema de archivos de Linux con CMC y memoria USB........108 Procedimiento de gestión de las actualizaciones de seguridad ............
Página 7
SINUMERIK es un control de alta productividad apto por igual para todas las áreas de fabricación, desde la de piezas de muestras y utillaje, pasando por la de moldes, y llegando a la de grandes series. Para más información visite la página web de SINUMERIK (https://www.siemens.com/ sinumerik). Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 8
Introducción 1.2 Acerca de esta documentación Acerca de esta documentación 1.2.1 Finalidad de la documentación 1.2.1.1 Destinatarios Sinopsis La presente documentación está orientada a los siguientes grupos de destinatarios: • Planificadores y proyectistas • Integradores de sistemas • Departamento de TI del fabricante de maquinaria (OEM) o del cliente final Los grupos de destinatarios mencionados pueden utilizar la información proporcionada en este manual para configurar y utilizar el producto de forma segura.
Página 9
Páginas web de terceros El presente documento puede contener enlaces a páginas web de terceros. Siemens no asume responsabilidad alguna por los contenidos de dichas páginas web ni comparte necesariamente los contenidos ni las opiniones vertidos en ellas. Siemens no controla la información publicada en estas páginas web ni tampoco es responsable del contenido o la información que ponen a...
Página 10
1.3 Documentación en Internet Documentación en Internet 1.3.1 Sinopsis de la documentación de SINUMERIK ONE Encontrará abundante documentación sobre las funciones de SINUMERIK ONE versión 6.13 o superior en la Sinopsis de la documentación de SINUMERIK ONE (https:// support.industry.siemens.com/cs/ww/en/view/109768483). Puede visualizar los documentos o descargarlos en formato PDF o HTML5.
Página 11
1.4 Opinión sobre la documentación técnica Opinión sobre la documentación técnica En caso de preguntas, sugerencias o correcciones relacionadas con la documentación técnica publicada en el Siemens Industry Online Support, utilice el enlace para hacer comentarios que figura al final del artículo. Ciberseguridad industrial...
Página 12
Documentación de mySupport El sistema basado en la web "Documentación de mySupport" permite recopilar de manera personalizada documentación basada en los contenidos de Siemens y adaptarla a la documentación propia de la máquina. La aplicación se inicia mediante el icono "Mi documentación" en la página del SiePortal "Enlaces y herramientas de mySupport"...
Página 13
Para formular una pregunta técnica, utilice el formulario online en el área "Support Request". Formación En esta dirección (https://www.siemens.com/sitrain) encontrará información sobre SITRAIN. SITRAIN ofrece formación sobre productos de Siemens, sistemas y soluciones de accionamientos y automatización. Siemens Support en cualquier lugar Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 14
1.6 Service and Support Con la galardonada aplicación "Industry Online Support" se puede acceder en cualquier momento y lugar a más de 300.000 documentos sobre productos de Siemens Industry. La aplicación le ofrece asistencia, entre otros, en los siguientes campos de aplicación: •...
Página 15
Introducción 1.7 Utilización de OpenSSL Utilización de OpenSSL Este producto puede contener el software siguiente: • Software desarrollado por el Proyecto OpenSSL para su uso en el toolkit OpenSSL • Software criptográfico creado por Eric Young • Software desarrollado por Eric Young Encontrará...
Página 16
1.8 Reglamento general de protección de datos Reglamento general de protección de datos Sinopsis Siemens respeta los principios básicos de la protección de datos, en especial, los preceptos de la minimización de datos (privacy by design). Para SINUMERIK Operate, esto significa: El producto procesa/almacena los siguientes datos personales: •...
Página 17
Consignas de seguridad Consignas básicas de seguridad 2.1.1 Consignas generales de seguridad ADVERTENCIA Peligro de muerte en caso de incumplimiento de las consignas de seguridad e inobservancia de los riesgos residuales Si no se cumplen las consignas de seguridad ni se tienen en cuenta los riesgos residuales de la documentación de hardware correspondiente, pueden producirse accidentes con consecuencias mortales o lesiones graves.
Página 18
Los productos y las soluciones de Siemens están sometidos a un desarrollo constante con el fin de hacerlos más seguros. Siemens recomienda encarecidamente realizar actualizaciones en cuanto estén disponibles y utilizar únicamente las últimas versiones de los productos. El uso de versiones anteriores de los productos o sin soporte y la falta de aplicación de las...
Página 19
¿Qué es la Ciberseguridad industrial? Definición de Ciberseguridad industrial En general, se entiende por Ciberseguridad industrial el conjunto de medidas destinadas a protegerse de lo siguiente: • Pérdida de confidencialidad debido al acceso no autorizado a los datos • Pérdida de integridad por manipulación de datos •...
Página 20
¿Qué es la Ciberseguridad industrial? 3.1 Limitaciones: Seguridad funcional y Ciberseguridad industrial Limitaciones: Seguridad funcional y Ciberseguridad industrial Funciones Safety Las funciones Safety velan por el funcionamiento fiable de los componentes y funciones relevantes para la seguridad, que, en caso de fallo, garantizan que una instalación permanezca en estado seguro o pase a un estado seguro.
Página 21
¿Por qué es tan importante la Ciberseguridad industrial? Tendencias con repercusiones en la Ciberseguridad industrial Tendencias globales Actualmente existen muchas tendencias diferentes que afectan a la Ciberseguridad industrial. Sus efectos subrayan la relevancia de las funciones y medidas de seguridad. •...
Página 22
¿Por qué es tan importante la Ciberseguridad industrial? 4.2 Posibles lagunas de seguridad en una empresa Posibles lagunas de seguridad en una empresa Posibles lagunas de seguridad en una empresa La cadena de seguridad de una empresa es tan fuerte como su eslabón más débil. Pueden producirse lagunas de seguridad en numerosos puntos de una empresa, p.
Página 23
¿Por qué es tan importante la Ciberseguridad industrial? 4.3 ¿Por qué es tan importante la Ciberseguridad industrial? ¿Por qué es tan importante la Ciberseguridad industrial? En el ámbito industrial, la importancia de la seguridad de datos se debe fundamentalmente a la creciente implantación de normas legales de protección de datos en todo el mundo.
Página 24
¿Por qué es tan importante la Ciberseguridad industrial? 4.3 ¿Por qué es tan importante la Ciberseguridad industrial? Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 25
TÜV. • Los posibles fallos se identifican y subsanan por medio de análisis de código. • Siemens implanta medidas de aseguramiento de la integridad en sus productos y en sus procesos de fabricación. • Siemens revisa continuamente sus medidas de securización: –...
Página 26
• Siemens ProductCERT (https://www.siemens.com/cert/en/cert-security-advisories.htm) (Cyber Emergency Readiness Team) es el departamento central que se ocupa de las infracciones de seguridad en el entorno de productos y soluciones Siemens. Siemens ProductCERT ayuda a los departamentos de desarrollo con servicios de asesoramiento y servicio técnico.
Página 27
IEC 62443, que es la norma de referencia para la seguridad en automatización industrial. Figura 5-1 Estrategia Defense in Depth Encontrará más información sobre el concepto Defense in Depth y sobre la planificación de un concepto de protección para plantas industriales en Internet (https://new.siemens.com/ global/en/products/automation/topic-areas/industrial-security/planning.html). Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 28
Medidas de seguridad generales en automatización y accionamientos 5.2 Concepto Defense in Depth Niveles de protección El modelo Defense in Depth consta de tres niveles: • Seguridad de la instalación La "seguridad de la instalación" representa el anillo protector más exterior. Consiste en amplias medidas de protección físicas, p. ej., controles de entrada, que deben estar perfectamente coordinadas con las medidas encaminadas a la seguridad de TI.
Página 29
áreas de desarrollo y producción. Estas medidas se aplican de manera continua en Siemens y se hacen visibles mediante los niveles de seguridad alcanzados.
Página 30
Medidas de seguridad generales en automatización y accionamientos 5.4 Normas y reglamentos Normas y reglamentos En todo el proceso de desarrollo, Siemens tiene en cuenta las normas y reglamentos aplicables en materia de Ciberseguridad industrial: • ISO 2700X: Gestión de los riesgos de seguridad de la información •...
Página 31
Medidas de seguridad generales en automatización y accionamientos 5.5 Security Management Security Management Un proceso Security Management conforme con las normas IEC 62443 e ISO 27001 es la base para la implantación eficaz de Ciberseguridad industrial. Figura 5-3 Proceso Security Management Procedimiento 1.
Página 32
Medidas de seguridad generales en automatización y accionamientos 5.5 Security Management 3. En tercer lugar, hay que introducir las medidas técnicas acordadas. 4. Realice una auditoría de seguridad para cerciorarse de que se han aplicado todas las medidas y estas han servido para eliminar o reducir los riesgos identificados. Nota Proceso continuo Dado que los escenarios de amenaza cambian constantemente, este proceso debe repetirse...
Página 33
Medidas de seguridad generales en automatización y accionamientos 5.6 Seguridad de la instalación Seguridad de la instalación 5.6.1 Vista general Si hay agujeros en la seguridad física de una empresa, existe la posibilidad de que personas no autorizadas entren en la zona/edificio de producción y causen daños o alteraciones en los equipos de producción, o incluso se lleven información confidencial.
Página 34
• Directrices que prohíban el uso de soportes de datos (p. ej., memorias USB) y equipos TI (p. ej., ordenadores portátiles) externos clasificados como no seguros. Más información Encontrará más información sobre las soluciones de seguridad integradas de Siemens en la siguiente página web (https://new.siemens.com/global/en/products/buildings/security/security- management.html).
Página 35
Medidas de seguridad generales en automatización y accionamientos 5.7 Seguridad de red Seguridad de red 5.7.1 Vista general La seguridad de red incluye todas las medidas de planificación, ejecución y vigilancia de la seguridad en redes. Esto incluye el control de todas las interfaces, p. ej., entre las redes de la oficina y de la instalación o los accesos a Internet para mantenimiento remoto.
Página 36
Segmentación de redes con SCALANCE S Para cumplir los requisitos de seguridad en cuanto a protección y segmentación de la red, Siemens ofrece los dispositivos de Industrial Security SCALANCE S. Requisitos Los dispositivos de Industrial Security SCALANCE S antepuestos se montan, junto con los componentes que deben proteger, en un armario eléctrico o sala de equipos provistos de...
Página 37
Medidas de seguridad generales en automatización y accionamientos 5.7 Seguridad de red Principio El siguiente ejemplo de aplicación muestra la segmentación de células mediante varios módulos SCALANCE S situados antes de cada célula de automatización. Con el cortafuegos de SCALANCE S, el tráfico de datos desde y hacia los equipos se puede posible filtrar y controlar dentro de las células de automatización.
Página 38
Medidas de seguridad generales en automatización y accionamientos 5.7 Seguridad de red Copia de seguridad de objetos Security Management Red de oficina Cortafuegos SIMATIC S7-1500 con SCALANCE M876-4 y Servidores SINEMA Access Control con CP 1545-1 Remote RF 1000 Connect SCALANCE SC646-2C Industrial Ethernet SCALANCE...
Página 39
Medidas de seguridad generales en automatización y accionamientos 5.8 Integridad del sistema y autenticidad Integridad del sistema y autenticidad 5.8.1 Vista general La integridad del sistema es la "ausencia de defectos" o "corrección" de los datos, o el comportamiento correcto del sistema. Las siguientes medidas de protección de la integridad del sistema pretenden garantizar que los datos/la funcionalidad del sistema no puedan ser manipulados sin autorización o que las manipulaciones puedan ser detectadas.
Página 40
Medidas de seguridad generales en automatización y accionamientos 5.8 Integridad del sistema y autenticidad 5.8.2.2 Cuentas de usuario Cada cuenta de usuario activa permite un acceso al sistema y, por tanto, representa un riesgo potencial. Por esta razón deben tomarse las siguientes medidas de seguridad: •...
Página 41
Medidas de seguridad generales en automatización y accionamientos 5.8 Integridad del sistema y autenticidad Al guardar datos sensibles en el panel de mando, asegúrese de que el almacenamiento de datos sea seguro. Para minimizar los riesgos, tome las medidas de seguridad siguientes: •...
Página 42
Medidas de seguridad generales en automatización y accionamientos 5.8 Integridad del sistema y autenticidad Nota Asignar contraseñas seguras Tenga en cuenta las siguientes reglas a la hora de asignar nuevas contraseñas: • Cuando asigne nuevas contraseñas, tenga en cuenta que no sean fáciles de adivinar, p. ej., palabras sencillas, secuencias de teclas fáciles de adivinar, etc.
Página 43
Avisos de seguridad de productos Recomendaciones Los escenarios de amenaza por medio de ciberataques son múltiples y cambian continuamente. Por esta razón, visite asiduamente el "Industry Online Support (https://www.siemens.com/de/de/produkte/services/digital-enterprise- services/industrial-security-services.html)" para mantenerse siempre informado sobre los Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 44
Siemens ProductCERT (https://www.siemens.com/cert) (Cyber Emergency Readiness Team) es el departamento central que se ocupa de las infracciones de seguridad en el entorno de productos y soluciones Siemens. Siemens ProductCERT ayuda a los departamentos de desarrollo con servicios de asesoramiento y servicio técnico. ProductCERT proporciona información sobre amenazas actuales, puntos débiles y contramedidas adecuadas.
Página 45
Medidas de seguridad generales en automatización y accionamientos 5.8 Integridad del sistema y autenticidad Antes de la instalación de actualizaciones de sistema y de seguridad, tenga en cuenta lo siguiente: • Realice una copia de seguridad del sistema. • Los administradores deben asegurarse de que las actualizaciones de sistema y de seguridad no afecten negativamente a la operatividad de las instalaciones de producción.
Página 46
Medidas de seguridad generales en automatización y accionamientos 5.8 Integridad del sistema y autenticidad Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 47
Las innovaciones de software y hardware de SINUMERIK ONE, así como la posibilidad de crear un gemelo digital universal para producto y producción, aceleran notablemente los procesos de mecanizado. ...
Página 48
6.1 Vista general del sistema Configuración del sistema SINUMERIK ONE reúne en una única NCU (Numerical Control Unit) tareas CNC, HMI, PLC, de regulación y de comunicación. Para las tareas de manejo, programación y visualización, el software de manejo correspondiente para la NCU ya está integrado en el software CNC y, por lo tanto, se ejecuta en el potente módulo multiprocesador NCU.
Página 49
Vista general del sistema 6.1 Vista general del sistema Figura 6-1 Topología típica del sistema completo SINUMERIK ONE Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 50
Vista general del sistema 6.2 Interfaces de comunicación Interfaces de comunicación El control SINUMERIK ONE ofrece toda una serie de interfaces para diferentes propósitos y, por lo tanto, la posibilidad de implementar una segmentación de la red. Interfaces SINUMERIK ONE El siguiente gráfico muestra una sinopsis de las interfaces de SINUMERIK ONE y su función: Figura 6-2...
Página 51
OPC UA. Sin embargo, se espera un entorno de red protegido que no esté conectado a una red de oficina o incluso a Internet. Figura 6-3 Concepto de comunicación de SINUMERIK ONE Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 52
(protocolos). Los colores indican si es posible o no cifrar la conexión de comunicación o si existe o no protección de la integridad. Figura 6-4 Flujos de datos y almacenamiento de datos en SINUMERIK ONE Nota Open User Communication Tenga en cuenta que casi todos los protocolos TCP/IP y UDP/IP pueden funcionar desde el programa de PLC a través de todas las interfaces (X150, X160, X120, X130, X127).
Página 53
Esta máquina suele estar integrada en una fábrica o un taller. SINUMERIK ONE también ofrece un paquete completo para la integración de uno o varios robots en máquinas herramienta controladas por SINUMERIK.
Página 54
Supuestos de seguridad para el entorno operativo previsto El control SINUMERIK ONE forma parte de una máquina. Por lo tanto, se parte de la base de que está protegido por el entorno de la máquina. Esto afecta tanto al acceso físico como a la segmentación de la red.
Página 55
– Datos de proceso/archivos de registro – Licencias • Proteger la integridad frente a manipulación no autorizada de: – Funciones del proceso de producción – Software de Siemens/extensiones del fabricante de maquinaria – Firmware – Programas de pieza/ciclos – Parámetros de la máquina –...
Página 56
Objetivos de protección 8.1 Resumen de los objetivos de protección Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 57
Funciones de seguridad del producto Sinopsis En este apartado se describen las funciones de seguridad del producto implementadas. Las funciones de seguridad tienen como propósito ayudar a evaluar y tener en cuenta las capacidades del sistema SINUMERIK ONE a la hora de crear el concepto de seguridad para el sistema.
Página 58
Funciones de seguridad del producto 9.2 Requisitos en cuanto a roles y acceso para las funciones de seguridad Requisitos en cuanto a roles y acceso para las funciones de seguridad Para poder utilizar determinadas funciones de seguridad de SINUMERIK se necesitan diferentes roles o niveles de acceso.
Página 59
Los niveles de acceso permiten acceder al sistema y están disponibles a través de SINUMERIK Operate. SINUMERIK ONE ofrece un nivel de acceso central al sistema. Por lo tanto, todas las aplicaciones tienen el mismo nivel de acceso al mismo tiempo.
Página 60
Encontrará más información y más detallada al respecto en el Manual de puesta en marcha Pasos de trabajo finales para la puesta en marcha (https:// support.industry.siemens.com/cs/ww/es/view/109817139). 9.3.3 Características y ventajas de la administración de usuarios La administración de usuarios de SINUMERIK ofrece algunas diferencias respecto al sistema clásico de administración por niveles de acceso, además de numerosas ventajas, sobre todo en...
Página 61
Funciones de seguridad del producto 9.3 Administración de usuarios y control de acceso • Servicio PI: el servicio PI para iniciar y cerrar sesión, así como para modificar la contraseña, ya no funciona si está activada la administración de usuarios. – Para tal fin hay nuevas interfaces OA para iniciar sesión/cerrar sesión/cambiar contraseña en el marco de la administración de usuarios.
Página 62
9.3.4.2 Arquitectura de la administración de usuarios Principio de ejecución La administración de usuarios en SINUMERIK ONE funciona en los componentes del sistema implicados siguiendo 2 principios conocidos: • Principio Desktop Single Sign-On (DSSO) Los componentes principales del sistema se basan en el "principio Desktop Single Sign-On (DSSO)".
Página 63
Funciones de seguridad del producto 9.3 Administración de usuarios y control de acceso Arquitectura de la administración de usuarios del sistema de NCU • En un sistema de NCU puro, la administración de usuarios está instalada en la propia NCU. Figura 9-1 Administración de usuarios en la NCU Administración de usuarios en el sistema distribuido - Sistema NCU &...
Página 64
9.3 Administración de usuarios y control de acceso Figura 9-2 Administración de usuarios en la IPC Dominios En la administración de usuarios de SINUMERIK ONE hay implementados dos dominios diferentes, cada uno de los cuales tiene diferentes requisitos por lo que respecta al sistema: • Fabricante • Usuario Cada dominio puede definir y asignar independientemente sus propios administrador, grupos, usuarios y derechos.
Página 65
El último dominio seleccionado queda guardado. 9.3.4.3 Grupos y concepto de roles La administración de usuarios SINUMERIK ONE diferencia tres tipos de grupos: Roles de máquina • Los roles de máquina forman un grupo para agregar roles a nivel de máquina en varias aplicaciones de la máquina.
Página 66
Funciones de seguridad del producto 9.3 Administración de usuarios y control de acceso 9.3.4.4 Rol del administrador de seguridad Descripción Para activar y configurar la administración de usuarios se debe nombrar al menos un usuario que tenga asignado formalmente el rol de Administrador de seguridad del fabricante. Dentro de la administración de usuarios, este usuario está...
Página 67
Funciones de seguridad del producto 9.3 Administración de usuarios y control de acceso Funciones de administración El administrador de seguridad del fabricante tiene disponibles las siguientes funciones de configuración en la administración de usuarios de SINUMERIK: • Activación de la administración de usuarios y configuración de dominios –...
Página 68
Encontrará una descripción de todos los pasos y opciones de ajuste para la administración de usuarios en SINUMERIK Operate en el Manual de puesta en marcha Pasos de trabajo finales para la puesta en marcha (https://support.industry.siemens.com/cs/ww/es/view/109817139) y en la ayuda en pantalla de SINUMERIK Operate.
Página 69
Encontrará una descripción de todos los pasos y opciones de ajuste para la administración de usuarios en SINUMERIK Operate en el Manual de puesta en marcha Pasos de trabajo finales para la puesta en marcha (https://support.industry.siemens.com/cs/ww/es/view/109817139) y en la ayuda en pantalla de SINUMERIK Operate.
Página 70
Encontrará más información sobre el archivo de seguridad en el capítulo Copia de seguridad y restauración (Página 71) y en el Manual de puesta en marcha Pasos de trabajo finales para la puesta en marcha (https://support.industry.siemens.com/cs/ww/es/view/109817139). Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 71
Funciones de seguridad del producto 9.4 Copia de seguridad y restauración Copia de seguridad y restauración 9.4.1 Posibilidades para crear una copia de seguridad y restaurar los datos Para crear una copia de seguridad o restaurar los datos, se dispone de las siguientes posibilidades: •...
Página 72
9.4.2 Archivo de seguridad SINUMERIK ONE posee un componente de archivo de seguridad para la copia de seguridad y la restauración de datos confidenciales en un fichero DSF. Los datos incluyen configuraciones de los componentes de seguridad: Administración de usuarios, seguridad PLC, registro de eventos de seguridad y dispositivos de confianza (emparejamiento).
Página 73
Funciones de seguridad del producto 9.4 Copia de seguridad y restauración Estos datos se cifran antes de la creación del archivo para protegerlos. Para ello se genera una clave individual. Para generar la clave es necesario introducir una "contraseña de archivo de seguridad" en "Puesta en marcha >...
Página 74
Comprobación de integridad en la NCU Secure Boot SINUMERIK ONE ofrece un arranque seguro (Secure Boot) para que en el dispositivo solo pueda ejecutarse software con una firma válida de Siemens. Sin embargo, SINUMERIK ofrece a los fabricantes de maquinaria la posibilidad de ejecutar en su sistema aplicaciones programadas con un entorno de programación especial de Siemens. ...
Página 75
Funciones de seguridad del producto 9.5 Integridad del sistema 9.5.2.1 Contraseña para la protección de datos de configuración confidenciales del PLC Finalidad El correcto funcionamiento de los mecanismos de comunicación basados en certificados para una comunicación segura, como la comunicación segura PG/PC y HMI, la comunicación segura y abierta de usuario, HTTPS, SMTP seguro sobre TLS u OPC UA, requiere que las claves privadas utilizadas por estos certificados estén protegidas de la mejor manera posible.
Página 76
Funciones de seguridad del producto 9.5 Integridad del sistema Procedimiento La contraseña se establece en el campo de manejo "Puesta en marcha", bajo "Seguridad > Seguridad del PLC". Al hacerlo, la contraseña se guarda en el PLC. Nota Para que se muestre el estado correcto debe reiniciarse el PLC tras la modificación. Tras introducir la contraseña, se abre el cuadro de diálogo "Restablecer conexión", en el que se confirma el reinicio del PLC.
Página 77
Funciones de seguridad del producto 9.5 Integridad del sistema Encontrará más información al respecto en la ayuda de TIA Portal, bajo "Parametrización de niveles de acceso". Los ajustes pueden modificarse vía Openness. Procedimiento Para el correcto funcionamiento de SINUMERIK Operate se requiere el nivel de acceso"Acceso total incl.
Página 78
Funciones de seguridad del producto 9.5 Integridad del sistema 9.5.2.3 Contraseña para la protección del programa de seguridad offline Finalidad La contraseña para proteger el programa de seguridad offline se utiliza para proteger la integridad y el know-how de los bloques relevantes para Safety del proyecto PLC. Se trata de una contraseña exclusivamente de ingeniería.
Página 79
Funciones de seguridad del producto 9.5 Integridad del sistema Si se configura una protección contra copia de este tipo para un bloque, es importante dotar a este bloque de una protección de know-how. De lo contrario, cualquiera podrá suprimir la protección contra copia. Procedimiento La contraseña para protección contra copia se establece en el TIA Portal, en las propiedades del bloque.
Página 80
Funciones de seguridad del producto 9.5 Integridad del sistema Finalidad del emparejamiento en SINUMERIK ONE Nota Emparejamiento solo en sistemas IPC El emparejamiento solo tiene que realizarse si hay un IPC montado en su sistema SINUMERIK ONE. Debido a la arquitectura descentralizada de la IPC y la NCU y a la implementación de la función de seguridad de"Administración de usuarios (Página 61)"...
Página 81
• La propiación indebida se contrarresta con la función de emparejamiento. • Por lo tanto, asegure una relación de confianza entre IPC y NCU emparejando ambos dispositivos antes de utilizar las funciones de seguridad de SINUMERIK ONE. Figura 9-3 Emparejamiento: Establecer relación de confianza 9.5.3.2...
Página 82
Funciones de seguridad del producto 9.5 Integridad del sistema Introducción • Si desea utilizar la función de seguridad "Administración de usuarios (Página 61)", primero debe emparejar su IPC con una NCU, es decir, establecer una relación de confianza entre los dos dispositivos. Procedimiento Inicie el proceso de emparejamiento llamando a la función a través de Operate en"Seguridad >...
Página 83
Funciones de seguridad del producto 9.5 Integridad del sistema desconectarán todas las conexiones de emparejamiento activas con todas las NCU. En este escenario, la administración de usuarios en la NCU también se desactiva y las antiguas contraseñas de nivel de acceso vuelven a estar activas. Más información Hay más información sobre el desacoplamiento, los requisitos necesarios y la secuencia exacta de los pasos de trabajo en SINUMERIK Operate en el manual de puesta en marcha "Pasos finales...
Página 84
A partir de la versión 5.5 SP3 de STEP 7 y de la versión V4.5 SP2 del software de sistema CNC para 840D sl/840D sl, o la versión V6.13 para SINUMERIK ONE, se puede configurar una protección de bloques encriptada para funciones y bloques de función para las vistas offline y online. Esta función permite encriptar los bloques y proteger el código de los bloques frente a accesos...
Página 85
La opción de software SINUMERIK Integrate Access MyMachine/OPC UA permite leer y escribir variables en un SINUMERIK ONE mediante este protocolo de comunicación. Además, se soportan las siguientes funciones: •...
Página 86
Funciones de seguridad del producto 9.7 Comunicación segura ATENCIÓN Uso indebido de datos por culpa de una administración de usuarios/asignación de derechos errónea Los errores en la administración de usuarios y la asignación de derechos suponen un riesgo de seguridad considerable. Los usuarios pueden conseguir acceso a datos o acciones para las que no están autorizados.
Página 87
Funciones de seguridad del producto 9.7 Comunicación segura Protocolo de servidor NFS El protocolo de servidor NFS (Network File System) se utiliza para conectar el control y el sistema PC en la red con un servidor NFS externo. En función de la configuración, diferentes servidores requieren una versión de protocolo distinta para que sea posible una conexión con la NCU y el sistema PC.
Página 88
Funciones de seguridad del producto 9.8 Documentación y vigilancia Documentación y vigilancia 9.8.1 Registro de eventos de seguridad 9.8.1.1 Sinopsis del registro de eventos de seguridad Definición El Security Eventlog registra eventos relevantes para la seguridad y puede enviarlos a través de SysLog (RFC 5424) a un servidor SysLog central o a un Security Information and Event Management (SIEM) para reconocer ataques superpuestos.
Página 89
Funciones de seguridad del producto 9.8 Documentación y vigilancia El registro de eventos de seguridad está permanentemente activo desde el inicio del sistema y no se puede desactivar. Se guardan unos 1000 eventos en el registro de eventos de seguridad. Después, los eventos se sobrescriben con nuevos eventos.
Página 90
Los eventos relevantes para la seguridad se registran desde las siguientes fuentes: • Sistema Linux • HMI y aplicaciones HMI • Aplicaciones de OEM • Proceso de seguridad • Aplicaciones de Siemens OA, p. ej. OPC UA Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 91
"Seguridad de red (Página 35)". El siguiente enlace contiene un ejemplo de aplicación para la segmentación de la red con un SCALANCE SC622-2C y un SINUMERIK ONE: Seguridad de la red con SCALANCE SC622-2C para el entorno SINUMERIK (https://support.industry.siemens.com/cs/ww/en/view/...
Página 92
Funciones de seguridad del producto 9.9 Seguridad de red y cortafuegos Figura 9-4 Interconexión NCU/IPC Configuración del cortafuegos Por motivos de seguridad, la interfaz Ethernet X130 de la NCU y la interfaz eth1 del IPC están protegidas por un cortafuegos. Si determinados programas tienen que acceder a un puerto de comunicación para comunicarse, puede definir excepciones en el cortafuegos para determinados puertos mediante SINUMERIK Operate.
Página 93
Funciones de seguridad del producto 9.10 Reducción de la superficie de ataque 9.10 Reducción de la superficie de ataque 9.10.1 Menor funcionalidad de puertos de hardware y sus drivers En la medida de lo posible, los puertos de hardware y sus drivers deben estar cerrados o protegidos físicamente.
Página 94
SINUMERIK ONE ofrece la posibilidad de desactivar los puertos no utilizados a través de la BIOS o del sistema operativo. Encontrará una lista extensa de todos los puertos y protocolos utilizados en SINUMERIK ONE en la documentación Listas de puertos SINUMERIK...
Página 95
Funciones de seguridad del producto 9.10 Reducción de la superficie de ataque Procedimiento 1. Siga el enlace directo a la entrada del SiePortal o busque la documentación deseada en el SiePortal. 2. En el menú desplegable, haga clic en "Edición" para ver la lista de todas las versiones disponibles del documento.
Página 96
Protección física contra manipulación de la NCU Etiqueta de autenticidad en la NCU En todas las NCU instaladas de SINUMERIK ONE hay colocada una etiqueta de autenticidad a modo de protección frente a la manipulación del hardware. Encontrará dicha etiqueta pegada entre el panel lateral y el lado anterior de la NCU. Tiene impresa una estructura de holograma por motivos de seguridad.
Página 97
• Si la etiqueta de autenticidad está dañada, la garantía del fabricante del producto quedará anulada con efecto inmediato. • No se recomienda seguir trabajando si existe la posibilidad de que el componente haya sido manipulado. Póngase en contacto inmediatamente con el servicio técnico de Siemens. Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 98
Funciones de seguridad del producto 9.11 Seguridad de la instalación Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 99
Recomendaciones para un funcionamiento y una eliminación seguros En el capítulo Funciones de seguridad del producto (Página 57) se describen las opciones para la configuración segura del producto. La configuración segura del producto forma parte de un diseño técnico de seguridad global que el integrador del sistema proporciona al explotador.
Página 100
• Se recomienda software con lista de permitidos para los sistemas SINUMERIK que disponen de un IPC para la visualización. Siemens ofrece McAffee en combinación con SINUMERIK. • Abra el menor número posible de puertos en la interfaz de red corporativa, particularmente no abra el puerto 102.
Página 101
El concepto "Security by default" significa que los ajustes de configuración estándar de un producto son automáticamente los ajustes más seguros. Por motivos de la puesta en marcha en serie, actualmente no está disponible el concepto "Security by default" para SINUMERIK ONE. Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 102
Recomendaciones para un funcionamiento y una eliminación seguros 10.3 Recomendaciones para la eliminación segura del producto 10.3 Recomendaciones para la eliminación segura del producto 10.3.1 Recomendaciones generales de eliminación La eliminación de los productos debe llevarse a cabo conforme a las normas nacionales vigentes que correspondan en cada caso.
Página 103
Eliminación segura de soportes de memoria Soportes de memoria incluidos Los siguientes soportes de memoria mencionados e instalados de SINUMERIK ONE pueden contener potencialmente datos de clientes y, dependiendo de la necesidad de protección, deben borrarse de forma segura o destruirse físicamente durante su eliminación: •...
Página 104
Recomendaciones para un funcionamiento y una eliminación seguros 10.3 Recomendaciones para la eliminación segura del producto Nota Destrucción física de tarjetas SD Dado que las tarjetas SD son memorias flash con gestión de defectos, de ser posible deberían destruirse físicamente. Para el resto de soportes de memoria se recomienda el procedimiento descrito en el capítulo Recomendaciones generales de eliminación (Página 102).
Página 105
No obstante, no es posible neutralizar todos los estados de sistema de importancia crítica para la seguridad, ya que pueden ser necesarios para diferentes escenarios. Por consiguiente, queremos informar sobre los estados críticos conocidos del sistema en SINUMERIK ONE, para que los conozca y pueda tenerlos en cuenta.
Página 106
• Actualización • Sustitución de componentes • Tareas de servicio técnico Encontrará una descripción detallada de estas tareas en el manual de instalación "Nueva instalación y actualización" de SINUMERIK ONE (https:// support.industry.siemens.com/cs/ww/es/view/109817147). Medidas de protección Impida el acceso a los slots USB de la NCU y del IPC.
Página 107
Estados de sistema de importancia crítica para la seguridad 11.3 Sistema operativo con acceso a la tarjeta SD 11.3 Sistema operativo con acceso a la tarjeta SD Descripción del estado de sistema de importancia crítica para la seguridad Es posible extraer la tarjeta SD del control. La tarjeta SD contiene la mayor parte del software runtime y todos los datos de configuración.
Página 108
El software de ingeniería Create MyConfig (CMC) proporciona asistencia al fabricante de maquinaria para crear e implementar proyectos para la puesta en marcha y producción automatizadas de máquinas con controles SINUMERIK ONE. También las actualizaciones de dichos controles son configuradas por OEM y luego se ejecutan automáticamente en las instalaciones de los clientes finales.
Página 109
Más información Para más información sobre la comprobación del estado del software CNC instalado, consulte Manual del usuario SINUMERIK ONE Universal (https://support.industry.siemens.com/cs/ww/es/ view/109801320) o la ayuda en pantalla de SINUMERIK ONE. Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 110
– Información sobre servicio técnico in situ, reparaciones, repuestos y mucho más (→ "Servicios") • O suscríbase allí al newsletter gratuito sobre el control SINUMERIK ONE. De este modo recibirá información sobre las actualizaciones periódicas del software de su producto.
Página 111
12.3 Instalación de una actualización de software Encontrará instrucciones detalladas sobre cómo instalar una actualización de software en el control SINUMERIK ONE en el Manual de instalación de SINUMERIK ONE Nueva instalación y actualización (https://support.industry.siemens.com/cs/de/en/view/109801347). Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 112
Procedimiento de gestión de las actualizaciones de seguridad 12.4 Actualización de Windows para sistemas IPC 12.4 Actualización de Windows para sistemas IPC Windows Server Update Services (WSUS) ATENCIÓN Manipulación de datos a causa de lagunas de seguridad en el sistema operativo Microsoft no proporciona actualizaciones automáticas de seguridad, Service Packs ni versiones de revisión para sistemas operativos anteriores a Windows 10.
Página 113
"acceso anónimo". • Compruebe la firma de software. (Página 114) Verifique que el software suministrado provenga realmente de Siemens o que no se haya modificado antes de la entrega. • Compruebe que SINUMERIK Operate no tenga derechos de administrador en la cuenta de Windows.
Página 114
Sugerencias para pruebas de seguridad 13.1 Comprobación de las firmas de software 13.1 Comprobación de las firmas de software 13.1.1 Comprobación manual de las firmas de software en Windows Los ficheros ejecutables y los scripts se pueden firmar digitalmente para confirmar y garantizar que el código no ha sido modificado o corrompido desde la firma.
Página 115
Sugerencias para pruebas de seguridad 13.1 Comprobación de las firmas de software 4. Si no ve esta pestaña, significa que el fichero no se ha firmado o que la firma se ha eliminado; en este caso, la comprobación ha fallado. 5. Si ve entradas en la lista de firmas, significa que su fichero está firmado digitalmente. Puede hacer doble clic en una de estas entradas para ver más detalles sobre el poder de firma.
Página 116
– El fichero ha sido modificado desde que se firmó. Más información Encontrará más información sobre la documentación de PKI en la red: • Certification Practice Statement (https://en.wikipedia.org/wiki/ Certification_Practice_Statement) • Certificate policy (https://en.wikipedia.org/wiki/Certificate_policy) • Digital ID information (http://www.siemens.com/industrial-security/pki) Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 117
Referencias En la presente documentación se hace referencia a las siguientes normas y documentación externa: • IEC 62443-3-3, Industrial communication networks – Network and system security – Part 3-3: System requirements and security levels (IEC:2013(E)) Ciberseguridad industrial Manual de configuración, 01/2024, A5E51912408E AB...
Página 119
Al mismo tiempo, se trata de un subproceso de la gestión de vulnerabilidades del sistema, entre cuyos cometidos se encuentran la corrección y reducción de lagunas de seguridad en productos de Siemens mediante correcciones del software.
Página 120
Glosario Análisis de amenazas y riesgos (TRA) El análisis de amenazas y riesgos es una metodología estandarizada en Siemens para uso en el área de negocio de productos, soluciones y servicio técnico en proyectos de desarrollo de productos, ingeniería o servicio técnico. Esta metodología ayuda a los participantes del proyecto a detectar los fallos de seguridad y puntos débiles más comunes, a analizar...
Página 121
Glosario Ciberseguridad industrial Medidas para mejorar los estándares de seguridad industrial de una instalación. Estas medidas protegen contra accesos no autorizados a sistemas de control, controladores industriales y sistemas basados en PC de la instalación, y también contra ciberataques. Computación en la nube Se entiende por computación en la nube el almacenamiento de datos en un centro de cálculo remoto, o bien la ejecución de programas que no están instalados en el equipo local, sino en lo que metafóricamente se llama la nube (en inglés: cloud).
Página 122
Glosario Emparejamiento Proceso utilizado en redes de ordenadores para establecer una conexión inicial entre ordenadores con el fin de permitir la comunicación entre ellos o establecer una relación de confianza para una conexión segura. Fuerza bruta En informática, para muchos problemas no se conocen algoritmos eficientes. El enfoque más natural y sencillo para resolver un problema de manera algorítmica consiste sencillamente en probar todas las soluciones posibles hasta encontrar la correcta.
Página 123
Glosario Inyección de código La inyección de código es la utilización de un fallo del ordenador debido al procesamiento de datos no válidos. La inyección es un método que emplean los atacantes para introducir clandestinamente código en un programa informático vulnerable y ejecutarlo. IPsec (Internet Protocol Security) IPsec es una ampliación del protocolo de Internet (IP) que incorpora mecanismos de cifrado y autenticación.
Página 124
Glosario Abreviatura de Manage MyPrograms de SINUMERIK Integrate Abreviatura de Manage MyTools de SINUMERIK Integrate NAT (Network Address Translation) Procedimiento empleado en routers IP que conectan redes locales con Internet. Por lo general, los accesos a Internet solo disponen de una dirección IP (IPv4), de manera que el resto de estaciones de la red local tienen que conformarse con una dirección IP privada.
Página 125
TIA Portal TIA Portal es un framework de automatización para las familias de CPU SIMATIC S7-1200, S7-300, S7-400 y S7-1500 de Siemens. "TIA" significa Totally Integrated Automation. En TIA Portal, todas las herramientas de software necesarias están agrupadas en una sola interfaz de usuario.
Página 126
Glosario VPN (Virtual Private Network) Una conexión cifrada de ordenadores o redes por medio de Internet. Permite intercambiar datos confidenciales utilizando redes públicas. WSUS (Windows Server Update Services) Windows Server Update Services (abreviado como WSUS) es el componente de software de Microsoft Windows Server, desde la versión 2003, que se encarga de parches y actualizaciones.
Página 127
Fabricante, 60 Usuario, 60 Grupos de usuarios, 65 Amenazas, 23 Análisis de código, 25 Antivirus, 42 Aseguramiento de la integridad, 25 IEC 62443, 30 Industrial Holistic Security Concept de Siemens, 29 Alcance, 29 Business Impact Assessment, 29 Calidad de la contraseña, 42 Monitoring of Residual Risk, 29 Cambiar Target Protection Level, 29 Contraseña, 42 Integridad del sistema, 28 Ciberseguridad industrial Internet de las cosas, 21...
Página 128
Índice alfabético PLM, 25 Usuario, 65 Principio Authenfication Outside, 62 Principio Desktop Single Sign-On (DSSO), 62 Proceso Product Lifecycle Management, 25 Proceso Security Management, 31 Windows Server Update Services, 44, 112 ProductCERT, 26 WSUS, 44, 112 Programa antivirus, 42 Protección de datos, 23 Puertos, 39 Zona protegida, 35 Red DMZ, 36 Redes de telefonía móvil, 21 Registro de eventos de seguridad Eventos, 90 Finalidad, 88...