‘Seguridad por diseño’ para IoT

Hoy en día se dispone de varias medidas preventivas para asegurar los procesos industriales contra ciberataques.

‘Seguridad por diseño’ para IoT

medida que dispositivos, sistemas y procesos se van digitalizando e interconectando cada vez más, crecen las oportunidades que brinda IoT a la industria. Sin embargo, esas mismas tecnologías que contribuyen a la creación de valor también aportan nuevas superficies de ataque para los ciberdelincuentes. Por ejemplo, un puerto abierto en un dispositivo le permite a un hacker infiltrarse en las redes de empresa y en la infraestructura crítica de las instalaciones de producción conectadas.

En la era de IoT, todos los productos wireless representan una amenaza potencial para la seguridad y privacidad de los datos, pero con una planificación de seguridad sólida y proactiva es posible administrar el riesgo de ciberseguridad para mitigar los ataques.

  Las medidas preventivas de seguridad deberían comenzar en la fase de diseño, o incluso en la fase de concepto, empleando el principio de ‘seguridad por diseño’. Sin embargo, si bien, tal como lo sugiere el nombre, está dirigido a la etapa de diseño, es muy importante comprender que la seguridad es un proceso continuo.

El principio de ‘seguridad por diseño’ es razonable pero se lo debe definir claramente. Por lo tanto, este proceso se debe comenzar con una evaluación del impacto en el negocio y la probabilidad de riesgos. Sin comprender y priorizar claramente los riesgos, es imposible determinar los requerimientos adecuados de seguridad para un determinado producto y el sistema de IoT en su conjunto.

 

Evaluación de ciberseguridad

Una vez comprendidos los riesgos, el siguiente paso es evaluar el hardware y el software, o sea la ‘superficie de ataque’. El testeo de los componentes individuales contra los requerimientos determinados por la evaluación de riesgos es la base de un producto seguro.

La seguridad es muy difícil de instalar como complemento de software una vez iniciado el desarrollo de un producto. Por lo tanto, es necesario evaluar todos los aspectos en busca de vulnerabilidades, incluido el hardware del dispositivo (chipsets, sensores y actuadores), módulos y protocolos de comunicación wireless, firmware de dispositivos (sistema operativo y aplicaciones embebidas), plataformas de nube y aplicaciones.

Luego del testeo de los componentes, se debe realizar una evaluación de punta a punta para determinar la resilencia al ataque de los componentes individuales y servicios de soporte. Es importante que este proceso sea continuo. Preguntas como ‘¿hemos encontrado todas las vulnerabilidades?’ o ‘¿hemos introducido nuevas vulnerabilidades?’ siempre están a la orden del día. Por lo tanto, también es importante implementar un proceso de validación de seguridad para las actualizaciones durante el ciclo de vida de un producto.

 

Estándares de ciberseguridad en la industria

Muchas veces está la percepción de que un sistema, por ser complejo, es automáticamente seguro. Lamentable­mente, no es tan así…

El advenimiento de la Directiva NIS (Network & Information Systems) en Europa tuvo como objetivo mejorar esta situación, pero su adopción es lenta, al igual que la introducción de los estándares que se requieren para mejorar la ciberseguridad. Sin embargo, los estándares existen o están en fase de desarrollo, apuntando a establecer una protección de referencia que aportaría provisiones de seguridad básica para una primera línea de ciberdefensa.

Los dos estándares principales relacionados con dispositivos de IoT son NIST 8259 (EE. UU.) y EN 303 645 (Unión Europea). El propósito de NIST es abordar una amplia gama de productos de tipo IoT, que tienen al menos un transductor. Por lo tanto, se lo puede aplicar a productos de Industria 4.0.

En cambio, EN 303 645 está dirigido a dispositivos de IoT de consumo masivo, por lo que no es aplicable a productos industriales, si bien sus principios generales pueden utilizarse de manera genérica para conseguir un cierto nivel mínimo de protección.

 

Prevención de ciberseguridad

Hay una cierta controversia en relación a los actuales estándares de ciberseguridad por el hecho de carecer de detalles y de una aplicación adecuada, y no cubrir correctamente el alcance de las aplicaciones típicas. Es por eso que las empresas tendrán que elaborar sus propios programas comenzando por:

  • Pensar en ‘seguridad por diseño’ y adoptar un esquema proactivo de  ciberseguridad reconociendo que los ataques son ‘cuándo no si’;
  • Asegurar el cumplimiento actualizado de todos los estándares;
  • Revisar constantemente el estado de ‘ciberresistencia’.

La inversión en ciberseguridad es clave para mantenerse al día con los desarrollos tecnológicos y conservar una ventaja competitiva, además de implementar medidas eficaces para combatir las nuevas formas de ataques de hackers a la infraestructura informática crítica. Por ejemplo, las empresas suelen descuidar la capacitación en seguridad informática de su personal, aun cuando la ingeniería social haya sido durante mucho tiempo un arma estándar en el arsenal de los ciberdelincuentes.

Luego de realizar una nueva inversión en informática o en adquisiciones, las empresas suelen olvidarse de desconectar equipos obsoletos o no utilizados. Estos podrían estar funcionando con sistemas operativos no soportados y sin parches de seguridad actualizados, abriendo brechas para los ataques de hackers.

En cuanto a la concordancia de patrones, se la estuvo utilizando hasta ahora para identificar riesgos de seguridad en un infraestructura informática, pero esto ya no es suficiente cuando hay cada vez más ciberataques que se implementan usando inteligencia artificial.

En consecuencia, las empresas deberían centrarse en tareas de identificación de anomalías implementando inteligencia artificial en su búsqueda de ciberseguridad.

Hoy en día, la ciberseguridad se está convirtiendo en un tema central no sólo para los gerentes de informática, sino también para los ejecutivos ‘C-level’. Pero ocurre que los ejecutivos y los expertos en informática muchas veces no se comunican de manera eficaz y adoptan diferentes perspectivas en muchos temas.

En este caso, sería bueno adoptar un nivel de comunicación que sea apropiado para el respectivo grupo de tareas. De no ser así, los problemas de comunicación demorarían la inversión necesaria en seguridad informática.

Además de tener cierto nivel de conocimiento de seguridad interno, también es recomendable recurrir a especialistas externos a la hora de evaluar los distintos tipos de productos o infraestructura  y gestionar las posibles ciberamenazas nuevas y por venir. Abordar los problemas de los riesgos de ciberseguridad sólo puede concretarse mediante una planificación integral, evaluaciones periódicas, actualizaciones y monitoreo, desde el diseño hasta la obsolescencia.

 

Crece el riesgo de amenazas por USB en el mundo

 Crece el riesgo de amenazas por USB en el mundo

Un reporte de Honey­well preparado en base a datos de ciberamenazas recolectados de cientos de instalaciones industriales en todo el mundo, señala que la severidad de las amenazas a los sistemas de tecnología operativa (OT) ha crecido considerablemente en los últimos 12 meses.

También muestra que la cantidad total de amenazas que plantean los medios extraíbles USB para las redes de control de procesos industriales sigue siendo constantemente alta, habiéndose detectado un 45% de las instalaciones con al menos una amenaza entrante. Durante el mismo período de tiempo, el número de amenazas dirigidas específicamente a los sistemas OT creció del 16 al 28%, mientras el número de amenazas capaces de causar una pérdida de visualización u otra disrupción importante en los sistemas OT subió del 26 al 59%.

El reporte indica que 1 de cada 5 de todas las amenazas fueron diseñadas específicamente para aprovechar los medios extraíbles USB como vector de ataque, y más de la mitad de las amenazas fueron diseñadas para abrir backdoors, establecer un acceso remoto persistente o descargar cargas maliciosas adicionales. Estos hallazgos son indicativos de ataques más coordinados, probablemente destinados a los sistemas aislados que se usan en la mayoría de los entornos de control industrial e infraestructura crítica.

"El malware transmitido por USB sigue siendo un riesgo importante para los operadores industriales", explicó Eric Knapp, de Honeywell Connected Enterprise. "Lo sorprendente es que se está viendo una densidad mucho mayor de amenazas importantes que son más orientadas y más peligrosas. No se trata de un caso de exposición accidental a virus a través de USB, sino que es una tendencia de usar medios extraíbles como parte de ataques más deliberados y coordinados".

Los datos recolectados para este reporte se refieren a la tecnología SMX (Secure Media Exchange) de Honeywell, diseñada para escanear y controlar medios extraíbles, tales como USB, que es considerado como el segundo vector de ataque más frecuente en sistemas de automatización y control.

Para reducir el riesgo de amenazas relacionadas con USB, Honeywell recomienda implementar una combinación de productos y servicios de software de ciberseguridad OT, tales como SMX, Honeywell Forge Cybersecurity Suite, capacitación y cambios en los procesos.

© 2018 Editorial Control. Desarrollado por Estudio Pionero.