Consideraciones de abastecimiento de dispositivos de acceso remoto para la seguridad

Los equipos operativos que ejecutan sistemas industriales confían en dispositivos de acceso remoto para hacer su trabajo y rara vez piensan en las consideraciones no técnicas y no comerciales al comprar. Pero la historia reciente nos dice que el origen del dispositivo, e incluso los componentes dentro del dispositivo, importa mucho más de lo que reconocemos.

Los ataques a la cadena de suministro son graves

Un ataque a la cadena de suministro es una categoría de ataque de seguridad cibernética donde el acceso se obtiene al apuntar a elementos anteriores en la cadena de suministro. Un laico que compra un dispositivo, tal vez para poner en marcha un equipo durante el fin de semana, puede pensar que el riesgo no es lo suficientemente significativo como para influir en la decisión de compra, pero lo es.

Los ataques a la cadena de suministro son extremadamente populares entre los atacantes porque, al infiltrarse en un proveedor, pueden obtener acceso a muchos usuarios finales. Por ejemplo, Stuxnet fue un ataque eficaz a la cadena de suministro dirigido a los PLC utilizados en un programa de enriquecimiento de uranio. NotPetya, que causó daños estimados en 10 000 millones de dólares a organizaciones como Merck y Saint-Gobain, se distribuyó a través de un software de preparación de impuestos. Más recientemente, SUNBURST brindó acceso de puerta trasera a hasta 18 000 organizaciones y se distribuyó a través del software SolarWinds. Esto ha ocurrido muchas veces y continuará debido a la recompensa para el atacante.

Ataques a la cadena de suministro a ICS a través de dispositivos de acceso remoto

La idea de un ataque a la cadena de suministro dirigido a ICS a través de un dispositivo de acceso remoto no es solo teórica, ha sucedido antes. En 2014, el malware Dragonfly infectó a muchas organizaciones y se distribuyó a través de los paquetes de configuración de la aplicación Talk2M de Ewon, que es un software que se utiliza para proporcionar acceso VPN a los equipos ICS. El Instituto SANS proporcionó un documento sobre el ataque y sus impactos, que puede leer aquí.

Consideraciones antes de comprar

Entonces, volviendo a la persona común que compra un dispositivo para poder poner en marcha algunos equipos, ¿qué deben hacer?

En situaciones en las que no eres, y no puedes ser, un experto, es aconsejable observar lo que están haciendo los expertos. En el caso de la seguridad, uno de estos expertos sería el Departamento de Defensa de los Estados Unidos. Prohiben claramente la compra y el uso de dispositivos, o la contratación con proveedores que usen dispositivos, de ciertos fabricantes extranjeros debido a los riesgos en la cadena de suministro. Un memorando del Departamento de Defensa de julio de 2020 describe esta práctica y se puede ver públicamente aquí. Una empresa nombrada de importancia es Huawei Technologies Company (y sus subsidiarias y afiliadas), debido al amplio uso de sus chips, incluso en dispositivos de acceso remoto, como Tosibox.

Por lo tanto, una comida para llevar para el laico aquí puede ser comprar productos domésticos siempre que sea posible. Cabe señalar que la compra de productos fabricados en el país y productos que se diseñaron con capas profundas de seguridad no es fácil y generalmente requiere una prima de precio, pero sin duda vale la pena el costo para el usuario, especialmente para acceso remoto a sistemas industriales.

Más allá de los riesgos de la cadena de suministro, existen muchas consideraciones técnicas y organizativas al implementar el acceso remoto. Exploré esto dentro de un grupo de trabajo con la Organización para la Automatización y el Control de Máquinas (OMAC), que luego publicó una Guía práctica para el acceso remoto a equipos de planta que recomiendo leer.