Seguridad IoT Industrial:Desafíos y Soluciones
El crecimiento exponencial de Industrial IoT está en camino con las predicciones recientes. Y a medida que avanzamos hacia un mundo con más de 75 000 millones de dispositivos conectados para 2025, casi un tercio se utilizará en aplicaciones industriales dentro de la fabricación. Pero a medida que las oportunidades dentro de este mercado, particularmente en proveedores de servicios de terceros basados en la nube, continúan expandiéndose, un problema se destaca menos como una barrera para el crecimiento que como una señal de alerta que no debe ignorarse. Esa bandera roja es el requisito siempre presente de seguridad.
Con cada semana que pasa, hay una nueva historia que cubre violaciones de datos en bases de datos mucho más grandes que antes y en empresas que se creían seguras de tales intrusiones. Igualmente preocupantes son los casos en los que las empresas han almacenado o utilizado los datos recopilados de formas nunca previstas por las personas y empresas que les confiaron los datos para empezar. Y con la proliferación de dispositivos ganando velocidad, el problema puede empeorar antes de mejorar.
En este artículo, analizamos las vulnerabilidades comunes de las redes de IoT industrial y cómo puede abordar estas vulnerabilidades para garantizar la seguridad de su red y su negocio.
Cómo llegamos aquí
Hay dos razones básicas para explicar cómo llegó Industrial IoT a este dilema. Uno se basa en matemáticas simples. Con el número de dispositivos implementados aumentando exponencialmente y la presión sobre los proveedores de servicios para que implementen tanto los dispositivos como las plataformas, la industria ha estado en riesgo de adelantarse a sí misma y hacer más de lo que las iniciativas y protocolos de seguridad podrían absorber y responder. .
La segunda razón es un problema que ha afectado a otras tecnologías nuevas y tremendamente exitosas en el pasado. Es decir, el problema de la seguridad nunca antes había tenido que abordarse a nivel de máquina. Por lo tanto, no se han desarrollado estándares o protocolos. En muchos sentidos, esto significó que los proveedores se dirigieron a ellos ad hoc a medida que los encontraron, utilizaron el proveedor de seguridad externo elegido por el cliente o incluso confiaron únicamente en las medidas de seguridad interna del cliente (a menudo inadecuadas por derecho propio).
Al problema se suma que muchos proveedores de servicios son lentos o intermitentes en la implementación de actualizaciones de firmware, ya que el impulso de una funcionalidad central nueva y mejorada a menudo tiene prioridad. Independientemente de cómo haya surgido el problema, es uno de los temas más candentes en la industria actual y uno que muchos luchan por abordar.
Ubicaciones de problemas de seguridad
A medida que los piratas informáticos se vuelven más sofisticados en el uso de las mismas herramientas de datos y tecnología de inteligencia artificial que los que construyen los sistemas de IoT, aumenta el riesgo de una violación de datos. Dentro de una fábrica y sus sistemas conectados, hay varios lugares donde puede ocurrir una infracción:
- Interfaces web inseguras:la ubicación donde los usuarios interactúan con los dispositivos IoT sufre problemas como contraseñas predeterminadas inadecuadas, problemas de bloqueo y administración de sesiones y exposición de credenciales dentro de la red.
- Servicios de red inseguros: Aquí es donde los piratas informáticos pueden obtener acceso a la red misma a través de puertos abiertos, desbordamientos de búfer y ataques de denegación de servicio.
- Cifrado débil: El cifrado débil, o en algunos casos sin cifrado, puede permitir a los intrusos recopilar datos durante el intercambio entre dispositivos.
- Interfaces móviles no seguras: Como muchas empresas ofrecen servicio de campo como una extensión de su operación de fabricación para reparación y mantenimiento, las interfaces móviles sufren el mismo problema de encriptación y autenticación.
Desafíos de la seguridad de IIoT
Para empezar, muchas empresas ya cuentan con una seguridad débil o inadecuada, lo que ejerce presión sobre los proveedores de IoT que suministran tanto servicios como dispositivos. Más del 50 % de todas las operaciones de infraestructura crítica utilizan software de Microsoft obsoleto y un 40 % de todos los sitios industriales utilizan la Internet pública.
Esto hace que la infiltración de máquinas sea un riesgo clave a medida que proliferan los dispositivos, lo que significa que los piratas informáticos sofisticados posiblemente podrían obtener acceso a toda una fábrica e interrumpir gravemente o dañar las capacidades de producción durante un período prolongado. También podría presentar condiciones físicamente peligrosas como resultado directo o indirecto de una intrusión.
La seguridad heredada también es una preocupación. Una de las propuestas de valor clave para la implementación de IoT industrial es que los equipos heredados se pueden adaptar con dispositivos IoT. Esto permite ciclos de vida de los equipos más prolongados y una integración total para construir una fábrica inteligente sin generar costosas compras de equipos de capital. Pero la elección debe hacerse junto con una consideración cuidadosa de qué dispositivos pueden protegerse adecuadamente para su uso dentro del sistema, un conjunto de habilidades que una empresa puede no tener y que puede no darse cuenta de que necesita.
La falta de estándares y protocolos en una industria que aún está en pañales, pero que crece astronómicamente, también está obstaculizando el progreso coherente de la seguridad. La sensación es que los proveedores de servicios de IoT como comunidad empresarial se unirán y autorregularán para desarrollar estándares y protocolos para todo el desarrollo.
Esto eliminaría la posibilidad de que los protocolos "locales" compitan o se superpongan y sería más rentable para el cliente. Hasta entonces, la falta de un estándar convierte la seguridad ad hoc en una norma y enfatiza las capacidades del sistema de seguridad existente del cliente, que ya puede tener sus propias debilidades.
Soluciones de seguridad de IoT industrial
Más del 40% de todas las infracciones consisten en malware o ataques de fuerza bruta. Pero también hay muchas otras formas de intrusión. Debido a la cantidad de formas en que se puede acceder a los dispositivos y sistemas de una empresa, se considera que la seguridad consta de cuatro niveles; gestión de dispositivos, comunicaciones, nube y ciclo de vida. Debido a la velocidad a la que ha crecido la industria, esto complica las soluciones de seguridad, ya que no existe una solución de seguridad integral y lista para usar.
Pero hay pasos que los proveedores y las empresas pueden tomar en el ínterin a medida que se desarrollan soluciones de extremo a extremo.
Uno de esos pasos sería segmentar la red de TI para que todo lo que controle el equipo se mantenga en una red separada del resto de la infraestructura de TI de una empresa.
Un segundo paso que pueden tomar los proveedores de servicios es garantizar lo "básico". Las estructuras básicas, como el bloqueo de credenciales después de una pequeña cantidad de intentos y las credenciales predeterminadas que deben cambiarse al momento de la activación, ayudarán a asegurar el acceso a la interfaz web. Del mismo modo, exigir reglas de contraseña seguras y autenticación de dos factores puede limitar el acceso no autorizado.
A nivel de TI, asegurarse de que los servicios no sean vulnerables al desbordamiento del búfer y que los puertos estén cerrados cuando no se utilicen también cerrará las vías de intrusión. Se pueden incorporar las mismas precauciones en las interfaces de los dispositivos móviles para las reglas de contraseña, bloqueo y contraseña predeterminada. Y, por supuesto, una mejor disciplina en la producción e implementación de actualizaciones de firmware ayudará a reducir la degradación del sistema.
Quizás el paso más grande que se podría dar para adelantarse a las preocupaciones de seguridad sería que la industria colaborara hacia la autorregulación en el desarrollo de estándares y protocolos de la industria. Al definir una arquitectura base para muchos de los problemas anteriores y estandarizar y ordenar su inclusión, los proveedores de servicios y sus equipos de programación se liberarían de las preocupaciones de seguridad más pequeñas y se concentrarían en problemas de seguridad más grandes e intensivos a medida que evolucionan.
El establecimiento de estándares básicos pondría un "piso" de seguridad mínimo en todos los sistemas para proteger tanto a las empresas que compran los servicios como a los proveedores al implementar sistemas en empresas con sistemas de seguridad inadecuados o débiles.
Los desafíos de seguridad seguirán creciendo con IoT
Los desafíos de seguridad que enfrentan los proveedores de servicios de IoT industrial y sus empresas clientes son cada vez mayores. Muchos no enfatizan fuertemente el lado de la seguridad de la ecuación, pero al no hacerlo, se pierde la oportunidad. Muchos ejecutivos han indicado que estarían dispuestos a pagar más por dispositivos y servicios de IoT si las soluciones de seguridad fueran parte del paquete. Pero a medida que la industria continúa creciendo, los nuevos servicios, incluida la seguridad como parte de la plataforma, o las sólidas asociaciones con proveedores de seguridad externos, ganarán una posición más sólida en el mercado.
Tecnología Industrial
- El camino hacia la seguridad industrial de IoT
- Swissbit:soluciones de seguridad basadas en hardware para proteger datos y dispositivos
- La seguridad de IoT industrial se basa en hardware
- La importancia de $ 6 billones de los estándares y regulaciones de seguridad en la era de IoT
- Mitigar los riesgos cibernéticos de IoT y encontrar soluciones
- Protección de IoT industrial:un desafío de seguridad creciente - Parte 1
- Seguridad ICS, dispositivos médicos y el fantasma accidental
- Los desafíos de las pruebas de software de los dispositivos IOT
- 5G, IoT y los nuevos desafíos de la cadena de suministro
- 5 principales diferenciadores de IoT industrial e IoT
- 8 desafíos de seguridad demoledores con Industrial IoT