Gestión de la seguridad de IIoT
Todos hemos oído hablar de Internet de las cosas (IoT) e Internet de las cosas industrial (IIoT). Sabemos que los dos son diferentes, porque IoT se usa comúnmente para usos del consumidor y IIoT se usa para fines industriales.
Pero, ¿cómo define realmente el IIoT un grupo profesional como el Industrial Internet Consortium (IIC)?
El grupo ve IIoT como un sistema que conecta e integra entornos de tecnología operativa (OT), incluidos los sistemas de control industrial (ICS), con sistemas empresariales, procesos comerciales y análisis.
Estos sistemas IIoT se diferencian de ICS y OT porque están ampliamente conectados a otros sistemas y personas. Y se diferencian de los sistemas de TI en que utilizan sensores y actuadores que interactúan con el mundo físico, donde los cambios incontrolados pueden generar condiciones peligrosas.
Los beneficios de IIoT son la capacidad de los sensores o dispositivos conectados, como parte de un sistema de circuito cerrado, para recopilar y analizar datos y luego hacer algo basado en lo que revelan los datos. Sin embargo, la conectividad misma también aumenta el riesgo de ataque, y cada vez más, ataques cibernéticos, por parte de aquellos que quieran derribar el sistema.
Uno de los muchos proyectos bajo un programa del Departamento de Energía (DoE) para reducir los incidentes cibernéticos está siendo impulsado por Intel, buscando una seguridad mejorada para el borde del sistema de energía.
Dado que los dispositivos de borde de la red se comunican entre sí directamente y a través de la nube, la investigación está desarrollando mejoras de seguridad para enfatizar la interoperabilidad y proporcionar conocimiento de la situación en tiempo real.
Primero, esto debe hacerse en forma de una puerta de enlace segura para dispositivos de sistema eléctrico heredados o de campo industrializado, luego como una actualización de matriz de compuerta programable en campo interna (FPGA) diseñada como parte de dispositivos nuevos o actuales.
El objetivo es reducir la superficie del ciberataque de una manera que no impida el funcionamiento normal de las funciones críticas de suministro de energía.
Sven Schrecker, arquitecto en jefe de soluciones de seguridad de IoT en Intel y copresidente del grupo de trabajo de seguridad en la IIC, dijo que la seguridad no debería ser la única consideración al diseñar e implementar dispositivos para sistemas IIoT, pero los desarrolladores deberían pensar más ampliamente en cinco factores clave generales:
- seguridad
- confiabilidad
- seguridad
- privacidad
- resiliencia
Si bien los ingenieros de diseño pueden tener que implementar elementos de seguridad en un chip, software o plataforma, es posible que no necesariamente sepan cómo encaja su trabajo en las políticas de seguridad más amplias de su empresa. "La política de seguridad debe ser redactada por el equipo de TI y el equipo de OT juntos, de modo que todos sepan qué dispositivo tiene permitido hablar con qué", dijo Schrecker.
Construyendo una cadena de confianza
Un tema común es establecer una política de seguridad y una cadena de confianza desde el principio, y luego garantizar que se mantenga a través del diseño, desarrollo, producción y todo el ciclo de vida de un dispositivo. La confianza debe estar integrada en el dispositivo, la red y toda la cadena de suministro.
Haydn Povey, miembro de la junta de IoT Security Foundation y también director ejecutivo y fundador de Secure Thingz, dijo que la seguridad debe abordarse en cuatro niveles:
- Nivel CxO
- arquitecto de seguridad
- ingeniero de desarrollo
- gerente de operaciones
Los ingenieros de desarrollo o diseño son los que deben tomar la política de seguridad de la empresa. También pueden definir factores como cómo identificar y verificar que un producto es suyo y cómo proporcionar de forma segura actualizaciones de software y hardware e implementarlas en chips o software.
La cuarta parte de la cadena es donde los OEM participan en la fabricación de productos para redes IIoT o en el despliegue de esos productos. Aquí, el gerente de producción u operaciones debe asegurarse de que cada componente electrónico tenga su propia identidad única y pueda autenticarse de forma segura en cada punto de la cadena de suministro.
Al discutir la falta de una cadena de confianza en el hardware y el software, Robert Martin, ingeniero principal senior de MITRE Corporation y miembro del comité directivo de la CII, dijo:"Los sistemas industriales conectados tienen tantos conjuntos tecnológicos diferentes".
De hecho, advirtió:“Un pequeño cambio en un microprocesador puede tener un impacto no deseado en el software que se ejecuta en él. Si recompilamos el software, lo ejecutamos en un sistema operativo diferente, funcionará de manera diferente, pero nadie será responsable de las fallas de software que resulten de los cambios ”.
Añadió:“Compare esto con el comercio de la construcción, donde se le penalizaría por realizar cambios que afectaran la seguridad:hay regulación, certificación. Pero simplemente no tenemos el mismo régimen en tecnologías basadas en software ”.
>> Continúe en la página dos de este artículo en nuestro sitio hermano, EE Times:"Guía del diseñador para la seguridad de IIoT".
Tecnología de Internet de las cosas
- Abordar el panorama de amenazas cada vez mayor de ICS y el IIoT
- Tendencias y consejos de seguridad de IIoT para 2020
- El camino hacia la seguridad industrial de IoT
- Redefiniendo la seguridad del firmware
- GE lanzará $ 1.2B IIoT Company
- Seguridad de IoT:¿de quién es la responsabilidad?
- Seguridad de IoT:¿una barrera para la implementación?
- Modernización de la ciberseguridad
- Las 10 mejores plataformas de IIoT
- La vulnerabilidad de la cadena de suministro de IoT representa una amenaza para la seguridad de IIoT
- ¿Es la seguridad la mayor amenaza para el IoT industrial?