En la industria moderna, el número y la prevalencia de dispositivos IoT / IIoT, máquinas inteligentes y otros equipos conectados a Internet están aumentando gradualmente. El firmware en el que operan puede contener errores y vulnerabilidades que pueden usarse para una variedad de propósitos, incluido el nuevo ludismo y simplemente la extorsión. Analizaremos las principales vulnerabilidades de la industria "inteligente", consideraremos algunos escenarios de ciberataques en ella, así como recomendaciones técnicas para la protección.
A finales de mayo de 2019, se dio a conocer la hoja de ruta preparada para la tecnología de Internet industrial de extremo a extremo en Rusia. Según las previsiones, la introducción de IIoT en las empresas de la Federación de Rusia para 2024 tendrá un efecto económico de al menos 5,5 billones de rublos. La introducción de la industria no primaria y la minería proporcionará el mayor valor: más de 1 billón de rublos por industria. En agricultura, electricidad y logística, el efecto superará los 500 mil millones de rublos.
Los resultados de implementaciones reales de soluciones IIoT en el mundo indican que el pronóstico descrito anteriormente es bastante real. Por lo tanto, la introducción de componentes inteligentes en la central nuclear de Smolensk permitió
una reducción de 20 veces en el tiempo de ida y vuelta y un aumento en la calidad de las observaciones , con un efecto económico de aproximadamente 45 millones de rublos al año. La ingeniería de la planta de ingeniería de radio
recibió un ahorro del 4% en 4 meses al instalar sensores y medidores inalámbricos para electricidad, calor y fugas. El efecto positivo de la introducción no solo se mide en dinero, por ejemplo, Harley Davidson equipó todas sus máquinas y piezas con etiquetas RFID para acelerar la producción de modelos de motocicletas personalizadas.
Como resultado de la introducción de IIoT, el ciclo de producción se redujo de 21 días a 6 horas .
En 2017, McKinsey y Pricewaterhouse Coopers llamaron indicadores de rendimiento comparables para la implementación de IIoT en la Federación de Rusia: sus pronósticos muestran un efecto anual de 0.4 a 1.4 billones de rublos, así como un efecto total de 2.8 billones de rublos para 2025.
Por lo tanto, los ejemplos nacionales y extranjeros, así como las perspectivas financieras de la introducción masiva de IIoT, indican que la industria 4.0 se está convirtiendo en una práctica muy real en la industria actual.
Vulnerabilidades de la industria inteligente
La Industria 4.0 implica la automatización completa de la producción y la conexión de todo a Internet. Al mismo tiempo, el equipo en tales empresas "se comunica" entre sí, y la inteligencia artificial que controla los procesos recopila datos para controlar las etapas de producción, lo que permite producir mejores productos de la manera más flexible y ahorradora de recursos.
Obviamente, cuanto mayor sea el nivel de automatización, más código de software está contenido en el firmware del equipo y es más probable que tengan vulnerabilidades. El firmware, por supuesto, no es la única fuente de problemas de seguridad para las fábricas inteligentes en la industria 4.0. Hay muchos más problemas reales. Estas son algunas de ellas.
Componentes vulnerablesHoy en día, este es un gran problema, porque una parte importante de estos dispositivos se desarrolló sin tener en cuenta los requisitos de seguridad de las empresas inteligentes. Según las encuestas a los empleados, los equipos obsoletos son el principal obstáculo para la implementación de soluciones industriales de IoT. Los intentos de construir nuevos sistemas sobre la base de dispositivos antiguos enfrentan problemas para proporcionar un nivel adecuado de protección.
Protocolos VulnerablesMuchos protocolos se crearon hace muchos años y se usan casi sin cambios hasta el día de hoy. Sin embargo, cuando se desarrollaron, no existía gran parte de la amenaza moderna y las redes empresariales estaban aisladas. Como resultado: según la investigación, 4 de los 5 protocolos menos seguros son protocolos de control industrial.
Operadores VulnerablesEn las empresas de la industria, 4.0 personas son significativamente menos, lo que reduce proporcionalmente el número de posibles objetivos. Sin embargo, la introducción de nuevas tecnologías sugiere que varios empleados restantes aún tendrán que trabajar con nuevos programas y tipos de datos. En condiciones en las que tiene que aprender algo nuevo, una persona se vuelve especialmente vulnerable a la ingeniería social, en particular a los ataques de phishing.
Cadena de suministro vulnerableVarias empresas participan en la cadena de producción. Por lo tanto, para proteger una empresa, se debe garantizar la seguridad de todas las instalaciones de producción conectadas a ella, así como de todas las plantas asociadas a ella. Pero como es casi imposible controlar todas las comunicaciones, como resultado, el nivel final de seguridad estará en el nivel del enlace más débil.
Procesos de TI vulnerablesEn muchos casos, instalar actualizaciones en dispositivos IIoT no es una tarea fácil, ya que algunos de ellos simplemente no tienen un mecanismo de instalación de actualizaciones. Otra dificultad es la gran cantidad de dispositivos, por lo que existe el riesgo de perder uno o dos sensores. Otro problema en términos de actualización son las empresas de ciclo continuo, porque en este caso es imposible detener el proceso tecnológico y cargar parches en los sensores IIoT
.El equipo industrial le permite realizar una gran cantidad de operaciones diferentes. Además, a menudo no se requiere toda la riqueza de oportunidades. En la industria 4.0, la presencia de funcionalidad no utilizada en el equipo amplía las capacidades de los atacantes para atacar, y asegura su sigilo: dado que la funcionalidad no se utiliza, nadie controla el funcionamiento del equipo en esta parte, y la penetración puede pasar desapercibida.
Grandes ciberataques contra empresas inteligentes
La Agencia de Seguridad de la Red y la Información de la UE (ENISA) realizó un
estudio el año pasado, en el que los autores entrevistaron a expertos en seguridad cibernética e identificaron 12 escenarios principales de ataque cibernético para dispositivos IIoT, así como también formularon medidas de seguridad para dispositivos IoT en el contexto de empresas inteligentes en la industria 4.0. Primero, hablemos de los escenarios de ataque. En la tabla a continuación, a cada posible tipo de incidente se le asigna el grado de riesgo que conlleva para una empresa inteligente.
Considere algunos de estos ataques:
- Ataque a la conexión entre controladores y dispositivos ejecutivos: un atacante inyecta y lanza código malicioso en el sistema, manipulando los datos que se transmiten entre el controlador y la máquina.
Impacto : pérdida de control sobre procesos tecnológicos, daño a un lote de productos y / o infraestructura.
Amenazas relacionadas : sabotaje interno y externo, manipulaciones con software y hardware, cambios en la configuración de dispositivos de control.
- Ataques a sensores: al haber agrietado un sensor, un atacante puede cambiar su firmware o configuración, y luego cambiar los datos que el sensor envía al equipo de control.
Impacto : tomar decisiones equivocadas basadas en datos falsos, realizar un proceso basado en mediciones incorrectas.
Amenazas asociadas : modificación de información, sabotaje, manipulaciones con software y hardware.
- Ataque en dispositivos de control remoto (paneles de operador, teléfonos inteligentes): un atacante puede piratear dispositivos de control remoto, que generalmente están diseñados para realizar tareas de mantenimiento y no se usan constantemente. Mientras tanto, representan una amenaza directa para la red, ya que romperlos puede causar un daño significativo y es bastante difícil identificarlo.
Impacto : obtener acceso completo al sistema con la capacidad de cambiar todos los parámetros.
Amenazas relacionadas : ataques de contraseña, explotación de vulnerabilidades de software, secuestro de sesión, fuga de información.
- Software malicioso que se propaga por la red: utilizan vulnerabilidades en el firmware y los sistemas operativos para penetrar. Puede protegerse mediante la actualización oportuna de dispositivos y programas vulnerables, pero, como se mencionó anteriormente, en el caso de IIoT, la actualización no siempre es posible.
Impacto : IIoT ofrece un amplio conjunto de oportunidades para los atacantes: al controlar un termostato inteligente, pueden apagar la calefacción en el hospital, poner en peligro la seguridad de las personas, el mal funcionamiento de los termostatos en una planta metalúrgica puede detener un alto horno y simplemente deshabilitarlo.
Amenazas relacionadas : paquetes de exploits, DDoS, ataques de contraseña.
- Los errores humanos y la ingeniería social, como regla, sirven como el primer paso para llevar a cabo otros tipos de ataques: los errores humanos y las características de la psique humana le permiten obtener acceso privilegiado no autorizado al sistema para instalar puertas traseras, otros programas maliciosos o acceso físico a dispositivos. Los ataques a personas son más difíciles de detectar, ya que se utilizan métodos psicológicos, más que técnicos, para llevarlos a cabo. Para mejorar el reconocimiento de este tipo de ataque, los empleados deben recibir una capacitación adecuada.
Impacto : si tiene éxito, el atacante obtiene acceso privilegiado al sistema o los datos necesarios para otros tipos de ataques.
Amenazas concomitantes : mal uso de la autoridad administrativa, administración inadecuada o configuración del sistema, daño físico al equipo, robo de propiedad intelectual de la empresa.
¿Qué se propone para proporcionar una fábrica inteligente?
Como parte del estudio ENISA, se realizó un análisis de los principales temas de seguridad de IIoT, que se dividieron en tres grupos:
- politica
- actividades organizacionales
- actividades tecnicas.
Consideraremos las principales recomendaciones técnicas, y el texto completo se puede encontrar en el
trabajo original :
Gestión de confianza e integridadMedidas de seguridad que aseguran la integridad y confiabilidad de los datos, así como también establecen criterios para confiar en dispositivos:
- verifique la integridad del software antes de ejecutarlo, asegúrese de que se obtenga de manera segura de una fuente confiable y que tenga una firma digital válida del proveedor;
- autorizar todos los dispositivos IIoT en la red empresarial utilizando certificados digitales y PKI;
- Establezca canales de comunicación entre dispositivos IIoT como una lista blanca. si es posible, seleccione solo canales seguros;
- implemente listas blancas de aplicaciones y revise cada vez que cambie el sistema, pero al menos una vez al año.
Seguridad de máquina a máquinaDefine el almacenamiento de claves, el cifrado, la validación de entrada y los problemas de seguridad:
- almacenar claves de cifrado de servicio, excepto las claves públicas en servidores especiales con módulos de cifrado de hardware;
- Utilice algoritmos criptográficos probados y seguros para la interacción entre objetos con comprobación de integridad y autenticación mutua;
- elegir protocolos de comunicación con protección contra ataques de reproducción (ataques a la reproducción de mensajes antiguos);
- Use hojas blancas para verificar la entrada y la protección contra secuencias de comandos entre sitios e inyección de código.
Protección de datosDefine medidas para proteger los datos confidenciales y controlar el acceso a ellos:
- elija los métodos de protección de la información en la memoria no volátil y no volátil, así como durante la transmisión y el uso;
- analizar los riesgos y evaluar la criticidad de varios tipos de datos, con base en el análisis, determinar las medidas de seguridad necesarias;
- proporcionar el acceso mínimo necesario a la información, documentar todos los derechos otorgados;
- para los datos más confidenciales, utilice el cifrado para que solo las personas autorizadas puedan acceder a ellos;
- Suplantar y proteger datos personales cuando se procesan dentro de la empresa; use encriptación y control de acceso, considere los riesgos legales.
Redes, protocolos y encriptaciónMedidas de seguridad que brindan seguridad al elegir los protocolos, el cifrado y la segmentación de red correctos:
- si es posible, use canales de comunicación seguros y encriptación para interactuar con IIoT;
- dividir la red empresarial en segmentos, crear zonas desmilitarizadas y controlar el tráfico entre segmentos;
- aplique la microsegmentación para crear pequeños grupos de componentes en la misma red que se comunican. Controla el tráfico entre microsegmentos.
- si es posible, separe los segmentos de red con requisitos de alta seguridad de las redes comerciales y de administración;
- Use soluciones IIoT con un nivel comprobado de seguridad, evite adquirir y usar dispositivos con vulnerabilidades fatales conocidas;
- asegúrese de que los dispositivos sean compatibles y seguros cuando utilice diferentes protocolos.
Etc.
¿Por qué es todo esto?
La cuarta revolución industrial traerá no solo nuevas oportunidades, sino también nuevos riesgos. Al calcular los ahorros de la introducción de empresas totalmente automatizadas, es imprescindible tener en cuenta los costos de la ciberseguridad. La vulnerabilidad en un solo dispositivo IIoT puede ser una fuente de problemas para toda una planta. En condiciones en las que ni siquiera hay cientos de tales dispositivos, sino decenas y cientos de miles, la tarea de protegerlos se vuelve estratégica.