Os 5 principais desafios de segurança da Internet das Coisas Industrial e maneiras de superá-los
Publicados: 2023-09-04Em 2010, uma central nuclear em Natanz, no Irão, foi vítima do malware Stuxnet que tinha como alvo o Simatic Step 7, um produto de software para configurar e operar controladores lógicos programáveis (PLCs). O ataque permitiu que hackers explorassem as unidades PLC em toda a fábrica e danificassem quase mil centrífugas de enriquecimento de urânio, desferindo um duro golpe no programa nuclear do país.
No caso do Irão, isto não foi necessariamente uma coisa má; não queremos realmente mais armas nucleares por aí, queremos? Mas imagine se a mesma coisa acontecesse com a sua fábrica ou equipamento no valor de vários milhões de dólares cada, com a sua reputação em jogo. É sempre útil colocar as coisas em perspectiva, certo?
O que estamos querendo dizer aqui é o seguinte: sua empresa não pode se dar ao luxo de encarar a segurança cibernética levianamente, especialmente se você opera em setores altamente competitivos, como manufatura e gerenciamento da cadeia de suprimentos, e especialmente se sua empresa aproveitou o desenvolvimento de software para Internet das Coisas - apenas como 72% de seus rivais fizeram.
Desde a detecção de anomalias no desempenho do equipamento antes que ocorram falhas até o monitoramento dos níveis de estoque em tempo real usando etiquetas RFID e beacons BLE, há muitas aplicações e benefícios interessantes de IIoT a serem considerados. Existem muitas maneiras pelas quais sua solução IIoT pode comprometer toda a sua infraestrutura de TI, levando às seguintes consequências:
- Máquinas danificadas
- Parada de produção
- Acidentes no chão de fábrica
- Violação de dados
- Danos à reputação
- Perdas financeiras diretas e indiretas causadas por todos os itens acima
Quais são os principais fatores que colocam a segurança da IIoT em risco — e como sua empresa pode prever e resolver os desafios de segurança da IIoT antes que ocorra um desastre? Vamos resolver o enigma juntos!
Resumo das falhas e desafios de segurança da IIoT
Para maior clareza, vamos definir a IIoT e seus componentes tecnológicos antes de nos aprofundarmos em suas implicações de segurança.
O termo IIoT refere-se à rede interconectada de máquinas, sensores, controladores e sistemas que se comunicam e trocam dados entre si e com plataformas centrais em ambientes industriais.
Esses sistemas ciberfísicos combinam elementos de equipamentos industriais tradicionais com conectividade, análise de dados e visualização de dados. As empresas recorrem a consultores de IIoT para monitorar operações de fabricação e armazenamento e automatizar processos únicos ou fluxos de trabalho inteiros.
Nos bastidores, a IIoT tem a mesma arquitetura que qualquer outra solução de Internet das Coisas (IoT), embora as implantações de IoT de ponta, onde os dados são analisados mais próximos dos sensores, tendam a prevalecer em ambientes industriais. As empresas que utilizam a IIoT podem adquirir equipamentos totalmente novos, aprimorados com sensores e com suporte à conectividade por padrão, ou atualizar o maquinário existente usando kits de retrofit IIoT personalizados e prontos para uso.
Do ponto de vista da segurança da IIoT, por que é importante entender como os sistemas IIoT funcionam nos bastidores? Os problemas de segurança da IIoT podem se manifestar em todas as camadas do seu sistema ciberfísico – desde controladores programáveis até aplicativos legados contendo vulnerabilidades não corrigidas. Para mitigar os riscos de segurança da IIoT, a sua empresa deve, portanto, proteger todos os endpoints da sua rede com ou sem fio, proteger os dados em trânsito e em repouso e corrigir brechas de segurança nas aplicações que compõem a sua infraestrutura de TI.
Sem mais delongas, vamos investigar quais fatores prejudicam a segurança nas soluções IIoT — e o que você pode fazer para proteger seus sistemas ciberfísicos contra essas ameaças.
Desafio 1: Comunicações Inseguras
As tecnologias de conectividade são a espinha dorsal de todos os sistemas IoT, independentemente da complexidade e da área de aplicação.
Em ambientes industriais, à medida que mais dispositivos e sensores ficam online, surgem mais endpoints, canais de comunicação e soluções de armazenamento de dados. E isto exige uma mistura muito diversificada e, de preferência, equilibrada de protocolos de dados e de rede que atendam aos requisitos específicos de segurança da IIoT.
Atualmente, até 98% de todo o tráfego de IoT não é criptografado, o que significa que os hackers podem facilmente contornar a primeira linha de defesa – por exemplo, aprendendo o login e a senha de um usuário por meio de um ataque de phishing – e colocar as mãos nos dados da sua empresa.
Práticas de criptografia inadequadas resultam do uso de tecnologias de comunicação legadas, como Modbus, Profibus e DeviceNet. Na verdade, a maioria dos protocolos de comunicação legados da IIoT carecem totalmente de recursos de criptografia de dados, forçando os desenvolvedores de IoT a procurar soluções alternativas, como implementar VPNs e túneis ou gateways seguros e resolver problemas de criptografia no Secure Sockets Layer (SSL)/Transport Layer Security ( nível TLS).
Solução
Para proteger a troca de dados entre os componentes de uma solução IIoT e, assim, evitar acidentes de segurança IIoT, recomendamos que você implemente uma pilha de tecnologia de conectividade à prova de falhas que consiste no seguinte.
Protocolos de dados confiáveis
Na IIoT, os protocolos de dados determinam como as informações são estruturadas, codificadas e interpretadas pelos dispositivos. Se sua empresa optar por uma implantação de IIoT com fio, você poderá facilitar a troca de dados entre equipamentos conectados e gateways por meio de protocolos Ethernet, como Profinet, EtherNet/IP e Modbus TCP/IP.
Embora esses protocolos não suportem inerentemente a criptografia de dados, seus desenvolvedores de IIoT ainda podem tornar os dados ilegíveis para terceiros implementando a pilha de tecnologia TLS/SSL na camada de transporte ou introduzindo dispositivos intermediários, como gateways seguros ou firewalls, entre dispositivos conectados e o rede. Caso você procure um protocolo de dados mais flexível para soluções de IIoT e automação industrial, recomendamos fortemente o protocolo OPC Unified Architecture (OPC UA), que suporta criptografia ponta a ponta, emprega certificados digitais X.509 para autenticação de dispositivos e pode ser usado em soluções IIoT com e sem fio.
Ao construir sistemas IIoT sem fio, a equipe ITRex geralmente se atém ao Message Queuing Telemetry Transport (MQTT), Constrained Application Protocol (CoAP), Advanced Message Queuing Protocol (AMQP), WebSockets ou APIs RESTful com HTTPS. Esses protocolos modernos oferecem recursos de criptografia por meio de TLS/SSL ou Datagram Transport Layer Security (DTLS) e ajudam a estabelecer canais de comunicação seguros entre equipamentos conectados, gateways e servidores em nuvem.
Para obter mais informações sobre protocolos de dados e seu impacto na segurança da IIoT, agende uma consulta gratuita com nossa equipe de P&D.
Protocolos de rede seguros
Ao contrário dos protocolos de dados, que lidam principalmente com a troca de informações e a interoperabilidade, os protocolos de rede definem regras, padrões e procedimentos sobre como os dispositivos são conectados, como os dados são transmitidos e como os componentes de um sistema IIoT interagem dentro de uma rede.
Do ponto de vista da segurança da IIoT, os protocolos de rede podem ser alvos atraentes para hackers. As razões para isso incluem mecanismos limitados de controle de acesso e autenticação e falta de recursos de criptografia de dados. Dependendo da sua arquitetura de rede — ou seja, padrões ponto a ponto, estrela ou malha — e dos casos de uso pretendidos, você pode utilizar vários protocolos de rede para enfrentar os desafios de segurança da IIoT. Esses protocolos abrangem Data Distribution Service (DDS), Low Power Wide Area Network (LoRaWAN), Zigbee, WirelessHART e Narrowband IoT (NB-IoT).
Para selecionar a pilha de tecnologia de conectividade apropriada que atenda a todas as suas necessidades de segurança de IIoT, é importante considerar o tipo de sistema ciberfísico que você deseja construir, o alcance de transmissão de dados necessário e os requisitos de consumo de energia. Isso pode ser feito durante a fase de descoberta do seu projeto de IoT.
Desafio 2: Práticas inadequadas de atualização de software
Ao contrário de computadores, tablets e smartphones, os dispositivos IoT não suportam sistemas de segurança de endpoint, como programas antivírus, simplesmente porque muitas vezes executam software incorporado altamente personalizado ou desatualizado ou são projetados especificamente para serem pequenos e energeticamente eficientes.
Embora você possa resolver parcialmente os desafios de segurança da IIoT introduzindo firewalls, detecção e prevenção de intrusões (IDP), juntamente com mecanismos de controle de dispositivos no nível da rede, atualizar os aplicativos que constituem seu ecossistema de software IIoT para a versão mais recente torna-se crítico para resolver possíveis problemas de segurança da IIoT .
Falando em software IIoT, precisamos traçar a linha entre sistemas embarcados, como firmware, middleware e sistemas operacionais (SOs), e software comum – pense em aplicativos web, desktop e móveis que facilitam o gerenciamento de dispositivos.
Devido às restrições de design dos dispositivos IIoT e ao grande número de endpoints em um sistema ciberfísico, corrigir vulnerabilidades de segurança de software IIoT é uma tarefa que poucas empresas industriais conseguem resolver. É por isso que até 65% dos fabricantes ainda usam sistemas operacionais desatualizados, repletos de vulnerabilidades de segurança de dia zero.
Solução
Para mitigar os riscos de segurança cibernética da IIoT, uma empresa industrial deve ter em funcionamento um mecanismo eficiente de gestão de atualizações de software.
Aqui na ITRex, somos fortes defensores de atualizações de software e firmware pelo ar (OTA). Nesse cenário, uma plataforma baseada em nuvem com tecnologia AWS IoT Device Management, Azure IoT Hub ou soluções SaaS pré-configuradas, como Bosch IoT Rollouts, fornece automaticamente atualizações de software para dispositivos de borda, controladores e gateways.
Uma plataforma de gerenciamento de dispositivos configurada corretamente também acompanhará melhor sua frota de dispositivos, otimizará lançamentos de atualizações de acordo com configurações e requisitos de segurança específicos do dispositivo e notificará sua equipe de TI em emergências.
Desafio 3: Medidas de segurança física deficientes
Deixando de lado a segurança da rede IIoT, uma empresa industrial com consciência cibernética também deve impedir que cibercriminosos e pessoas mal-intencionadas roubem hardware com o objetivo de verificar o interior dos dispositivos e infestá-los com vírus e programas de espionagem.
Medidas de segurança física insuficientes não só comprometem a integridade e a confidencialidade dos dados sensíveis, mas também levam a interrupções de serviços, tempo de inatividade operacional e perdas financeiras. As repercussões das vulnerabilidades de segurança física podem ir além do seu impacto imediato, colocando potencialmente em perigo a segurança pública e as infraestruturas críticas.
Solução
Para resolver os problemas de segurança física deficientes na IIoT, é necessária uma abordagem multifacetada. Veja o que sua empresa deve fazer como parte da revisão da segurança física da IIoT.
Priorizar a implementação de mecanismos robustos de controle de acesso
Isto inclui medidas como controle de acesso baseado em função (RBAC) para equipamentos conectados, autenticação biométrica e vigilância por vídeo baseada em visão computacional, bem como a implementação de sistemas de detecção de intrusão
Realize auditorias regulares de segurança física e avaliações de risco
As auditorias de segurança da IIoT ajudam a identificar vulnerabilidades desde o início. Eles também ajudam a desenvolver estratégias de mitigação apropriadas. Esta abordagem proativa permite que as organizações estejam um passo à frente de potenciais ameaças e tomem medidas preventivas para proteger os seus sistemas IIoT. Na prática, isso significa desconectar da rede dispositivos com evidências de adulteração, ocultar as marcações do fabricante nos dispositivos e, sempre que possível, remover componentes desnecessários da solução IIoT para evitar eventos de engenharia reversa.
Implementar programas abrangentes de treinamento de funcionários
Aumentar a conscientização sobre os riscos de segurança física e as melhores práticas é fundamental para fortalecer a segurança cibernética da IIoT (mais sobre isso mais tarde). A colaboração entre as equipes de TI e de segurança física também é vital. Esta parceria garante uma abordagem holística à segurança, onde os aspectos digitais e físicos são considerados e sincronizados para fornecer uma protecção robusta contra ameaças de segurança emergentes.
Desafio 4: Visibilidade limitada em dispositivos e atividades de rede
Até 90% das organizações relatam ter dispositivos shadow IoT em suas redes, com 44% dos entrevistados admitindo que tais dispositivos estavam conectados sem o conhecimento de suas equipes de segurança ou de TI.
Como resultado, muitos funcionários das empresas não têm conhecimento de quais dispositivos comunicam entre si, incluindo o tipo de informação que recolhem e trocam, e se esta informação é inacessível a terceiros. E o facto de as auditorias de segurança IIoT irem muito além da identificação de soluções de hardware pelo seu IP e sistema operativo apenas complica a questão.
Solução
Existem várias etapas que você pode seguir para obter visibilidade de dispositivos e redes em implantações de IIoT.
- Analise todas as comunicações de rede usando soluções de inspeção profunda de pacotes (DPI).
- Colete informações completas do dispositivo, incluindo tipo de hardware, modelo, número de série e versões do sistema incorporado.
- Agrupe seus dispositivos com base em tipo, função, missão crítica e possíveis riscos de segurança de IIoT.
- Crie redes locais virtuais (VLANs) para cada grupo de dispositivos para melhorar a visibilidade e o controle do tráfego.
- Use plataformas confiáveis de gerenciamento de dispositivos, como AWS IoT Core, Azure IoT Hub e PTC ThingWorks, para melhorar inventários, monitoramento, configuração, lançamentos de atualizações e solução de problemas de dispositivos.
Desafio 5: Treinamento insuficiente dos funcionários e conscientização cibernética
Como mencionamos anteriormente, a falta de colaboração e coordenação entre as equipes de tecnologia da informação (TI) e de tecnologia operacional (TO) pode resultar em práticas inadequadas de gerenciamento de segurança da IIoT.
Embora os operadores de equipamentos e os gerentes de fábrica possam cuidar adequadamente das máquinas conectadas, muitas vezes eles sabem pouco sobre as tecnologias integradas e de conectividade que as alimentam. As equipes de TI, por outro lado, são bem versadas na segurança da informação tradicional, mas tendem a tratar as soluções IIoT como hardware comum.
Isto pode levar a níveis baixos de patches, visibilidade limitada da atividade da rede e configurações incorretas dos sistemas IIoT. Além disso, os cibercriminosos podem explorar o conhecimento limitado do seu funcionário sobre as melhores práticas de segurança da IIoT por meio de ataques de phishing e falsificação de identidade. Sua equipe também pode escolher senhas fracas ou reutilizá-las em aplicativos, o que pode abrir um backdoor para sua infraestrutura de TI, prejudicando a segurança do software IIoT.
Solução
Aqui está um plano de alto nível que pode ajudar sua empresa a aumentar a conscientização sobre segurança cibernética entre os funcionários.
Crie programas de treinamento especificamente adaptados ao ambiente IIoT
Esses programas devem abranger tópicos como fundamentos de segurança cibernética, segurança de dispositivos IoT, práticas de configuração segura, higiene de senhas, reconhecimento e relato de possíveis incidentes de segurança e conformidade com políticas e procedimentos de segurança internos.
Conduza sessões regulares de treinamento para garantir que os funcionários se mantenham atualizados com as últimas ameaças e práticas recomendadas de segurança cibernética
Isso pode ser feito por meio de workshops, seminários, webinars ou módulos de treinamento on-line em seu sistema de gerenciamento de aprendizagem (LMS). Como parte das atividades de treinamento, por exemplo, você pode ensinar sua equipe a reconhecer e responder às ameaças à segurança da IIoT por meio de simulações de phishing e testes de penetração. Você também deve adaptar os programas de treinamento às funções específicas do cargo, garantindo que os funcionários recebam o treinamento relevante às suas responsabilidades. Por exemplo, a equipe de TI pode exigir mais treinamento técnico, enquanto os funcionários operacionais podem precisar de treinamento sobre uso seguro de dispositivos e segurança física.
Desenvolva políticas e procedimentos abrangentes que abordem os desafios de segurança da IIoT
Comunique essas políticas de forma eficaz aos funcionários e garanta que eles entendam suas funções e responsabilidades na manutenção da segurança. Revise e atualize regularmente essas políticas à medida que a tecnologia e as ameaças evoluem.
Promova uma cultura de conscientização e responsabilidade sobre segurança da IIoT em toda a sua organização
Incentive os funcionários a relatar imediatamente quaisquer incidentes de segurança ou atividades suspeitas. Enfatize que a segurança cibernética é responsabilidade de todos, desde a alta administração até o pessoal da linha de frente, e recompense os funcionários por demonstrarem boas práticas de segurança.
Considere fazer parceria com especialistas ou consultores externos de IIoT para realizar avaliações de segurança
Especialistas externos podem trazer insights valiosos, melhores práticas do setor e as mais recentes informações sobre ameaças para aprimorar os programas de treinamento de funcionários. Além disso, eles podem ajudá-lo a trazer as chamadas práticas de “segurança desde o projeto” para o processo de desenvolvimento de software IIoT e obter requisitos funcionais e não funcionais para implantações de IIoT.
Em uma nota final
As taxas de adoção da IIoT dispararam nos últimos anos — assim como os ataques de alto perfil direcionados a infraestruturas críticas da IIoT.
De acordo com um inquérito recente da Check Point, nos primeiros dois meses de 2023, 54% das empresas sofreram ataques relacionados com IoT, com uma estimativa de 60 ataques por semana por organização (41% acima do ano passado). Entre os dispositivos mais suscetíveis a ataques de hackers estavam roteadores, gravadores de vídeo em rede e câmeras IP – em suma, hardware que constitui a espinha dorsal da infraestrutura de TI de cada empresa.
Mesmo que sua equipe de TI siga as melhores práticas de segurança da IIoT durante todo o processo de desenvolvimento e implementação, não há garantia de que os hackers não exercerão controle sobre seus equipamentos e dados explorando vulnerabilidades em aplicativos e dispositivos fora do ecossistema da IIoT. É por isso que sua empresa precisa de uma estratégia de segurança abrangente — que é o que a ITRex pode fazer por você!
Se você está pensando em lançar um piloto de IIoT ou precisa de ajuda para dimensionar uma prova de conceito (PoC) de IIoT em outros casos de uso, entre em contato conosco! Temos experiência em análise de negócios, engenharia de sistemas embarcados, computação em nuvem e DevOps, bem como desenvolvimento de aplicativos para usuários finais.
Este artigo foi publicado originalmente no site itrex.