Por que não podemos atrasar a proteção da IoT em infraestrutura nacional crítica

É crucial manter a segurança da rede elétrica hermética.
Ao discutir a segurança da Internet das Coisas (IoT), é vital primeiro reconhecer a extensão cada vez maior em que nossas vidas diárias dependem desses sistemas totalmente conectados. A integração de dispositivos IoT em setores de missão crítica significa que, enquanto ganhamos eficiência, criamos um terreno fértil para novos pontos de ataque. Essas redes são de vital importância, afirma Alan Grau, vice-presidente de IoT, soluções incorporadas da Sectigo ; a proteção do portão passa a ser uma prioridade.

Embora até mesmo o cidadão leigo perceba a natureza crucial de manter a rede elétrica ou o abastecimento de água herméticos, um elemento freqüentemente está faltando na conversa, o papel central de proteger os dispositivos IoT, incluindo a autenticação por meio de certificados digitais.

Agora é imperativo autenticar todas as coisas conectadas e os certificados estão na vanguarda para superar as vulnerabilidades em nossa infraestrutura nacional crítica (CNI). E o tempo é essencial. O Instituto Ponemon revelou que 90% dos provedores de CNI já estão lutando contra ataques de IoT. Provavelmente, os outros 10% ainda não reconheceram que também estão sendo atacados.

Como um número crescente de ataques distribuídos de negação de serviço (DDoS) e ransomware continuam a visar dispositivos não protegidos, as organizações precisam acordar e lidar com os riscos inerentes representados por terminais não protegidos em ecossistemas de servidores a veículos e redes elétricas.

Um número crescente de governos emitiu recentemente requisitos regulatórios para a segurança de dispositivos do consumidor, mas as medidas estão longe de ser globais; nem são abrangentes. Cabe a todos no ecossistema, desde fabricantes de equipamentos originais (OEMs) a organizações de usuários finais, construir e adotar a tecnologia de autenticação que proteja nosso CNI.

Mantendo a segurança do setor de saúde

O setor de saúde enfrenta o desafio monumental de lidar com uma grande quantidade de dados confidenciais. Seja gerenciando propriedade intelectual, informações pessoais de saúde (PHI) confidenciais ou a configuração de um dispositivo conectado; os dados são justificadamente o ativo mais valioso do setor de saúde e, consequentemente, um dos mais complicados de proteger.

Qualquer sistema ou dispositivo que contenha ou transmita dados organizacionais, de pesquisa ou de pacientes de alto valor está em risco. As ameaças, que podem se originar de fontes internas e externas, agora variam de malware, ransomware, IoT Botnets e roubo a tentativas de phishing, comprometimento de e-mail comercial (BEC), extorsão e violações de dados em grande escala.

Infelizmente, muitas organizações de saúde permanecem insuficientemente protegidas. A maioria não possui o alto nível de criptografia de dados necessário para proteger os dados em movimento e os dados em repouso. Muitos ainda não fazem uso total dos benefícios que a identidade digital pode trazer em uma variedade de casos de uso.

Talvez ainda mais preocupante seja o risco frequentemente esquecido representado por “coisas” não seguras no setor. A maioria das organizações de saúde com modelos de negócios emergentes que dependem da IoT muitas vezes não reconhecem que seus dispositivos conectados (biossensores para monitoramento de pacientes, vestíveis para telemedicina, marcapassos, bombas e semelhantes) representam um risco de segurança significativo.

A digitalização crescente da experiência do paciente, juntamente com uma dependência crescente de dados (incluindo dados de pagamento de cartão de crédito), significa que é imperativo para as organizações neste setor fortalecerem continuamente seus recursos de segurança e fechar vulnerabilidades potenciais para ficar à frente das ameaças.

Protegendo todos os veículos

A chegada de veículos autônomos aumentará a ameaça potencial à propriedade e à vida provocada por um ataque de IoT. Em um futuro não tão distante, caminhões de entrega, ônibus, táxis e veículos pessoais serão autônomos, oferecendo alvos valiosos para atacantes cibernéticos. Os fabricantes de veículos autônomos afirmam que a tecnologia IoT que permitirá que esses veículos falem diretamente entre si e com o sistema de tráfego da cidade resultará em um sistema de viagens mais eficiente e seguro.

No entanto, essa comunicação requer um fluxo de informações perfeito e desimpedido entre os veículos para garantir sua coordenação próxima enquanto possivelmente viajam em altas velocidades, a apenas alguns centímetros de distância.

De acordo com o Consumer Watchdog de 2019 relatório 'Kill Switch', mais de dois terços dos carros novos nas estradas americanas até 2022 terão conexões online para seu sistema crítico de segurança, colocando-os em risco de hacks mortais para o sistema de "cabeça" dos veículos, usado principalmente para infoentretenimento, Navegação GPS e outros recursos.

O que acontece se um desses veículos for hackeado, prejudicando sua comunicação, de modo que não possa se coordenar com outros veículos? No mínimo, o hacker pode fazer com que o tráfego fique emaranhado. Na pior das hipóteses, o malfeitor pode causar acidentes graves, possivelmente resultando em ferimentos e morte para os passageiros e / ou pedestres próximos. Outra ameaça real é um ataque massivo de ransomware contra veículos. A segurança é claramente imprescindível para carros conectados.

Proteção da rede elétrica

Os benefícios da IoT no setor de energia são claros. A coleção massiva de sensores e dispositivos de controle garantem a confiabilidade do fornecimento e podem evitar interrupções controlando o fluxo de energia a qualquer momento. A modernização do sistema também significa maior eficiência energética e menos necessidade de intervenção humana, uma vantagem de economia de custos para as organizações. Além disso, ao recuperar um rico suprimento de dados, a rede elétrica inteligente pode criar modelos de manutenção preditiva, aumentando a segurança geral.

É claro que há um outro lado dessa automação e inteligência coletiva. Uma miríade de ataques cibernéticos e incidentes de chapéu branco ao longo da última década destacam a vulnerabilidade do setor de energia e seu alto valor como alvo. Os cibercriminosos entendem isso e continuam a encontrar ativamente maneiras de implantar código malicioso em redes estrangeiras para explorá-lo na hora de atacar. Um exemplo é o ataque-teste da Rússia à rede elétrica da Ucrânia, confirmando a capacidade do país de apagar as luzes à vontade.

Dadas as consequências potencialmente catastróficas, agora é mais importante do que nunca para a indústria de energia tornar a proteção dessa tecnologia cada vez mais difundida uma grande prioridade.

Projetando uma solução do chão de fábrica

A solução não está apenas nas mãos dos legisladores, mas também dos fabricantes de dispositivos e de outras partes envolvidas na cadeia de abastecimento. O gerenciamento de identidade deve ser integrado por design, automatizado para evitar erros ou sabotagem e atualizado regularmente ao longo de todo o ciclo de vida de cada dispositivo.

As ferramentas de autenticação de identidade são uma proteção essencial para proteger a infraestrutura crítica e seus diversos dispositivos. Certificados digitais, inicialização segura e atualizações de código seguras, firewalls incorporados e outras tecnologias permitem que empresas de saúde, transporte, energia e outras empresas críticas detectem e bloqueiem conexões não autorizadas antes de entrarem na rede, mantendo assim o portão fechado para criminosos cibernéticos desde o início .

A segurança corporativa e de IoT incorporada não é mais uma preocupação exclusiva dos fornecedores de tecnologia ou operadores de rede. A identidade da IoT tornou-se uma questão de interesse nacional.

O autor é Alan Grau, VP de IoT, soluções incorporadas da Sectigo

Sobre o autor

Alan Grau é VP de IoT, Embedded Solutions na Sectigo, um provedor global de gerenciamento automatizado de identidade digital e soluções de segurança web. Alan ingressou na Sectigo em maio de 2019 como parte da aquisição da empresa Icon Labs , um provedor de software de segurança para IoT e dispositivos incorporados, onde foi CTO e cofundador.