Considerações sobre fornecimento de dispositivos de acesso remoto para segurança

As equipes operacionais que executam sistemas industriais dependem de dispositivos de acesso remoto para realizar seus trabalhos e raramente pensam nas considerações não técnicas e não comerciais ao comprar. Mas a história recente está nos dizendo que de onde o dispositivo – e até mesmo os componentes dentro do dispositivo – vêm de muito mais coisas do que reconhecemos.

Os ataques à cadeia de suprimentos são sérios

Um ataque à cadeia de suprimentos é uma categoria de ataque de segurança cibernética em que o acesso é obtido visando elementos upstream na cadeia de suprimentos. Um leigo que compra um dispositivo – talvez para encomendar um equipamento no fim de semana – pode pensar que o risco não é significativo o suficiente para influenciar a decisão de compra, mas é.

Os ataques à cadeia de suprimentos são extremamente populares para os invasores porque, ao se infiltrar em um fornecedor, eles podem obter acesso a muitos usuários finais. Por exemplo, o Stuxnet foi um ataque eficaz à cadeia de suprimentos que visava CLPs usados ​​em um programa de enriquecimento de urânio. NotPetya, que causou danos estimados em 10 bilhões de dólares a organizações como Merck e Saint-Gobain, foi distribuído por meio de software de preparação de impostos. Mais recentemente, o SUNBURST deu acesso backdoor a até 18.000 organizações e foi distribuído por meio do software SolarWinds. Isso ocorreu muitas vezes e continuará por causa da recompensa para o invasor.

Ataques da cadeia de suprimentos ao ICS por meio de dispositivos de acesso remoto

A ideia de um ataque à cadeia de suprimentos visando o ICS por meio de um dispositivo de acesso remoto não é apenas teórica – já aconteceu antes. Em 2014, o malware Dragonfly infectou muitas organizações e foi distribuído por meio dos pacotes de configuração de aplicativos Talk2M da Ewon, que é um software usado para fornecer acesso VPN a equipamentos ICS. O SANS Institute forneceu um artigo sobre o ataque e seus impactos, que você pode ler aqui.

Considerações antes de comprar

Então, voltando ao leigo que compra um dispositivo para que ele possa comissionar alguns equipamentos - o que eles devem fazer?

Em situações em que você não é – e não pode ser – um especialista, é aconselhável observar o que os especialistas estão fazendo. No caso da segurança, um desses especialistas seria o Departamento de Defesa dos EUA. Eles proíbem claramente a compra e o uso de dispositivos, ou a contratação de fornecedores que usam dispositivos, de certos fabricantes estrangeiros devido a riscos na cadeia de suprimentos. Um memorando do DoD de julho de 2020 descreve essa prática e pode ser visto publicamente aqui. Uma empresa nomeada de importância é a Huawei Technologies Company (e suas subsidiárias e afiliadas), devido ao amplo uso de seus chips – inclusive em dispositivos de acesso remoto, como o Tosibox.

Então, uma dica para o leigo aqui pode ser comprar doméstico sempre que possível. Deve-se notar que comprar produtos fabricados internamente e produtos que foram projetados com camadas profundas de segurança não é feito facilmente e geralmente requer um preço premium, mas sem dúvida vale o custo para o usuário -especialmente para acesso remoto a sistemas industriais.

Além dos riscos da cadeia de suprimentos, há muitas considerações técnicas e organizacionais ao implementar o acesso remoto. Eu explorei isso em um grupo de trabalho com a Organização para Automação e Controle de Máquinas (OMAC), que publicou um Guia Prático para Acesso Remoto a Equipamentos de Fábrica que eu recomendo ler.