As transformações digitais estão ocorrendo em inúmeros negócios e indústrias. Plataformas de big data na cadeia de suprimentos e fintech; automação em armazéns; AR e VR em treinamento corporativo; e a Internet das Coisas Industrial (IIoT) em qualquer outro lugar — são apenas alguns pontos de inovação e investimento em toda a Indústria 4.0.
A segurança da IoT industrial é uma preocupação constante para qualquer profissional envolvido na verificação, implantação, e usando máquinas e dispositivos conectados. Os orçamentos de TI só devem crescer ao longo de 2022 e além, à medida que a sobreposição ciber-física aumenta, mas os incidentes de segurança cibernética não discriminam. Como resultado, grandes e pequenas empresas se colocam em risco quando não conseguem proteger suas crescentes redes de dispositivos IIoT.
O que há de errado com a segurança industrial de IoT?
A IIoT se expandiu tremendamente em poucos anos, e a escala dos problemas de segurança se torna óbvia com a perspectiva adequada.
A transformação digital de uma empresa pode começar com a instalação de sensores conectados em máquinas internas. Infelizmente, esses são possíveis vetores de ataque nas circunstâncias certas e sem proteção adequada.
Quando as empresas implantam tecnologias de IoT conectadas adjacentes a registros confidenciais de clientes, IP da empresa ou redes que trafegam outros dados confidenciais, o problema aumenta . Com o benefício da retrospectiva, parece estranho que ninguém previu a violação de dados do cliente Target envolvendo condicionadores de ar conectados à Internet. No entanto, isso ia acontecer com alguém em algum momento – e agora que aconteceu, deve ficar claro quais são as apostas.
Hoje, isso é normal. As empresas sabem avaliar empresas de HVAC divulgando a robustez dos protocolos de segurança em seus produtos de A/C conectados à Internet.
Os estágios iniciais das transformações digitais podem facilitar a mobilidade de dados internamente. Atualizações posteriores podem envolver conexões contínuas com servidores remotos. O que acontece quando os vetores de risco se expandem a partir dos clientes de uma cadeia de varejo? Nos Estados Unidos, os serviços públicos são normalmente de propriedade e supervisionados por entidades privadas, um tanto opacas.
Existem excelentes razões para empresas de serviços públicos — água, internet, eletricidade, gás natural — implantarem dispositivos IoT para buscar um melhor serviço e confiabilidade. No entanto, essa rede de conectividade em rápida expansão apresenta muitos pontos potenciais de falha em relação à segurança cibernética.
O ponto crucial do problema de segurança da IoT industrial é que todas as máquinas e tornos CNC conectados – e todos os sensores em cada milha de água ou gasoduto — poderia dar aos hackers uma maneira de entrar. A telemetria pode não ser valiosa, mas um sensor de IoT não seguro pode fornecer uma rota para um prêmio mais valioso, como dados financeiros ou propriedade intelectual (IP).
A situação de segurança da IoT em números
O problema da segurança da IoT industrial é grande e pequeno .
Um relatório de março de 2019 do Ponemon Institute e da Tenable observou que 90% das organizações que implantam ativamente tecnologias operacionais, incluindo transporte e fabricação, sofreram uma ou mais violações de dados nos dois anos anteriores.
As empresas que prestam serviços públicos críticos representam alguns dos alvos mais conseqüentes possíveis para II Ataques baseados em oT.
CNA Financial Corp. e Colonial Pipeline provaram que a maioria das instituições financeiras, incluindo alguns dos ataques mais significativos – e a maioria das empresas de serviços públicos ou semi-públicos podem não ter tomado as medidas adequadas para proteger seus sistemas digitais. Pelo menos um desses ataques envolveu uma única estação de trabalho conectada comprometida.
A IBM descobriu que os fabricantes foram o setor mais visado por ataques cibernéticos em 2021. Isso não é especialmente surpreendente. As empresas de manufatura estão entre as adotantes mais prolíficas de produtos IIoT.
Combinar o físico e o cibernético — coletando dados abundantes e estudando-os ou modelando-os — é tremendamente benéfico no fornecimento, fabricação, fabricação, processamento, e operações de transporte em toda a indústria.
A indústria estará se aproximando do ponto culminante dessa tendência até 2025. É quando os profissionais antecipam que cerca de 75% dos dados operacionais em ambientes industriais, como plantas e centros de distribuição , serão coletados e processados usando computação de borda.
A computação de borda é provavelmente o recurso definidor da IIoT. Mas, infelizmente, é uma faca de dois gumes. O estado da segurança cibernética para o setor em 2022 é o resultado de os tomadores de decisão se entusiasmarem com o potencial da IIoT sem ficarem atentos a possíveis danos.
O que os empresários e líderes empresariais precisam saber segurança industrial de IoT?
1. Alterar senhas padrão de fábrica
Pesquisa da Deloitte publicada em 2020 afirmou que até 70% dos sensores e dispositivos conectados usam senhas padrão do fabricante. Portanto, é vital alterar todas as senhas de todos os dispositivos conectados quando estiverem on-line, seja no chão de fábrica ou em uma casa inteligente, onde um funcionário remoto lida com os dados da empresa.
Um problema relacionado é o uso de dados fracos ou repetidos senhas em vários dispositivos IIoT ou outras propriedades digitais. Novamente, as empresas devem usar senhas únicas e fortes todas as vezes e certificar-se de que os materiais de treinamento também enfatizem a importância disso.
2. Escolha os parceiros de tecnologia com cuidado
Pesquisas da Synopsys indicam que muito próximo de todos os softwares disponíveis comercialmente contém pelo menos algum código-fonte aberto. No entanto, 88% dos componentes estão desatualizados. Além disso, o código obsoleto geralmente apresenta software não corrigido com vulnerabilidades.
Os tomadores de decisão de negócios devem ter pelo menos uma compreensão parcial dos riscos de segurança cibernética como este e saber quais perguntas fazer a seus fornecedores e parceiros de tecnologia em potencial . Qualquer terceiro cujos sistemas digitais possam apresentar riscos que uma empresa não tenha negociado.
3. Criar processos de atualização estruturados em segurança de IoT industrial
Inicialmente, pode ter sido simples para empresas com pegadas digitais limitadas atualizar e manter manualmente seus sistemas IIoT. Hoje, o grande número de dispositivos implantados pode significar que as atualizações não acontecem com tanta frequência. As equipes de TI também nem sempre se lembram de alternar os mecanismos de atualização automática.
Pesquisadores encontraram um exploit em 2021 chamado Name: Wreck que aproveita quatro pilhas TCP/IP defeituosas que milhões de dispositivos usam para negociar Conexões DNS. Essas explorações conhecidas foram corrigidas desde então, mas os dispositivos que executam iterações de software mais antigas correm o risco de um controle remoto hostil. Como resultado, bilhões de dispositivos podem estar em risco em muitas tecnologias comerciais e de consumo.
Toda empresa que adota dispositivos IIoT deve entender antecipadamente como eles recebem atualizações ao longo de suas vidas e o que acontece depois que eles considerado obsoleto. Portanto, as empresas devem manter sistemas com mecanismos de atualização automática e uma vida operacional longamente prevista.
4. Considere uma equipe de gestão externa
É compreensível se sentir sobrecarregado com as vantagens e as possíveis desvantagens de investir em tecnologia para manufatura ou qualquer outro setor. Mas, infelizmente, muitas vulnerabilidades e ataques bem-sucedidos resultam de empresas sem tempo, recursos e pessoal para se dedicar ao entendimento da tecnologia da informação e da cultura de segurança industrial da IoT.
Empresas que olham antes de saltar com investimentos na indústria 4.0 pode adotar uma mentalidade de “configure e esqueça” que deixa o software sem patches e os dispositivos suscetíveis a ataques. Como resultado, uma das principais tendências em segurança cibernética para 2022 é mais empresas recorrendo a terceiros e tecnologias para acesso seguro, confiável e contínuo e gerenciamento de identidade.
5. Terceirize tecnologias conectadas para Segurança de IoT Industrial
Software como serviço (SaaS), robôs como serviço (RaaS), manufatura como serviço (MaaS) e modelos de negócios semelhantes estão aumentando. Infelizmente, as empresas nem sempre podem poupar dinheiro para investir nas mais recentes tecnologias conectadas e acompanhar as atualizações de hardware e software ao longo do tempo. Em muitos casos, faz mais sentido fiscal terceirizar a instalação e o monitoramento da infraestrutura ciberfísica para uma equipe de gerenciamento remoto.
Isso alivia parte da carga prática e protege o acesso às tecnologias mais recentes. Ele também se beneficia ao fornecer atualizações de segurança para hardware assim que estiverem disponíveis. Como resultado, a manutenção da IIoT, incluindo a segurança cibernética, torna-se um item de linha de orçamento gerenciável, e os planejadores corporativos se concentram no trabalho real de agregação de valor que realizam.
6. Segmentar redes de TI e implementar gerenciamento robusto de dispositivos
Qualquer rede de TI responsável por controlar máquinas conectadas deve ser separada daquelas que fornecem back-office geral ou conectividade de convidados . Eles também devem ser ocultos, com credenciais apenas para alguns, conforme necessário.
Além disso, o gerenciamento de dispositivos deficiente ou inexistente é responsável por muitas violações de dados, seja por perda ou roubo, ataques de engenharia social em dispositivos pessoais ou malware instalado por engano nas máquinas da empresa.
Máquinas conectadas, estações de trabalho e dispositivos móveis mal gerenciados são a porta de entrada ideal de um hacker para as redes. Veja o que as empresas devem saber sobre gerenciamento de dispositivos:
Eliminar ou controlar estritamente o uso de dispositivos conectados para processar dados da empresa. Aproveite os recursos de limpeza remota para remover dados confidenciais após a perda ou roubo de dispositivos móveis. Assegure-se de que os membros da equipe entendam que não devem deixar máquinas ou estações de trabalho conectadas sem vigilância. Implementar o bloqueio de credenciais em todos os dispositivos e máquinas conectados.
- Verifique cuidadosamente todas as APIs e extensões ou complementos de terceiros para produtos digitais existentes.
Use autenticação de dois fatores ou multifator (2FA ou MFA) para proteger os logins mais críticos.
Proteja a segurança de IoT industrial
A computação distribuída traz uma superfície de ameaça mais ampla. Infelizmente, a IIoT ainda é um setor imaturo da economia. Algumas das lições custaram caro.
Felizmente, as empresas que consideram investimentos em IIoT têm muitos exemplos do que não fazer e recursos para aprender sobre as expectativas mínimas de segurança cibernética de máquinas conectadas. Por exemplo, o Instituto Nacional de Padrões e Tecnologia (NIST) nos EUA fornece orientação sobre segurança cibernética de dispositivos IoT. O Centro Nacional de Segurança Cibernética do Reino Unido tem recursos semelhantes sobre lugares e coisas conectadas.
As empresas têm opções para proteger seus dispositivos conectados à IIoT e seria sensato implementar o maior número possível de protocolos de segurança.
