Lectura oscura | Seguridad | Proteja el negocio



Colonial Pipeline, el oleoducto más grande de EE. UU., Pagó recientemente a piratas informáticos de ransomware $ 4,4 millones para recuperar el handle de su propio oleoducto, lo que ha subrayado la urgencia de que las empresas prioricen la mejor forma de proteger sus activos. Con la amenaza de ciberataques que se avecina, se debe prestar más atención a la integridad de los sistemas de gestión de edificios (BMS). De 2011 a 2014, el número de incidentes cibernéticos que involucran sistemas de tecnología de operaciones (OT) un 74% de salto, con costos financieros que ascienden a cientos de miles de millones de dólares cada año.

Los avances tecnológicos en los sistemas de control de acceso que permitieron operaciones remotas durante la pandemia también han expuesto aún más estos sistemas. BMS debe salvaguardar tanto el acceso a los sistemas de TI de la empresa como a su infraestructura de misión crítica, como energía, HVAC y sistemas de control de edificios inteligentes.

Aunque fue hace ocho años, es fácil recordar el infame truco de Focus on de 2013 que llegó a través del contratista del sistema HVAC y comprometió 40 millones de cuentas financieras. El sector de la construcción comercial debe aprender a protegerse contra estos piratas informáticos invisibles que patrullan World wide web en busca de objetivos fáciles.

Ecosistema único de BMS
Los edificios inteligentes son particularmente vulnerables a los ciberataques a medida que se implementan más dispositivos de World-wide-web de las cosas y aumenta el uso de herramientas de administración remota. Si bien los sistemas de TI generalmente se centran en la tríada de seguridad central de confidencialidad, integridad y disponibilidad de la información, la tríada de seguridad de BMS es diferente. El enfoque de BMS debe estar en la disponibilidad de activos operativos, la integridad / confiabilidad del proceso operativo y la confidencialidad de la información operativa. El despliegue de un enfoque de defensa multidisciplinario en todos los niveles del sistema requiere un enfoque equilibrado de costo-beneficio en las operaciones, las personas y la tecnología.

La gestión de los riesgos cibernéticos comienza con la gobernanza organizativa y los compromisos a nivel ejecutivo. Esto puede incluir el desarrollo de una estrategia de ciberseguridad con una visión, metas y objetivos definidos, así como métricas, como la cantidad de evaluaciones de vulnerabilidad del sistema de handle de edificios completadas. Además, el liderazgo sénior debe garantizar que se adquieran e implementen las tecnologías adecuadas, que las defensas se implementen en capas, que el acceso al BMS a través de la purple de TI se limite tanto como sea posible y que se implementen tecnologías de detección de intrusiones.

Hacer que las redes BMS sean más resistentes a las amenazas
Es elementary contar con un sistema de defensa de varias capas que identifique, gestione y reduzca el riesgo de vulnerabilidades explotables en cada etapa del ciclo de vida. Por ejemplo, el uso del software package antivirus de un proveedor para el correo electrónico y el software program de otro proveedor para los servidores puede generar una purple más amplia de protección contra malware. La construcción de una arquitectura de defensa BMS segura comienza con una evaluación de riesgos y el diseño de una especificación de ciberseguridad para su sistema que incluye considerar medidas como el establecimiento de un firewall, IPS, NAC, permisos, antivirus, actualizaciones, capacitación de usuarios y copias de seguridad.

Si bien la creación de ciberseguridad debe adaptarse para adaptarse a la organización específica, varios marcos y estándares de ciberseguridad probados y sólidos pueden actuar como guías. IEC 62443 se está adoptando a nivel mundial y ofrece una serie de estándares que están específicamente orientados a los sistemas de handle digital para edificios, lo que brinda a los equipos de TI y OT un terreno común desde el que trabajar. Estos estándares describen un enfoque basado en el riesgo para desarrollar application y dispositivos integrados seguros que estén protegidos durante todo el ciclo de vida del sistema, así como el diseño y la implementación de sistemas de control de edificios seguros.

Protección contra la ingeniería social
Los posibles eslabones más débiles de cualquier BMS son las personas que administran y utilizan los sistemas. A través de acciones no intencionales, como olvidar revocar las credenciales de ex-empleado, o intencionales, como filtrar información confidencial, los empleados pueden representar un riesgo de seguridad. Los ataques también pueden provenir de tácticas de ingeniería social. La imaginación del criminal es el único límite para la ingeniería social, lo que la convierte en el camino más fácil para obtener acceso no autorizado a un BMS.

Suponga que los ciberdelincuentes aprovechan las técnicas de ingeniería social para obtener acceso a un sistema de control de acceso digital y acceso físico a áreas que de otro modo serían protegidas. El propietario del edificio corre repentinamente el riesgo de que los piratas informáticos bloqueen a los ocupantes dentro o fuera, controlen los ascensores, fuercen el apagado o tomen el management de otros sistemas de seguridad. El acceso a la red no autorizado también podría aprovecharse para extraer datos operativos o financieros.

Para evitar esto, no solo se debe segmentar adecuadamente una pink de sistema de regulate de la purple de operaciones comerciales, sino que los empleados y contratistas deben estar capacitados para resistir tales ataques. La capacitación en concientización debe reforzarse anualmente, y las empresas pueden establecer y comunicar elementos de disuasión para el incumplimiento de las políticas de ciberseguridad. El modelado de amenazas también ayudará a identificar los puntos de entrada accesibles y limitar los derechos de acceso de los usuarios en consecuencia a través del principio de privilegios mínimos. Esto se puede lograr mediante el establecimiento de un sistema de gestión de seguridad basado en IEC 62443-2-1.

Los ataques cada vez más sofisticados significan que la vigilancia constante y la evolución de las estrategias de defensa son cruciales. Las empresas deben tener un mantenimiento disciplinado de sus sistemas BMS y capacitar regularmente a sus empleados para protegerse contra las malas prácticas de ingeniería social. Estas inversiones beneficiarán a la organización a largo plazo al reducir la cantidad de incidentes de ciberseguridad y, por lo tanto, evitar la pérdida de ingresos y salvaguardar su reputación comercial.



Enlace a la noticia initial