www.zonamovilidad.es
Victor Manuel Aguilar, Regional Director, Iberia & Turkey de Nozomi Networks
Victor Manuel Aguilar, Regional Director, Iberia & Turkey de Nozomi Networks

La ciberseguridad, primer requisito en la digitalización de los Sistemas de Automatización de Edificios

Por Firma invitada
x
infozonamovilidades/4/4/18
sábado 14 de mayo de 2022, 09:00h

Escucha la noticia

Desde bancos y oficinas hasta hoteles y supermercados, los edificios son cada vez más inteligentes. Los edificios modernos están entrando en una nueva dimensión de conectividad, eficiencia tecnológica y mejora de la productividad del personal en su interior. Incluso el tradicional inconveniente del aumento del consumo eléctrico se ve compensado por la digitalización de los sistemas de automatización de edificios, la climatización y las soluciones de control de la iluminación. Esto disminuye el consumo de energía, mejora el confort de las personas y reduce los costes generales al hacer funcionar todo el edificio de forma eficiente y prolongar el ciclo de vida de los equipos.

Se trata de una transformación digital en profundidad, que implica el abandono paulatino de los antiguos sistemas propietarios y la implementación de arquitecturas de IT Edge-to-Cloud, al mismo tiempo que la instalación de sensores básicos, tanto cableados como inalámbricos, permite recopilar la mayor cantidad de datos como sea posible. Pero si esto ahora parece la norma, muchos edificios todavía tienen una extensa infraestructura de sistemas de automatización tradicionales: aplicaciones, dispositivos y redes que deben administrarse, mantenerse y actualizarse progresivamente.

La gestión de riesgos de IT para los llamados edificios inteligentes aún presenta algunos desafíos específicos

De esta manera, los facility managers a menudo se enfrentan a una convergencia entre IT, IoT y OT. Si bien es probable que los beneficios operativos superen los posibles problemas de ciberseguridad provocados por una mayor conectividad, la gestión de riesgos de IT para los llamados edificios inteligentes aún presenta algunos desafíos específicos.

La convergencia de IT, IoT y OT

En el campo de la automatización de edificios, todavía existe una distinción entre ciberseguridad IT, IoT y OT. Por ejemplo, en entornos puramente IT, las técnicas de phishing son habitualmente utilizadas para acceder o penetrar en los sistemas. Sin embargo, en el caso de redes generalizadas y convergentes, los ciberdelincuentes también pueden explotar sistemas de calefacción, ventilación y aire acondicionado y otros sistemas de automatización de oficinas protegidos inadecuadamente, utilizándolos como puntos de entrada para acceder a centros de datos, redes corporativas y sistemas de control industrial.

Los sistemas OT tienen una presencia superior

El auge del IoT, la Industria 4.0 y otras iniciativas tecnológicas están impulsando una oleada de adopciones de soluciones de IT e IoT en todos los niveles de la gestión de instalaciones y en la arquitectura de sistemas ICS. Un ejemplo claro: los dispositivos edge computing ya están empezando a sustituir a los controladores propietarios en muchas aplicaciones. Por ello, además de las funciones que desempeñan los sistemas y de sus requisitos únicos como sensores, cada vez será más difícil distinguir entre sistemas de automatización de edificios y otros sistemas utilizados en las empresas y sus infraestructuras.

La ciberseguridad actual y las exigencias del CISO

Leer más

Aumentan los ciberataques en OT

Cabe destacar que Gartner, en su estudio IoT Security Primer: Challenges and Emerging Practices, revela que, en los últimos tres años, casi el 20% de las organizaciones ya han observado ciberataques en los dispositivos IoT de su red.

Los ciberataques a los edificios inteligentes, así como los dirigidos a las ciudades inteligentes y otras infraestructuras, pueden tener un impacto significativo en términos de seguridad para los usuarios. Un ataque a un gran edificio público (especialmente en una zona densamente poblada) puede provocar el caos. Los equipos ciber/físicos de los edificios, ciudades e infraestructuras están cada vez más distribuidos y tienden a ser supervisados desde una ubicación central.

En un campus o en un complejo sanitario, estos sistemas cubren un área equivalente a varias manzanas de la ciudad y también pueden ser fundamentales para el funcionamiento general de la ciudad o para la vida cotidiana de los residentes.

La superficie de ataque es cada vez más grande

Los edificios inteligentes actuales tienen muchos sistemas e interconexiones que pueden ser potencialmente explotados y atacados. En el caso del ataque a la cadena de tiendas Target, por ejemplo, los ciberatacantes entraron en el sistema de climatización y luego accedieron a los sistemas financieros para robar la información de más de 40 millones de tarjetas de crédito. También es conocido el caso de un casino, que fue víctima de un ciberataque porque los criminales detectaron la vulnerabilidad del termómetro inteligente de su acuario en la recepción del edificio.

Protocolos inseguros

Los protocolos industriales que no han sido asegurados son otra vulnerabilidad típica que los ciberdelincuentes pueden explotar para llevar una organización a la quiebra y esto es realmente importante para los sistemas de automatización de edificios. Protocolos populares como BACnet y LonWorks, por ejemplo, son implícitamente inseguros y, al igual que algunos de los protocolos utilizados en fabricación industrial, tienen vulnerabilidades que pueden ser aprovechadas por los atacantes.

El 84% de las organizaciones ha sufrido uno o más ciberataques con éxito en los últimos 12 meses

Leer más

Controlar los ciber riesgos

Por lo tanto, está claro que no se pueden ignorar los ciberriesgos. Entonces… ¿Cuál puede ser una buena estrategia de ciberseguridad?

Uno de los elementos clave, especialmente cuando se trata de automatizar edificios y añadir conectividad a cualquier entorno, es la visibilidad completa y continua.

Es bien sabido que "no se puede proteger lo que no se ve"; sin embargo, hoy en día ya no se trata sólo de la vigilancia física, sino de la visibilidad de todos los posibles puntos de entrada que un atacante puede aprovechar para establecer una conexión dentro de un edificio o de sus sistemas: desde dispositivos conectados, cuentas de correo electrónico a puntos de acceso o “puertas” que se dejan abiertas accidentalmente. Esto demuestra la convergencia que existe entre IT, IoT y OT, que todavía se perciben como entidades separadas, pero para beneficiarse de esta visibilidad es necesario un cambio de mentalidad, especialmente porque los edificios actuales y futuros, cada vez más conectados, ayudarán a difuminar aún más la línea entre estos dominios.

La adopción de soluciones que integren IT, OT e IoT se hace necesaria para conseguir una visión completa en entornos con sistemas de automatización

En las redes de hoy en día, una única brecha puede permitir a los atacantes acceder y después pivotar a los diferentes sistemas. La adopción de soluciones que integren IT, OT e IoT se hace necesaria para conseguir una visión completa en entornos con sistemas de automatización. Además, se requiere de una gestión centralizada y la capacidad de monitorizar de forma continua vulnerabilidades, amenazas y anomalías.

Gracias a la automatización, los edificios se vuelven más ecológicos, eficientes y confortables, pero para que sean realmente "inteligentes", la ciberseguridad deberá ser un aspecto clave de estos, uno de los principales elementos a tener en cuenta en cualquier proyecto de automatización.

Autor: Victor Manuel Aguilar, Regional Director, Iberia & Turkey de Nozomi Networks

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+
0 comentarios