La empresa de seguridad cibernética, Pan Test Partners, advirtió que las escuelas con sistemas de administración de edificios conectados a Internet podrían enfrentar el riesgo de que los piratas informáticos apaguen el sistema de calefacción de la escuela, o algo peor.

El problema

El problema es que muchos electricistas e ingenieros pueden carecer de conocimientos sobre seguridad cibernética y/o pueden haber vinculado el sistema HVAC de una escuela a los controles de Internet en contra de las pautas del fabricante. Además, muchos sistemas inteligentes de calefacción escolar pueden tener vulnerabilidades que los piratas informáticos pueden encontrar fáciles de explotar.

probado

Los investigadores de Pan Test Partners probaron los posibles riesgos de piratería buscando controladores de sistemas de gestión de edificios fabricados por Trend Control Systems a través de la herramienta de búsqueda de IoT Shodan. Esta herramienta en línea (consulte https://www.shodan.io) proporciona una API pública y permite que cualquier persona descubra qué dispositivos están conectados a Internet, dónde se encuentran y quién los está utilizando.

En una prueba, se reveló que tomó menos de 10 segundos encontrar más de 1,000 ejemplos de un modelo de 2003 de un sistema de calefacción escolar conocido por ser vulnerable cuando se conecta a Internet. La visibilidad de un sistema vulnerable conocido a través de un sitio web público es un claro ejemplo de que el riesgo de que los piratas informáticos controlen de forma remota los sistemas de calefacción de las escuelas es real.

No solo escuelas

Los mismos sistemas de calefacción o similares también pueden usarse en edificios utilizados por minoristas, oficinas gubernamentales, empresas e incluso bases militares, lo que pone de relieve un riesgo potencial mucho más amplio.

incentivo

Los comentaristas de seguridad han señalado que habría muy pocos incentivos para que los hackers accedan a los sistemas escolares porque muchos hackeos se llevan a cabo con fines económicos.

Sin embargo, los riesgos podrían aumentar en el futuro a medida que más dispositivos y sistemas se conviertan en parte del IoT.

¿Qué significa esto para tu negocio?

Es posible que algunas empresas estén en edificios donde los sistemas de calefacción están expuestos a un riesgo de piratería. Los riesgos podrían reducirse si las empresas utilizaran trabajadores de TI capacitados que sean conscientes de los riesgos potenciales y si los sistemas se verifican adecuadamente después de la instalación.

Para que los sistemas de calefacción sean realmente seguros, también deben configurarse detrás de un firewall o una red privada virtual, y deben tener el firmware más reciente y otras actualizaciones de seguridad.

También es importante tener en cuenta que parte de la responsabilidad recae en los fabricantes de calefacción y otros sistemas de edificios inteligentes para diseñar funciones de seguridad en ellos porque incluso si un dispositivo no está conectado directamente a Internet, puede haber una forma indirecta de acceder a él.

Esta historia también destaca el desafío más amplio de abordar la seguridad de los dispositivos y productos de IoT. Ha habido muchas ocasiones en los últimos años en las que se han expresado e informado públicamente preocupaciones sobre las vulnerabilidades de seguridad/privacidad en IoT/productos inteligentes. La verdad es que se desconoce el alcance de las vulnerabilidades actuales porque los dispositivos están ampliamente distribuidos a nivel mundial y muchas organizaciones tienden a no incluirlos en las evaluaciones de riesgo para dispositivos, código, datos e infraestructura. Los usuarios domésticos/domésticos no tienen una forma real de determinar los riesgos que plantean los dispositivos inteligentes/IoT, probablemente hasta que sea demasiado tarde.

También se ha observado que no solo es difícil para las empresas, incluidos los fabricantes de productos inteligentes, determinar si todos sus socios de hardware, software y servicios mantienen una seguridad de IoT efectiva, sino que todavía no existe un estándar universal y certificable para IoT. seguridad.

Para las empresas, se trata de realizar una auditoría y evaluación de riesgos para los dispositivos IoT conocidos que se utilizan en la empresa. Una medida de seguridad básica es asegurarse de que cualquier nombre de usuario y contraseña predeterminados en estos dispositivos se cambien lo antes posible. Para los usuarios domésticos de productos inteligentes (que no realizan controles ni auditorías), parece que otros (como en el caso de la Agencia Federal Alemana de Redes) deben intervenir en su nombre y obligar a los fabricantes a tomar en serio los riesgos de seguridad.