Seguridad cibernética de Connected Places
La guía de NSCS sobre ciudades inteligentes está destinada al sector público, pero el asesoramiento es relevante para toda la industria.

Amenaza para las ciudades inteligentes, un 'claxon de advertencia' para la propiedad

 | 

Karl Tomusk

Las ciudades inteligentes son un "objetivo atractivo" para las amenazas, advirtió el Centro Nacional de Seguridad Cibernética del GCHQ en un nuevo conjunto de guías para líderes de lugares basados ​​en datos.

Las recomendaciones de la agencia de inteligencia del Reino Unido describieron 14 pasos para garantizar que la tecnología del ámbito público y los entornos ricos en datos estén a salvo de las amenazas de ciberseguridad.

El NCSC advirtió que los sistemas comprometidos podrían afectar a los ciudadanos locales a través de violaciones de datos y una interrupción o falla de funciones críticas.

Las autoridades locales también podrían estar en riesgo y los ataques podrían afectar su reputación, finanzas y capacidad para fomentar la participación ciudadana.

La guía se publicó el mismo día que un ataque de ransomware en los EE. UU. Cerró un oleoducto que transporta casi la mitad del suministro de combustible de la costa este.

Aunque la guía está dirigida principalmente a las autoridades locales y nacionales, las recomendaciones también deberían ser una "alarma de advertencia" para que la industria inmobiliaria se tome en serio la ciberseguridad, dijo el fundador de la Real Estate Data Foundation, Dan Hughes.

En su informe, el NSCS dijo: “Un lugar conectado proporciona una gama de funciones y servicios críticos a sus sistemas. Los sistemas en los que se basan estas funciones y servicios se moverán, procesarán y almacenarán datos confidenciales, además de controlar la tecnología operativa crítica.

“Desafortunadamente, esto hace que estos sistemas sean un objetivo atractivo para una variedad de actores de amenazas. Un lugar conectado será un ecosistema en evolución, que comprende una gama de sistemas que intercambian datos, lo que solo agregará más riesgos ".

La guía se divide en tres partes: comprensión, diseño y gestión de lugares conectados, con un total de 14 recomendaciones.

Entender

El primer paso es tener una comprensión detallada del lugar habilitado por la tecnología, incluido quién tiene la responsabilidad general y la responsabilidad, qué datos se recopilarán y cómo se verá la red de IoT.

Los riesgos deben tenerse en cuenta desde el principio con una visión clara de los datos que contiene el sistema y dónde se encuentran las posibles vulnerabilidades.

La gobernanza y las habilidades de la ciberseguridad juegan un papel crucial: “Con el tiempo, los servicios y funciones del lugar conectado se integrarán en la vida cotidiana de sus ciudadanos. Por lo tanto, debe asegurarse de que el lugar conectado tenga los recursos y la financiación disponibles para su mantenimiento, como la seguridad operativa y la mejora de los servicios futuros en línea con los avances tecnológicos ”.

Diseño

Los lugares conectados deben diseñarse de forma segura con las protecciones adecuadas para las amenazas identificadas anteriormente. Las interfaces deben exponerse solo cuando sea necesario, lo que incluye la implementación de reglas de firewall que niegan todo excepto los servicios de red críticos acordados. Las configuraciones predeterminadas, como las contraseñas, deben cambiarse y los servicios y puertos no utilizados o innecesarios deben apagarse.

La protección de datos también es una prioridad, al igual que diseñar el sistema para que sea resistente y escalable: “Se debe pensar en definir niveles aceptables de servicio cuando se enfrenta una mayor demanda, y la velocidad a la que el sistema debe escalar para cumplir con esto.

"Cuando se alcanzan los límites, el sistema debería degradarse con gracia, en lugar de fallar catastróficamente".

Gestionando

Una vez que el sistema está en funcionamiento, la administración de usuarios, sus permisos y dispositivos es una prioridad porque los compromisos con las cuentas de administración podrían llevar a que los atacantes obtengan acceso sin restricciones al sistema.

Debido a que los sistemas conectados evolucionan, es necesario que exista un plan sobre cómo se retiran, reemplazan y eliminan los componentes sin crear nuevos riesgos de seguridad. En el caso de que las cosas salgan mal, también debe haber un plan para gestionar los incidentes y planificar una respuesta y recuperación.

Comentario: Dan Hughes, Alpha Property Insight y fundador de Real Estate Data Foundation

Dan HughesEs realmente alentador ver la guía reciente publicada por el NCSC para la ciberseguridad en el entorno construido. A medida que el sector evoluciona de las estructuras de hormigón y metal a las plataformas digitales del mañana, es fundamental que se consideren estas cosas.

Esta guía está dirigida principalmente a las autoridades locales para ciudades inteligentes; sin embargo, los principios y los riesgos son igualmente reales para los edificios y el sector inmobiliario en su conjunto. Los propietarios, administradores y ocupantes deberían considerar hoy las implicaciones de seguridad que presenta el uso de tecnología en sus edificios.

¿Cuánto tiempo pasará antes de que los edificios que están sujetos a rescate por ataques digitales reales o amenazados se conviertan en una realidad? Y cuando lo haga, ¿qué significará esto para la capacidad de desempeño del edificio?

La guía sugiere que los dos primeros pasos a seguir son comprender el espacio y luego comprender los riesgos, algo que toda organización y edificio debería hacer como mínimo en la actualidad. Esto no tiene por qué ser costoso ni requerir mucho tiempo, pero es esencial.

El hecho de que GCHQ esté brindando orientación sobre seguridad cibernética en ciudades inteligentes es muy bienvenido y espero que sea una advertencia para que el resto del sector inmobiliario tome nota y, lo que es más importante, tome medidas.

El informe completo está disponible aquí.

Sus comentarios

Lee nuestra política de comentarios aquí