Noticias

Si eres fanático de Star Wars, probablemente estés familiarizado con la orden 66. Se insertó un chip en el cerebro de los clones para moderar su comportamiento e insertar instrucciones. Este chip incluía la Orden 66, una instrucción para eliminar Jedis. Aunque los Jedi contrataron a kaminoanos para construir un ejército clon, el Emperador Palpatine aprovechó su posición de poder para manipular las instrucciones en el chip para su beneficio futuro. Y aquí tienes un ejemplo de por qué necesitas proteger tu hardware desde mucho antes de que se instale en tus instalaciones u otros equipos.

Según Gartner, en 2019, el 65% de los productos inteligentes eran “pirateables”. Por ejemplo, en 2015 un fabricante de juguetes lanzó un muñeco interactivo que resultó ser vulnerable a ataques. Como hemos estado comentando en nuestra serie de blogs sobre ciberseguridad, los recientes ataques famosos se centran en los niveles de software y red porque es más fácil obtener acceso digital que acceso físico. Sin embargo, también hemos demostrado que los ataques de hardware no son infrecuentes y sus consecuencias pueden ser devastadoras para las empresas.

Además, en nuestros blogs hemos estado analizando estrategias, tecnologías y mejores prácticas que puede aprovechar para proteger su empresa comenzando en el nivel de hardware. Sin embargo, aún no hemos discutido cómo proteger el hardware en la cadena de suministro.

Como se indicó anteriormente, obtener acceso físico es difícil pero no imposible y, a veces, eso significa manipular el hardware mientras se fabrica y explotar la vulnerabilidad más tarde, al igual que el Emperador Palpatine con el Ejército Clon.

Al principio, esto podría parecer una loca teoría de conspiración sacada de fan fiction. Sin embargo, tenga en cuenta que los ataques de hardware pueden alterar las operaciones comerciales, provocar grandes pérdidas financieras, daños físicos y destrucción de la reputación de la empresa, entre otras consecuencias devastadoras.

¿Cuáles son los desafíos de seguridad en la cadena de suministro?

A medida que las empresas implementan estrategias digitales y de automatización, también aumentan su superficie de ataque y sus riesgos de vulnerabilidad. Como resultado, la protección de datos e infraestructura de TI (aplicaciones, servidores, redes, datos de clientes, datos de proveedores, listas de materiales, sistemas de gestión de transporte) ha sido una prioridad importante para la protección de la información de la cadena de suministro durante años. Sin embargo, la protección del producto no ha sido una prioridad a pesar de que sigue aumentando el número de productos que pueden conectarse a Internet o que se consideran “inteligentes”.

Estos productos “inteligentes” generalmente incluyen código integrado, componentes lógicos o microcontroladores. Antes, sólo las empresas de alta tecnología se preocupaban por los desafíos de proteger los productos en la cadena de suministro. Sin embargo, hoy en día, el transporte, la atención médica y los productos de consumo se están volviendo más inteligentes, lo que aumenta la necesidad de protegerlos.

Un desafío relacionado con la protección de la cadena de suministro es la tecnología para las operaciones. A medida que Edge Computing e IOT nos permiten experimentar la informática más cerca del usuario, se introducen nuevas vulnerabilidades. Los equipos utilizados para la fabricación y la logística ahora suelen estar conectados a redes internas, al menos, para monitorear su desempeño y predecir problemas. Solo asegúrese de analizar las posibles amenazas de conectar este equipo a Internet junto con las ganancias de productividad al instalar software y hardware de monitoreo.

Como resultado de proteger la TI, la tecnología operativa y los productos, la gobernanza se convierte en un desafío. En muchas empresas, cada departamento se ocupa de su propia parte y carecen de un equipo multifuncional que se ocupe de la seguridad de manera integral y en toda la empresa. Esto se traduce en TI, ingeniería, investigación y desarrollo, instalaciones y operaciones resolviendo vulnerabilidades dentro de los límites de sus responsabilidades y descuidando la protección del producto. De hecho, normalmente los departamentos de TI se encargan de los datos y la infraestructura y las operaciones de TI.En algunas empresas, hay un equipo de TI y un equipo de operaciones independiente que se ocupa de la seguridad de la tecnología física/OT/IOT. En determinadas empresas puedes encontrar un grupo de seguridad que puede formar parte del grupo de TI.

Este es un tema particularmente desafiante dado el crecimiento de los ataques y su tasa de propagación, además de los esfuerzos perpetuos para equilibrar las iniciativas de innovación con las operaciones regulares. Más que nunca, las organizaciones de la cadena de suministro deben comprender que la seguridad es una de sus responsabilidades. Además, toda la organización debe trabajar en conjunto para proteger los productos de manera integral y al mismo tiempo responder a amenazas o ataques inmediatos.

Protección del hardware de productos inteligentes

Al igual que en el ejemplo de la Orden 66, la motivación detrás del ataque puede ser sabotear sus operaciones alterando el hardware, lo que provocaría pérdidas financieras, daños a la reputación e interrupciones comerciales, entre otros. No obstante, los ataques también podrían tener como objetivo falsificar productos o robar información de diseño para poder llegar antes al mercado, lo que puede sacarlo del negocio o costarle una gran cantidad de ventas.

Los riesgos de seguridad del hardware existen durante todo el ciclo de vida: desde el diseño inicial y la fabricación hasta el reciclaje y la eliminación. Los circuitos integrados de última generación son complejos, lo que significa que es imposible que una sola empresa diseñe, fabrique y pruebe un chip. Como resultado, la fabricación de chips es ahora una cadena de valor añadido de empresas multinacionales.

Incluso antes de que comenzara la pandemia, las empresas se vieron presionadas a buscar productos electrónicos avanzados y más baratos. Esto llevó a niveles incomparables de subcontratación de hardware. Ahora todavía estamos experimentando los efectos secundarios de las restricciones de viaje y las interrupciones comerciales que han provocado la escasez de componentes. En consecuencia, las empresas que desarrollan sistemas electrónicos están trabajando con intermediarios y proveedores externos, en lugar de proveedores originales, para satisfacer la demanda, mejorar los plazos de entrega o reducir los precios. El riesgo de estas prácticas es adquirir chips falsificados que pueden estar fuera de especificaciones, reciclados o clonados (¡La ironía!). Estos chips falsificados pueden instalarse posteriormente en sistemas sensibles o críticos y abrir vulnerabilidades para ataques (como en Star Wars).

Recomendaciones para reducir las vulnerabilidades en la cadena de suministro de hardware

La recomendación más importante es considerar la seguridad del producto como una prioridad para toda la organización. Elimine las barreras para que los equipos multifuncionales, incluidos operaciones, TI, investigación y desarrollo, marketing, relaciones públicas y recursos humanos, trabajen juntos para identificar y resolver vulnerabilidades en todo el ciclo de vida del producto.

También debe garantizar que la cadena de suministro extendida pueda cumplir con los requisitos de eficiencia, costo, servicio, calidad y seguridad para todos sus productos, especialmente los "inteligentes", desde la fase de diseño hasta el desmantelamiento y la eliminación.

Crear e implementar planes de recuperación ante desastres y evaluaciones de continuidad del negocio. Recuerde que factores externos o casos fortuitos, como una pandemia, pueden cambiar su estrategia y necesidades comerciales rápidamente. Al menos recopile información sobre cómo puede adaptarse rápidamente a una situación cambiante de logística o cadena de suministro junto con información sobre posibles amenazas y vulnerabilidades. La evaluación y gestión de riesgos de los proveedores debe ser parte de los planes de continuidad del negocio. De esa manera, si no puede esperar el plazo de entrega de sus proveedores habituales, tendrá segundas opciones seguras previamente aprobadas. Finalmente, asegúrese de que todos estos planes y evaluaciones cumplan con los estándares aprobados por la industria porque generalmente brindan una guía útil sobre el alcance del trabajo y los plazos.

Si desea saber más sobre cómo un OEM de hardware puede ayudarlo a mejorar la seguridad comenzando en el nivel de hardware, puede leer este blog.También puedes continuar leyendo nuestra Serie de blogs sobre ciberseguridad.