Tres de cada cuatro compañías tienen sistemas de gestión de edificios vulnerables a la piratería o el ciberataque, según un nuevo trabajo de investigación de Claroty, una compañía de protección de sistemas cibernéticos. Más de la mitad de las organizaciones afectadas tenían sistemas conectados inseguamente a Internet con vulnerabilidades explotadas conocidas que estaban vinculadas al ransomware, dijo.
El informe estudió más de 467,000 sistemas de gestión de edificios en 500 organizaciones. Dentro de esas organizaciones, el 2% de los dispositivos esenciales para las operaciones comerciales operaban al más alto nivel de exposición al riesgo, según el informe.
El alto nivel de exposición de estos dispositivos proporciona a los actores cibernéticos maliciosos puntos de entrada fácilmente accesibles que «dejan la puerta abierta a interrupciones costosas y potencialmente peligrosas», dijo Claroty el miércoles en un lanzamiento. Esta combinación de factores de riesgo es preocupante debido a la dependencia generalizada de estos sistemas para operar HVAC, iluminación, energía, seguridad y otros sistemas en bienes raíces comerciales, minoristas, hospitalidad y centros de datos, dijo la compañía.
Muchos sistemas de gestión de edificios son antiguos y no se construyeron teniendo en cuenta la conectividad a Internet. Como resultado, algunos ya no serán respaldados por sus respectivos proveedores, lo que significa que las vulnerabilidades siguen sin parches, dice Claroty.
Si bien estos sistemas fueron operados previamente de forma independiente por el personal de gestión de instalaciones, ahora están más comúnmente conectados e integrados utilizando sistemas avanzados de gestión de edificios y automatización de edificios, según el informe. Pero los beneficios de conectar tecnologías operativas y dispositivos de Internet de las cosas a Internet vienen con «las compensaciones de ciberseguridad muy claras si no se administran adecuadamente», dice Claroty.
El acceso de terceros proporciona otro conjunto de riesgos, con muchos proveedores que traen sus propias tecnologías de acceso remoto que pueden no ser de grado empresarial o admitir características de seguridad como la autenticación multifactorial, dice Claroty.
Para los gerentes de instalaciones que trabajan para satisfacer la demanda de los ocupantes de servicios de alta tecnología, la integración de las tecnologías de proveedores puede presentar problemas, según Tom Karounos, Jefe Global de Tecnología de Construcción de Tishman Speyer.
«Comienza a agregar estas cosas, agrega complejidad de otros proveedores que entran y conectan las cosas a su red, (y) siempre corre el riesgo» de un ataque cibernético, dijo Karounos durante un panel en la conferencia RealComm IBCON a principios de este mes.
Hacer un plan para proteger su negocio
Las organizaciones que realizan actualizaciones digitales tienen una oportunidad al traer BMS en línea para medir el impacto comercial y salvaguardar la criticidad operativa de esos dispositivos, dice Claroty. Pueden lograr esto adoptando un marco de seguridad que proporcione a los tomadores de decisiones y a los propietarios de activos una verdadera evaluación de seguridad, así como un plan de remediación que puede ayudar a los equipos de gestión de riesgos y es comprensible por los ejecutivos, dice la compañía.
«Con los BM que controlan gran parte de la infraestructura de CPS moderna, es fundamental pasar de un enfoque reactivo a una estrategia proactiva», dice Claroty. «A menos que las organizaciones usen una solución integral de gestión de activos para descubrir todos los dispositivos dentro de una red, las vulnerabilidades y los riesgos para los activos críticos pueden acechar sin ser visto».
La firma de seguridad cyberfísica asesora un plan de acción de cinco pasos para este marco, incluido el alcance, el descubrimiento, la priorización, la validación y la movilización. Siguiendo estos pasos, los operadores pueden obtener una visibilidad total de los activos y su exposición, evaluar el impacto potencial en la continuidad del negocio y proporcionar a los equipos de seguridad y operaciones información que pueda permitir una reducción práctica y no disruptiva del riesgo, según el informe.
La investigación de proveedores es especialmente importante, según Karounos, quien dice que su compañía tiene un riguroso proceso de evaluación.
«Hacemos eso anualmente», dijo. «Tomamos el proceso de verificación muy en serio, y nos asociamos con nuestro equipo de adquisiciones para mantenernos honestos, por lo que no hay ambigüedad allí».
