Internacional. Los resultados de un proyecto de investigación realizado por Memoori Research han revelado más de 100 fallas en la administración de edificios y los sistemas de control de acceso de algunos de los vendedores populares investigados.
En respuesta, la Seguridad Nacional de los Estados Unidos ha entregado un "puntaje perfecto" de 10.0, lo que implica el riesgo más severo para las peores vulnerabilidades identificadas por la investigación. Se han publicado correcciones y parches, pero los resultados convincentes han subrayado los defectos generalizados de seguridad cibernética que aún existen en todos los edificios inteligentes.
Hace poco más de un año, Gjoko Krstic, investigador de la empresa de ciberseguridad industrial Applied Risk, comenzó a analizar sistemas de gestión de edificios (BMS), sistemas de automatización de edificios (BAS) y productos de control de acceso de cuatro proveedores; Optergy, Nortek, Prima Systems y Computrols. Krstic centró sus pruebas en productos específicos, Computrols CBAS-Web, Optergy Proton / Enterprise, Prima FlexAir y dos productos Nortek Linear eMerge.
En respuesta, la Seguridad Nacional de los EE. UU. etiquetó al Proton de Optergy con la máxima severidad en el sistema de puntuación de vulnerabilidad común estándar de la industria. Un puntaje de 10.0 es un evento relativamente raro en esta medida influyente que obtuvo una respuesta rápida de la compañía. Aunque el aviso señaló varios otros errores graves, uno de los cuales fue calificado con un puntaje de 9.9.
Krstic señaló que muchos de los peores defectos requerían un "nivel bajo" de capacidad de piratería para explotar y podían infiltrarse en los niveles más profundos desde una ubicación remota, presumiblemente oculta. "Al explotar la vulnerabilidad, es posible cerrar un edificio con un solo clic", afirmó durante una presentación en Amsterdam en el evento Hack In The Box en mayo. Añadiendo, en una entrevista reciente con TechCrunch, que el peor error de Optergy fue "muy, muy malo" y "fácil de explotar".
Optergy parecía ser consciente del problema cuando Krstic se le acercó y pronto lanzó parches para solucionar el problema. El presidente de la compañía, Steve Guzelimian, dijo que la compañía solucionó los problemas pero que no confirmaría cuántos dispositivos se vieron afectados, las últimas cifras sugieren que la empresa presta servicios a más de 1.800 instalaciones. "Arreglamos todo lo que llamó nuestra atención y hacemos nuestras propias pruebas regulares", dijo Guzelimian. Los otros proveedores también fueron notificados por Applied Risk, con la excepción de Nortek, debido a su "notorio proceso de informes".
Krstic resumió sus hallazgos generales en la Conferencia de Seguridad Cibernética ICS de SecurityWeek en Singapur, y señaló que un atacante podría aprovechar estas debilidades para activar alarmas, bloquear o desbloquear puertas y portones, controlar el acceso al elevador, interceptar transmisiones de videovigilancia, manipular sistemas y luces HVAC, interrumpir las operaciones y robar información personal. Destacando que las fallas revelan que 10 millones de personas y 30.000 puertas en 200 instalaciones ya están en los niveles más altos de riesgo de ataque cibernético, basado solo en los productos investigados.
La facilidad de ataque mostrada en la investigación de Krstic significa que los atacantes podrían ser cualquiera, desde una organización secreta financiada por el gobierno hasta un adolescente aburrido, haciendo ataques numerosos y frecuentes, y contra los objetivos más grandes y más pequeños.
La investigación de Krstic no nos dice nada fundamentalmente nuevo. Nadie en la industria de la construcción inteligente está apostando su dinero en un sistema de gestión de edificios inteligentes 100% seguro. Tal vez nunca deberíamos esperar ser 100% seguros para el ciber en nuestros edificios inteligentes. Después de todo, el mercado de PC ha logrado prosperar a pesar de ciber-vulnerabilidades comparables.
Sin embargo, nuestros edificios no son solo ciberespacios, donde solo nuestros valiosos datos están en riesgo. El edificio inteligente es un espacio humano ciberfísico donde los ataques virtuales pueden causar efectos muy reales y potencialmente dañinos para la salud y la seguridad de los ocupantes.
El estándar actual de seguridad cibernética en los sistemas de construcción inteligente no es suficiente para justificar el riesgo. Ese riesgo crece exponencialmente a medida que aumenta la adopción de IoT. Ya sea tecnológico, político o educativo, se debe encontrar una solución a este problema de vulnerabilidad creciente para evitar convertir los edificios, nuestros "lugares seguros" históricos en desastres ciberfísicos.
Fuente: Memoori Research.
