Martin Keenan
Conforme o mercado de Internet das Coisas Industrial (IIoT) continua a amadurecer, novos dispositivos inundam as redes que também contêm uma série de aparelhos legados e de primeira geração. Essa combinação está aumentando a complexidade do tráfego de rede, bem como levantando questões de integração, forçando as empresas em todo o espectro a reavaliar as melhores abordagens de segurança, com soluções de código aberto cada vez mais em destaque.
A segurança da IoT tornou-se um dos tópicos quentes de hoje, com um relatório do Gartner prevendo um valor de mercado total de US$ 3,1 bilhões, em 2021. Embora haja um elemento de medo, incerteza e dúvida em algumas das previsões mais fatais, o fato é que a segurança da IIoT apresenta alguns desafios significativos.
Em apenas um exemplo, um estudo da Trend Micro, em associação com o Politecnico di Milano, conduzido em seu laboratório Industry 4.0, identificou uma variedade de métodos pelos quais os invasores são capazes de alavancar novos vetores de ataque não convencionais para sabotar ambientes de manufatura inteligentes. A empresa de segurança destaca dois problemas principais. Em primeiro lugar, os sistemas IIoT foram originalmente projetados para serem isolados da infraestrutura de TI tradicional, de modo que a confiança da rede é alta e há poucas verificações de integridade. Em segundo lugar, muitas plataformas IIoT utilizam linguagens proprietárias que, embora sejam mais nichos do que linguagens generalizadas, ainda podem ser exploradas com eficácia para inserir código malicioso, atravessar a rede ou roubar informações confidenciais.
Essa erosão crescente do isolamento da IIoT está, de fato, no centro da próxima onda de preocupações com a segurança da IIoT. À medida que os sistemas de OT e TI são integrados de forma mais ampla, os problemas de segurança subjacentes serão aprimorados. Há também um problema significativo com relação aos sistemas legados – o simples fato é que muitos projetos-piloto e empresas pioneiros não tinham a segurança como prioridade em seu pensamento.
O protocolo LoRaWan foi amplamente implantado em todo o mundo em aplicações que variam de sistemas de controle climático IIoT a medidores inteligentes e rastreamento de ativos. Como um protocolo não celular, tornou-se popular; há aproximadamente 142 países com implantações LoRaWAN e 121 operadoras de rede em 58 países, com cerca de 100 milhões de dispositivos conectados à LoRaWAN online, um número projetado para atingir 730 milhões ou mais até 2023.
No entanto, um estudo recente divulgado pela IOActive descobriu que as chaves raiz usadas para criptografar as comunicações entre dispositivos inteligentes, gateways e servidores de rede LoRaWAN são frequentemente mal protegidas e facilmente obtidas através de vários métodos comuns de hacking. Os pesquisadores descobriram que muitas implantações simplesmente usaram chaves padrão em seu entusiasmo para testar a tecnologia, deixando a porta aberta.
Além disso, outro problema central com o LoRaWAN é o gerenciamento das revisões de segurança – uma questão particularmente problemática em toda a IIoT, devido a limitações de energia e dificuldades de acesso. No caso do LoRaWAN, os dispositivos 1.0.3 não podem ser atualizados para a versão 1.1 devido a limitações de hardware, bloqueando uma geração inteira de dispositivos em software desatualizado. Isso é algo que os hackers estão mais do que bem cientes de como explorar.
Outro campo de batalha específico é o controlador lógico programável industrial (PLC), que tem sido uma parte central das aplicações de automação industrial por décadas. Eles nunca foram construídos com a segurança em mente, criando o cenário difícil de atualizar os PLCs, criar gateways de código aberto para protegê-los ou substituí-los por dispositivos IIoT personalizados.
Qualquer uma das opções requer desenvolvedores internos ou um integrador de sistemas de terceiros para construir algo sob medida – esse “algo” sendo dependente de uma ampla gama de bibliotecas de software usadas para programar os dispositivos. A rota do gateway foi explorada por desenvolvedores usando o Apache MyNewt de código aberto, o primeiro RTOS da Apache construído para sistemas muito pequenos para rodar Linux.
Claro, a tecnologia de código aberto não é totalmente invulnerável a falhas de segurança e vulnerabilidades, como demonstrado pelo recente bug de segurança Heartbleed que afeta o OpenSSL. No entanto, a comunidade de código aberto está tomando a iniciativa de várias maneiras, talvez mais visivelmente na forma do Projeto Alvarium. Estabelecido pela Linux Foundation em outubro de 2019, o Alvarium se dedica a construir um data trust fabric (DCF) para facilitar a confiança em dados e aplicativos que abrangem IIoT / IoT e sistemas de TI tradicionais. O plano do jogo é colaborar na estrutura de base de código-fonte aberto e APIs relacionadas que unem os vários ingredientes que constituem os tecidos de confiança, bem como definir os algoritmos que impulsionam as pontuações de confiança.
A ideia de introduzir e quantificar a confiança em redes IIoT não é inteiramente nova, mas potencialmente oferece uma solução mais escalonável e robusta do que as abordagens tradicionais de TI. Outra luz importante no desenvolvimento de estruturas de confiança de IIoT é, obviamente, a IOTA robusta de blockchain, que vem promovendo a adoção de sua tecnologia de razão distribuída (DLT) por alguns anos. Anúncios recentes incluem colaboração no projeto Dig_IT financiado pela E.U. para usar DLT para aumentar a sustentabilidade (via IIoT) na indústria de mineração, bem como ingressar na Eclipse Open-Source Foundation.
Obviamente, o caminho do código aberto está repleto de fracassos, bem como de sucessos notáveis, e se o Projeto Alvarium e o IOTA irão prosperar e prosperar ainda está para ser visto. No entanto, está cada vez mais claro que as abordagens tradicionais de estilo de TI para segurança de IIoT não são capazes de escalar de forma econômica, e novas abordagens serão necessárias conforme o grande volume de dispositivos e aplicativos continua a aumentar exponencialmente. O código aberto também tem o principal requisito embutido de boa colaboração entre empresas, um elemento crítico para consolidar o futuro da IIoT.
Martin Keenan é o diretor técnico da Avnet Abacus, que auxilia e informa os engenheiros de projeto sobre os mais recentes desafios tecnológicos, incluindo projetos para a Indústria 4.0 e fabricação de IoT Industrial