Fortalezca su defensa digital: Estrategias de ciberseguridad para el monitoreo ambiental GxP

Vaisala lleva más de 85 años innovando en mediciones industriales o meteorológicas, ayudando a los clientes a tomar las mejores decisiones basadas en datos altamente precisos y confiables. 

En la industria 4.0 y el IoT, la conectividad de datos en los procesos es muy utilizada. Sin embargo, es esencial que la información generada haya sido medida de la manera más adecuada posible para garantizar un alto rendimiento y el mínimo de errores.

1) Vaisala para Life Sciences

Una de nuestras soluciones para la industria de las ciencias de la vida son los sistemas de monitoreo continuo, que tienen como objetivo realizar el monitoreo ambiental en entornos críticos como producción y almacenamiento de medicamentos y dispositivos médicos, cumpliendo las normas de buenas prácticas. 

También tenemos una amplia gama de instrumentación industrial, incluyendo transmisores e indicadores para la medición de parámetros como temperatura, humedad relativa, punto de rocío, CO2, peróxido de hidrógeno para biodescontaminación y grados Brix. 

Nuestro principal objetivo es ayudar a los clientes a reducir el riesgo de pérdidas y no conformidades normativas mediante mediciones exactas y precisas, así como aumentar la eficiencia energética en sus operaciones.

2) ¿Cómo proteger mi sistema informático de ataques cibernéticos ?

Estos son los 4 puntos principales de protección a su empresa que colaboran con la protección y ciberseguridad de sistemas informáticos: la forma en que especificamos nuestro sistema, cómo elegimos nuestros proveedores y cómo mantenemos nuestra infraestructura de T.I.  

●    POP/SOPS: estabeleça e siga boas práticas para segurança do usuário
●    ERU/URS: defina requisitos de segurança quando especificando suas aplicações
●    Fornecedores: audite para verificar se os seus fornecedores seguem boas práticas
●    TI: mantenha a infraestrutura atualizada e propriamente implementada

É também importante levar em consideração as regulamentações de boas práticas (GxP), que já trazem aspectos de proteção e integridade de dados e segurança. Algumas dessas normas já são bastante conhecidas e seguidas pela indústria, como os guias  e normas listados abaixo.

• POP/SOPS: Establecer y seguir buenas prácticas para la seguridad del usuario
• ERU/URS: Defina requisitos de seguridad cuando especifique sus aplicaciones
• Proveedores: Audite para verificar que tus proveedores siguen buenas prácticas
• TI: mantener la infraestructura actualizada y correctamente implementada
 

También es importante tener en cuenta las regulaciones de buenas prácticas (GxP), ya  mencionan aspectos de protección e integridad de datos y seguridad. Algunas de estas normas ya son bien conocidas y seguidas por la industria, como las guías y normas que se enumeran a continuación. 

● FDA: 21 CFR Part 11 “Eletronic Records, Eletronic Signatures”
● EudraLex Volume 4: GMP for Medicinal Products for Human Use “Annex 11, Computered Systems
● PIC/S Guidance “Good Practices for Data Management and Integrity in regulated Enviroments”

Image

3) Los Sistemas en red cambian todo 

Las normas y estándares están en constante actualización debido a la evolución de los sistemas, tecnologías y computadoras. Dejamos de utilizar  equipos "standalone" -que operan de forma independiente-, para sistemas que dependen de una conexión en red con varios usuarios, localidades y dispositivos y que pueden estar tanto en una nube como en servidores internos. Es decir, a partir del momento en que los datos están en red, las bases de datos pasan a estar en un entorno que se comparte con varios otros sistemas considerados críticos. 
 

Por ejemplo, si un hacker quiere acceder a su empresa, ciertamente los datos gestionados por nuestros equipos (por ejemplo: temperatura, humedad, etc.) no son el objetivo final de ese hacker. Pero, este sistema puede ser un canal para la entrada a la red, dando acceso a información confidencial como: datos de clientes, financieros, fórmulas etc. Si hay una vulnerabilidad, este sistema podría dar acceso a datos valiosos que están en la misma red. Precisamente por eso todos los sistemas vinculados a la red deben tener cuidados constantes con ciberseguridad y seguir buenas prácticas para evitar intrusiones malintencionadas. 
 

En resumen, los requisitos de la Parte 11 y el Anexo 11 son excelentes, pero no son suficientes para garantizar la seguridad cibernética en un mundo conectado como el nuestro. Hay otros estándares que pueden ser seguidos, como ISO 27001.

4) Categorías de Ataques 

Los ataques cibernéticos pueden ocurrir de varias maneras, pero vamos a tratar de categorizarlos en 3 tipos diferentes: Ataque interno, Ataque de baja tecnología y Ataque de alta tecnología. Es importante entender que estos ataques se pueden combinar, Buscando explotar las vulnerabilidades en los procedimientos y sistemas.

Vamos a abordar las diferentes categorías de ataque y buscar formas de mitigar los riesgos con el uso de buenas prácticas y tecnologías de seguridad cibernética incorporadas en nuestro sistema.

Ataque Interno:

Ataque causado por un agente interno malicioso (empleado o proveedor de servicios), sin habilidad para hackear, generalmente con alguna motivación negativa.

●General: para evitar: para evitar riesgos, mantener un control de acceso por nivel de usuario, identificar cambios no deseados en la pista de auditoría y mantener revisión periódica. 
● Ayudar: las configuraciones y : las configuraciones y los cambios son protegidos y registrados por el sistema. Los cambios de configuración no alteran ni borran datos sin procesar registrados.

¿Cuál sería una forma efectiva de hackear un sistema de monitoreo?
 

Un agente interno con mala intención podría cambiar la posición de un sensor de monitoreo. Es decir, para burlar el sistema, esta persona malintencionada genera condiciones ambientales diferentes al cambiar el sensor de lugar (poniéndolo en un refrigerador, por ejemplo). Una solución para este tipo de fraude sería la fijación de los sensores en posición de monitoreo con el uso de sellos numerados, o tornillos. Además, es importante promover la cultura de integridad y calidad de los datos en la empresa, y asegurar que el personal entienda la importancia de tener los datos almacenados y medidos de la manera más adecuada posible.  

Ataque Low-Tech:

Estos tipos de ataques son intentos de estafa por parte de agentes malintencionados internos o externos sin el uso de tecnología. Estos ataques también se conocen como "ingeniería social". Ejemplos comunes de uso de ingeniería social son llamadas telefónicas para obtener datos confidenciales y relevantes, enlaces falsos, correos electrónicos de phishing, mensajes de teléfono celular falso, extraer o "robar" credenciales y contraseñas anotadas en lugares inadecuados, o incluso, si se aprovechan de ordenadores desprotegidos (sin contraseña o no bloqueados en lugares públicos). 
Recuerde: el comportamiento humano puede ser el eslabón más frágil en la seguridad de sus sistemas.

Recomendaciones generales de seguridad para evitar ataques low-tech

● No anote su nombre de usuario y contraseña en lugares de fácil acceso e inseguros
● No comparta su nombre de usuario y contraseña con nadie
● No permite que los compañeros utilicen su ordenador
● No use pen drives o abra enlaces y archivos adjuntos de fuentes poco fiables
● Mantenga su antivirus activo y actualizado 
● Utilice Wi-Fi solo de lugares con fuentes verificadas y conocidas
● Cuando use Wi-Fi público, utilice una conexión VPN

Image

Ataques High-Tech:

Los ataques de alta tecnología son generalmente realizados por hackers expertos con mucho poder computacional en sus manos. Hay muchos tipos y variaciones de este tipo de ataque, y se utilizan generalmente en conjunto para buscar debilidades, derribar servidores y establecer conexiones con los servidores y la red de las víctimas. En este artículo, vamos a abordar los ataques más conocidos: TLS/SSL ataque, Replay, Man-in-the-middle, JavaScript, y la fuerza bruta.

Ataque TLS/SSL:

TLS/SSL son protocolos de encriptación que permiten una comunicación segura entre dos agentes de red.

• SSL = Secure Socket Layer (versiones 1.0, 2.0, 3.0)

• TLS = Seguridad de la capa de transporte (más moderna y segura que SSL y tiene las versiones 1.0, 1.1, 1.2, 1.3)

• HTTP x HTTPS (la "s" significa el uso de cifrado vía TLS/SSL en la conexión que permite mayor nivel de seguridad entre ese sitio web y su ordenador)

Cómo ocurren los ataques TLS/SSL

Los servidores anónimos buscan en internet, mediante scripts y servicios específicos, servidores que respondan sobre HTTPS (puerto 443) y muestren su nivel de seguridad TLS/SSL. Con esta identificación, descubren qué servidores son vulnerables a ser hackeados porque están usando versiones antiguas con brechas de seguridad que los hackers ya conocen. Precisamente por eso existen nuevas versiones que corrigen y mejoran las aplicaciones anteriores.   
 

Para prevenir los ataques TLS/SSL es esencial utilizar la versión más actualizada posible de cifrado TSL/SSL, ya que tienen menos vulnerabilidades y garantizan una mayor protección del sistema.

Cómo puede ayudar viewLinc Cloud: Los dispositivos compatibles con el sistema viewLinc Cloud utilizan los protocolos de cifrado más recientes, garantizando la seguridad de los datos que viajan a través de la red.
 

Ataque “Replay”: 

En el ataque de repetición, un agente malintencionado tiene acceso a una comunicación legítima y replica el mensaje con algún complemento que busca agregar otros datos al mensaje para explotar vulnerabilidades. Se usa un pedazo del mensaje real y se añade otra parte para obtener alguna información privilegiada. Este ataque malicioso puede ocurrir por voz, mensaje de texto. Sin embargo, su aplicación principal es con el uso de servidores anónimos que interceptan los paquetes de comunicación entre sistemas, registrando esta información compartida a través de la web o por invasión causada por técnicas de Hacking de tecnología, usando la información obtenida para hacer un ataque de repetición, observando si será aceptado. 
 

Para prevenir este tipo de ataque, se utiliza una técnica llamada Nonce, un token insertado dentro de un comando computacional (entre el servidor y la aplicación) que, al contener un valor aleatorio con fecha de vencimiento, dificulta las invasiones por hackers. 
 

Cómo puede ayudar viewLinc Cloud: Además de implementar el Nonce en la comunicación entre los dispositivos y el sistema, encriptamos los datos en tránsito y almacenamiento para evitar la identificación y replicación de la información trazada.
 

Ataque “Man in the Middle”: 

En este ataque, un hacker o servidor autónomo monitorea el tráfico de red en la web a través de vulnerabilidades SSL en el puerto 443, insertando un falso SSL. En una determinada intercepción, actúa como un agente no identificado entre dos conversaciones manipulando la comunicación con el fin de introducir mensajes falsos, códigos o información para su propio beneficio. Por ejemplo: información de cuenta bancaria indebida para el pago de la factura. 
 

La principal forma de prevención implica el uso más reciente de firmas SSL (TLS 1.3) que garantizan mayor seguridad.
 

Cómo puede ayudar viewLinc Cloud: Además de usar las últimas versiones de SSL/TLS, utilizamos una técnica de cifrado simétrico en la comunicación entre los equipos y el sistema.
 

Ataque JavaScript:

JavaScript es un protocolo que permite que tu página web sea interactiva. Esta aplicación se ejecuta en una página web permitiendo actualizaciones y proporcionando interactividad a las páginas. El término técnico es: "lenguaje de scripting del lado cliente". Este ataque utiliza campos interactivos para enviar un código malicioso al servidor, por ejemplo, a la hora de rellenar el correo en un formulario inserta un archivo explotando las vulnerabilidades del servidor. En sistemas de monitoreo como viewLinc, la interfaz de usuario se ejecuta en una página web que utiliza Java para mantener sus datos siempre actualizados. 
 

La prevención se lleva a cabo de la misma manera que antes, asegurar que las versiones de JavaScript y protección son las más recientes posibles para prevenir ataques por vulnerabilidades sistémicas vía web. Otra validación se hace vía JSON en el servidor (JavaScript Object Notation). JSON es un comando Java, o en términos simplificados, JSON es el lenguaje Java utilizado para enviar datos entre una página web y un servidor. Todo dato que llega vía JSON es validado por la aplicación, buscando una estructura específica previamente establecida (ej.: cada correo electrónico debe tener formato [email protected] y no 12345). Todos los datos que están fuera de esta estructura, no son validados y se descartan automáticamente. 
 

Cómo puede ayudar viewLinc Cloud: Además de las técnicas descritas anteriormente, como defensa adicional podemos considerar que el servidor viewLinc Web Service se implementa como una característica separada del servidor. El servidor no ejecuta JavaScript, lo que garantiza la protección contra este tipo de vulnerabilidad.

Ataque “Brute Force” (força bruta): 

Este ataque consiste en enviar un número gigantesco de intentos de inicio de sesión con diferentes usuarios y contraseñas comunes, incluso considerando los datos que pueden haber sido filtrados por sitios web no confiables. Un servidor anónimo busca sitios web que tengan páginas de entrada vulnerables y, al identificarlos, ejecuta una lista de inicios de sesión comunes. Cuando una combinación funciona, estas credenciales se registran y guardan en un servidor anónimo donde posteriormente un hacker las utiliza para acceder e invadir el sitio. Otro tipo de ataque "fuerza bruta" es el DDoS (Denial of Service/Denial of Service). El objetivo de este ataque es sobrecargar la página debido al alto número de intentos de acceso, causando un fallo o derribando el sitio, permitiendo que el hacker realice una invasión a través de alguna otra vulnerabilidad previamente identificada cuando se reinicia el sistema, por ejemplo.

Cómo prevenir un ataque de "fuerza bruta": no utilizar usuarios o contraseñas estándar/estáticas y buscar aumentar la complejidad de las contraseñas utilizadas por los usuarios. Para ilustrar la importancia del uso de contraseñas complejas, vea a continuación cuánto tiempo se requiere para "romper" las contraseñas simples y comúnmente utilizadas por los usuarios:

● 123456 (menos de 1 segundo)
● abcdefgh (5 segundos)
● ABcdEFgh (22 minutos)
● AB12efG3 (1 hora)
● A1b!C2d$ (8 horas)
● A1b!C2d$E3f (400 anos)

Curiosamente, incluso con tanto conocimiento compartido recientemente sobre la seguridad cibernética y los riesgos involucrados, en una de las últimas filtraciones de contraseñas que se produjeron en los EE.UU., las 10 contraseñas más encontradas fueron: 

● 123456
● 123456789
● qwerty
● password
● 111111
● 12345678
● abc123
● password1
● 1234567
● 12345

Cómo puede ayudar la nube viewLinc: viewLinc se puede configurar para permitir que solo contraseñas complejas sean elegidas (número mínimo de caracteres, mayúsculas y minúsculas, etc), además de realizar bloqueos al usuario después de un determinado número de intentos de inicio de sesión fallidos. La nube de viewLinc también tiene doble verificación de identidad, solicitando al usuario que valide su inicio de sesión a través de códigos enviados a su correo electrónico o teléfono.

5) Estar atento y percibir la transformación

Cada vez más el departamento de TI se ha involucrado en conversaciones de automatización para ayudar a la especificación e implementación de sistemas GxP. Importante destacar que hoy la aplicación de un sistema de monitoreo GxP ya no es una tarea concentrada solo por el departamento de control de calidad. Hay muchos otros aspectos y disciplinas involucradas como calibración, ingeniería e IT que componen la discusión agregando más robustez y seguridad a lo que se está adquiriendo o desarrollando. 

6) Procedimientos para buenas prácticas en ciberseguridad

Como hemos visto al principio del artículo, la aplicación del sistema de monitoreo GxP implica cuatro requisitos principales enfocados en la seguridad cibernética. Toma en cuenta los puntos discutidos en este artículo, pero no olvides lo básico:

●    POP/SOP: Establecer y seguir buenas prácticas para la seguridad del usuario (no esperes que el usuario vaya a aplicar una buena práctica si tu empresa no tiene un procedimiento)
●    ERU/URS: construcción de una especificación y requisito del usuario (requisitos sólidos con definición clara de los requisitos de seguridad)
●    Proveedores: use auditorías para verificar que los proveedores también siguen buenas prácticas (como la seguridad se aborda en este sistema)
●    TI: mantener la infraestructura actualizada y correctamente implementada (sistemas informáticos calificados y actualizados según normas y requisitos de seguridad).

Para saber más o contactar a nuestro especialista haga Click aqui