El futuro del NEA Argentino, desde un punto de vista tecnológico

El futuro de una región depende del modelo tecnológico y de la estrategia que se adopte

El futuro de una región depende del modelo tecnológico y de la estrategia que se adopte

Las ciudades inteligentes se convertirán en un campo de batalla de la guerra cibernética a gran escala a menos que el gobierno ordene la ciberseguridad.

El mayor peligro en las ciudades inteligentes es la superposición de que los sensores de IoT que se comunicarán a través de un tejido 5G con diferentes sistemas distribuidos de Machine Learning y Blockchain que no estarán a salvo de los ataques cibernéticos.

Por el contrario, las ciudades inteligentes sufrirán todas las vulnerabilidades cibernéticas que tenemos hoy en día (como los ataques de contraseña de phishing, la explotación del servidor y el malware de autopropagación) más una nueva generación de vectores de ataque que se potencia debido al estado hiperconectado de todo.

Infiltración patrocinada por el estado: Ni siquiera hemos construido nuestra primera ciudad inteligente en la provincia, pero ya hemos vivido el primer incidente geopolítico.

El gobierno de los Estados Unidos prohibió recientemente equipamiento 5G de Huawei cuando se descubrió que el gobierno chino podía escuchar de manera remota cualquier comunicación.

La pérdida de la fabricación doméstica de telecomunicaciones hace que las ciudades inteligentes sean vulnerables a los equipos importados de estados hostiles.

Además de la infiltración directa, la cadena de suministro global ofrece una amplia oportunidad para modificar el software y deslizarse a través de proveedores nacionales.

Orientación personal: actualmente no hay pautas para limitar lo que los sensores de IoT pueden ver dentro de su casa o en la calle.

Los autos que conducen solos ven y oyen todo mientras se mueven (incluso a alta velocidad).

El software de reconocimiento facial puede rastrearlo y determinar sus conexiones sociales (las personas con las que habla y con quién hablan).

La gran cantidad de datos personales hace que la orientación personal sea una realidad.

Robo de mercado: uno de los aspectos más promocionados de una ciudad inteligente es un mercado basado en blockchain para comprar y vender artículos como energía, transparentar el ecosistema de salud o democratizar aún más la educación.

Si bien Blockchain proporciona un registro a prueba de manipulación indebida de una transacción, no garantiza que los datos de entrada sean válidos.

Por ejemplo, uno podría engañar a los acondicionadores de aire inteligentes de que hace mucho calor y hacer que compren energía costosa a un proveedor de alto precio.

La capacidad de secuestrar un mercado crea muchas nuevas oportunidades para robar dinero.

Posteriormente, toda la lógica de negocios y los sistemas financieros en un mercado basado en Blockchain requieren protecciones significativas contra la manipulación. 

Marco de ciberseguridad para un futuro inteligente

Para abordar los riesgos cibernéticos de un futuro netamente inteligente, necesitamos un nuevo marco para mitigar las infiltraciones patrocinadas por un estado, proteger la privacidad personal y permitir un mercado eficiente.

Sin embargo, las ciudades inteligentes son tan complejas que el modelo de cumplimiento convencional no va a funcionar, deberemos mirar un modelo independiente, más orientado al habitante, y tomando como vértice del desarrollo, el talento de cada ciudadano.

Necesitamos un nuevo enfoque que defina roles y responsabilidades claras para cada proveedor y proveedor de servicios.

Para iniciar el proceso, es útil dividir una ciudad inteligente en las secciones First Mile, Management y Market. Luego podemos ver cada sección para explorar sus responsabilidades de ciberseguridad.

First Mile: La First Mile está plagada de vulnerabilidades IoT y 5G. Los sensores de IoT son extremadamente vulnerables a la manipulación que conduce a ataques DDoS y malware en los sistemas de administración.

Además, la falta de infraestructura 5G de confianza abre las puertas a la vigilancia extranjera.

Una solución para ambos problemas es construir una red de superposición de IoT utilizando una red de confianza cero (ZTN).

ZTN valida la identidad y el software de los dispositivos IoT antes de aprovisionar la conectividad.

Además, la conectividad no dependería de la red 5G para el cifrado, ya que la ZTN utilizaría sus propios certificados para establecer una VPN TLS mutua.

Privacy Gateway: la First Mile es el lugar a donde los ciudadanos de la Smart City son los más vulnerables a la extracción de datos personales.

Posteriormente, una puerta de acceso de privacidad que elimina la información de identificación personal (PII) antes de enviar los datos a los sistemas de administración es fundamental.

Una puerta de enlace de privacidad es similar a una base de datos GDPR, excepto que lee el contenido de los flujos de paquetes y elimina los detalles faciales (de las cámaras HD) y el habla humana (de los aparatos domésticos) en tiempo real.

Administración: dada la naturaleza crítica de la misión de los sistemas de generación de energía, dichos sistemas deben ejecutarse en una plataforma de computación confiable.

Los procesos de software como el aprendizaje automático y el control administrativo deben ejecutarse en su propio enclave seguro para mitigar el malware de auto propagación (Ej: Eternal Blue) y los ataques internos.

Otro problema con los sistemas de aprendizaje automático es su capacidad para determinar los datos que se han eliminado deliberadamente. Por ejemplo, los sistemas de tráfico podrían determinar fácilmente quién es el propietario de un vehículo y sus patrones de viaje incluso después de que Privacy Gateway eliminó la imagen y la placa del conductor de la alimentación de la cámara HD.

Por lo tanto, todos los análisis deberán almacenarse en un enclave seguro separado, la PII se eliminará (nuevamente).

Validación de datos: para garantizar que los datos dañados no ingresen a un mercado Blockchain, se requiere una puerta de enlace de validación de datos. Esto sería similar al sistema de monitoreo que los mercados de valores ahora usan para detectar una actividad comercial inusual, sin embargo, su lógica tendría que ser expandida para manejar la amplia gama de productos y servicios en un intercambio de Smart City. Por lo tanto, los hogares con electrodomésticos inteligentes que deseen comprar servicios costosos necesitarán que su actividad sea monitoreada por un Data Validation Gateway.

Mercado: Bitcoin lo marcó como una criptomoneda anónima. Desafortunadamente, el comercio anónimo no es lo que queremos cuando se trata de administrar el comercio de energía y salud. Por lo tanto, las billeteras digitales seguras con autenticación sólida (idealmente implementadas en una plataforma de computación confiable) combinadas con límites de comercio autorizados serán críticas para una operación eficiente del mercado.

Si utilizamos un marco como el presentado o desarrollamos uno nuevo, una estrategia integral de ciberseguridad es fundamental. El gobierno debe imponer un mínimo de estándares de seguridad cibernética para aplicar en los sistemas actuales y evitar los tropiezos que tendremos cuando intentemos tener una ciudad inteligente.

Por Jorge Julian – Perito Forense Digital