Ocho consejos de ciberseguridad para la iluminación conectada

La conectividad permite que la iluminación LED vaya más allá de la iluminación y el ahorro de energía para ofrecer nuevas capacidades y valor revolucionarios para los usuarios, para la reducción de costes, una iluminación de calidad y una considerable mejora en los procesos de negocios. La Lighting Control Association con sede en Virgina (EE.UU) nos da 8 consejos para garantizar un proyecto seguro de una buena iluminación conectada.

Al conectar en red las luminarias y los puntos de control de iluminación en una arquitectura centralizada, el sistema de iluminación se vuelve programable y capaz de generar datos. Estos datos se pueden aplicar a estrategias como optimizar la utilización del espacio, rastrear el inventariado o proporcionar servicios basados en la ubicación. Estas estrategias, a su vez, pueden producir impactos tangibles en la reducción de costes, la eficiencia del proceso, reputación de marca y la satisfacción de los usuarios.

Si bien la conexión de dispositivos para diversos fines comerciales puede producir un valor extraordinario, también puede traer consigo riesgos de seguridad y privacidad de datos. Estos riesgos pueden tomar varias formas, con dos ataques notables que son rastrear y vectorizar. Rastrear es cuando un hacker intercepta datos entre dispositivos y asume el control del dispositivo. Un ataque vectorial se produce cuando un pirata informático utiliza una red de sistema de construcción para penetrar en una red corporativa conectada más segura para el robo de datos.

La ciberseguridad es un desafío importante para la Internet de las cosas (IoT) en su conjunto (y las redes de información corporativa más allá de eso), y la iluminación no es inmune. El desafío es lo suficientemente serio como para ser objeto de una legislación como la SB-327 de California, que requiere que los fabricantes de dispositivos conectados los diseñen con ciertas funciones de seguridad antes del 1 de enero de 2020.

Mientras tanto, se han presentado varios proyectos de ley relacionados con la IoT en el Congreso de los Estados Unidos, como la Ley de Mejora de la Ciberseguridad de IoT de 2017 (estándares de seguridad mínimos para dispositivos conectados adquiridos por el gobierno), la Ley de TIPS para el Consumidor de la IoT de 2017 (dirige a la Comisión Federal de Comercio para educar a los consumidores), y la Ley SMART IoT (requiere que el Departamento de Comercio estudie el estado de la industria). Sin embargo, ninguno de estos proyectos de ley ha llegado aún a votación.

Si bien la industria de la ciberseguridad tiene una gran experiencia en el manejo de amenazas potenciales, es un problema nuevo para muchas industrias de la construcción, incluida la industria de la iluminación, que ahora trabaja arduamente para garantizar que los sistemas de iluminación conectada en red sean un vínculo sólido en el IoT.

Mientras se desarrolla todo esto, los especificadores y los diseñadores deben evaluar los sistemas de iluminación conectados con algunos conocimientos básicos de ciberseguridad. En términos de seguridad, lo que constituye un «buen» sistema para una aplicación determinada depende de la forma en que está diseñada (características de seguridad) y de la configuración (cómo se comunica), así como de la tolerancia al riesgo y del nivel de conocimiento técnico del propietario.

Por ejemplo, mientras que los sistemas basados en IP permiten que los dispositivos de iluminación se conecten, monitoreen y controlen en una red basada en Internet, lo que puede facilitar el soporte remoto, la capacidad de acceder a los datos y una función mejorada para la iluminación en la IoT, pueden requerir mayor seguridad

Muchos fabricantes importantes están priorizando el problema con iniciativas, basándose en estándares y mejores prácticas como ANSI / UL 2900-1, estándares IEC, ISO 27000 y el Marco de Ciberseguridad NIST IoT. Con el tiempo, los fabricantes idealmente optimizarán las metodologías en torno a las mejores prácticas y diseñarán productos con buenas herramientas de ciberseguridad integradas, lo que hace que la seguridad sea transparente para los profesionales que desean centrarse en la iluminación.

Es posible que IoT impulse la demanda de seguridad basada en estándares en la iluminación conectada, ya que involucra a diferentes partes interesadas como profesionales de TI en el proceso de toma de decisiones.

A continuación, hay ocho consejos para mejorar la ciberseguridad en sus proyectos de iluminación conectada:

Familiarícese con la “higiene” de la ciberseguridad. Si bien los profesionales de la iluminación no necesitan convertirse en expertos en ciberseguridad, pueden beneficiarse de la educación sobre conceptos y prácticas básicas.
Interactuar con el cliente sobre la ciberseguridad. Puede ser beneficioso involucrar al cliente sobre las necesidades de seguridad durante la fase de programación del proyecto. Esto puede requerir hablar con los departamentos de TI del cliente, que varían en la forma en que están compuestos. El departamento de TI puede tener preguntas y requisitos que afectarán cómo se diseña el proyecto. Después de la selección del producto, puede ser beneficioso incluir documentación de seguridad como parte de los documentos del proyecto. Para preguntas desafiantes, el fabricante debe poder proporcionar soporte.
Asegurar un buen cifrado. El cifrado es la codificación de datos entre dispositivos para evitar que sean interceptados y manipulados. En un boletín de mayo de 2018, Seguridad cibernética para sistemas de iluminación conectada, el Programa Federal de Gestión de Energía (FEMP) del Departamento de Energía de los EE.UU recomienda el cifrado AES de 128 bits. El cifrado AES de 256 bits está disponible, pero existe un compromiso entre el consumo de energía (y la latencia) y el cifrado en dispositivos de iluminación inalámbricos, lo que hace que la mayoría de los dispositivos utilicen 128 en lugar de 256.
Elija un método apropiado de autenticación. La autenticación consiste en garantizar que solo los dispositivos que confían entre sí puedan compartir datos. El FEMP recomienda una buena autenticación, ya que posiblemente el método de autenticación más seguro sea el uso de una clave pública y privada. El dispositivo que inicia la comunicación lo hace usando una clave pública, y el dispositivo que responde con una clave privada.
Salvaguardar la red de iluminación. Si la seguridad es una preocupación, la red debe estar protegida por un firewall. Si la red de iluminación tocará la red corporativa, como medida de seguridad adicional, FEMP recomienda segmentarla usando una red de área local virtual (VLAN). Con una VLAN, una parte de una red se divide en particiones y se ejecuta por separado como una subred con su propia funcionalidad y seguridad.
Asesorar al cliente sobre sus responsabilidades. Se debe informar al cliente sobre la definición de los permisos de administrador (quién tendrá acceso a la red y qué poderes tendrán dentro), la importancia de instalar actualizaciones de software de los proveedores (que pueden incluir importantes mejoras de seguridad) y cambiar las contraseñas, etc.
Asegurar después de la puesta en servicio. FEMP recomienda que todas las radios utilizadas para poner en marcha el sistema de control se apaguen después de su uso. O, si las radios son necesarias para el funcionamiento continuo del sistema, deben estar aseguradas.
Examinar los productos. Busque proveedores que utilicen una metodología de seguridad sólida, puedan explicarlo y puedan apoyarlo cuando sea necesario. Aquí, la educación puede recorrer un largo camino en la evaluación de productos con características de seguridad comparables, pero donde el fabricante los implementa de manera muy diferente.

Un recurso para evaluar productos es el Design Lights Consortium (DLC), que enumera los sistemas de control en red en una Lista de productos calificados que, a su vez, utilizan los servicios públicos para calificar los productos para sus programas de reembolso. La Lista de productos calificados permite a los fabricantes informar el cumplimiento de ciertos estándares de seguridad y requerirá el cumplimiento de los estándares en 2020.

La iluminación conectada en red y el IoT son un mundo nuevo, que presentan oportunidades emocionantes para los usuarios finales, pero que requieren nuevas habilidades y crean nuevos riesgos potenciales. Los profesionales expertos en construcción se educarán en los temas básicos, exigirán a los fabricantes una buena metodología de seguridad y se involucrarán con las personas adecuadas en el cliente para garantizar que se cumplan todos los requisitos.

Cookie	Duración	Descripción
cookielawinfo-checbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checbox-functional	11 months	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checbox-others	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesarias".
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento para el uso de cookies. No almacena ningún dato personal.