Los centros de datos procesan y almacenan los datos que sustentan la vida moderna. Ya sea que los datos estén relacionados con sistemas críticos en hospitales, transporte, bancos o sitios web minoristas, deben estar protegidos contra amenazas. Esto es particularmente crítico para los proveedores de centros de datos, colocación y los gigantes tecnológicos que manejan datos de numerosos clientes. Si hay una brecha de seguridad a través de un ciberataque, los datos vulnerables de los clientes pueden verse comprometidos y los acuerdos de nivel de servicio pueden no cumplirse. Una de las amenazas cibernéticas más comunes que enfrentan los operadores de centros de datos involucra la cadena de suministro.
La firma de investigación Gartner predice que el 45% de las organizaciones en todo el mundo podrían sufrir ataques a sus cadenas de suministro de software para fines de 2025. A través de ataques a la cadena de suministro, los actores malintencionados pueden inyectar un código dañino en los sistemas de software y hardware vendidos a los centros de datos para robar datos críticos una vez que los sistemas estén en funcionamiento. Los ataques a la cadena de suministro también pueden introducir hardware falsificado en la infraestructura para robar datos, interrumpir las operaciones o contaminar los repositorios de datos. Además, estos ataques también son costosos. IBM informa que el costo global promedio de un incidente de violación de datos alcanzó los 4,45 millones de dólares en 2023.
Cómo abordar los ataques a la cadena de suministro
La seguridad de la cadena de suministro es una responsabilidad compartida que involucra a los operadores de centros de datos de hyperscale y colocation/colocación, los proveedores, los integradores y los arrendatarios de centros de datos. Cualquier vulnerabilidad en la cadena de suministro puede abrirle la puerta a un atacante, por lo que mitigar el riesgo es primordial.
Asociarse con proveedores que protegen con chips encriptados
La seguridad en los centros de datos de hiperscale y colocation/colocación es un asunto complejo y de múltiples capas en el que varias partes trabajan en conjunto para prevenir el robo y la interrupción de los datos. Una parte implica un pequeño microchip encriptado que los proveedores insertan en ciertos productos, como los medidores de energía inteligentes. Los medidores inteligentes conectados a la nube capturan datos críticos sobre la cantidad y el tipo de energía utilizada en un centro de datos. Las empresas de servicios públicos imponen requisitos a los centros de datos para aumentar la eficiencia, y el incumplimiento puede generar sanciones.
Los medidores inteligentes están compuestos por muchos componentes. Durante la fabricación, estos componentes se trasladan de una planta de fabricación a otra a medida que se crean las placas de circuitos impresos, se añaden los componentes eléctricos y se carga el firmware. A medida que los componentes viajan, deben permanecer a prueba de manipulaciones. Por ejemplo, se carga un chip encriptado en la placa desde el principio para evitar que actores malintencionados le inyecten código malicioso. La clave de descifrado, que desbloquearía el chip, no está disponible para terceros que formen parte del proceso de fabricación.
El chip garantiza que el producto permanezca bloqueado durante todo el proceso de fabricación y montaje. A lo largo del proceso, diferentes socios deben realizar pruebas de control de calidad para garantizar que los componentes funcionen correctamente. Cuando la placa llega a la planta de montaje final, la clave de descifrado necesaria para desbloquear el producto final se obtiene mediante una comunicación segura por canal secundario con el proveedor del chip. El producto final puede entonces cargarse e iniciarse como un medidor de energía inteligente por primera vez.
En Schneider Electric, utilizamos chips encriptados que ayudan a proporcionar una trazabilidad completa, asegurando que cualquier intento de manipular el producto sea identificado y detenido. Esta encriptación puede usarse para varios productos de centros de datos, no solo para medidores de energía, para evitar ataques a la cadena de suministro. Los disyuntores, las unidades de distribución de energía (PDU), los sistemas de alimentación ininterrumpida (UPS) y otro hardware también pueden llevar chips capaces de realizar este cifrado.
Identificar productos falsificados
Los chips de encriptación también ayudan a prevenir la falsificación. Los productos falsificados pueden causar varios problemas, incluyendo la introducción de códigos dañinos en la infraestructura del centro de datos. La falsificación puede ser extremadamente peligrosa; por ejemplo, un disyuntor falsificado que no cumpla con las normas de seguridad podría suponer un riesgo importante para la vida.
La protección contra la manipulación y la falsificación siempre ha sido importante, especialmente ahora que la mayoría de los sistemas utilizan conexiones en la nube para enviar datos. Como hemos visto con los recientes ataques a la cadena de suministro, los actores malintencionados pueden usar sistemas conectados a la nube para amplificar el daño causado por los ataques. Schneider Electric cuenta con varios programas para proteger la cadena de suministro. Además de utilizar chips encriptados en nuestros productos para evitar la manipulación, empleamos métodos de trazabilidad en nuestro firmware para defendernos de los ataques. También contamos con un programa de informes que puedes usar si encuentras productos falsificados.
Mitigación de las amenazas cibernéticas a la cadena de suministro
A medida que avanzamos, los proveedores de proveedores de centros de datos, colocación y los gigantes tecnológicos deben estar un paso por delante de los actores que suponen una amenaza para la protección de sus cadenas de suministro. Un ataque podría afectar a cientos de organizaciones y costar muchos millones de dólares. Al implementar estos controles, Schneider Electric está haciendo su parte al trabajar con socios a lo largo de la cadena de suministro para proteger los centros de datos de los ataques a la cadena de suministro.
Para obtener más información sobre las mejores prácticas de ciberseguridad de los centros de datos, consulta nuestro informe técnico, Ciberseguridad, seguridad de productos y protección de datos en Schneider Electric , o visita nuestro sitio de ciberseguridad .
Añadir comentario