A representação virtual de objetos ou sistemas através de gémeos digitais dá às organizações uma maior perceção dos seus bens, mas também pode convidar atores maliciosos.
Por Maria Kolorov
Os gémeos digitais são uma representação digital de objetos, estruturas ou sistemas que dão às organizações uma maior perceção do ciclo de vida destes objetos, mas este mesmo nível de informação e controlo pode também abrir portas a atacantes maliciosos. Podem ser criados gémeos digitais para qualquer infraestrutura física, incluindo componentes individuais de um motor, turbina e outros equipamentos, ou fábricas e centros de dados inteiros.
“O que diferencia um gémeo digital do seu modelo normal é o facto de ser um modelo do número de série específico que implantou no terreno”, diz Justin John, diretor executivo de tecnologia da GE Global Research. “Ou é apoiado pela física ou aprendeu como funciona um bem através de dados históricos, e agora vai usar isso para a previsão”. Estes podem ser dimensionados para modelar sistemas complexos, diz ele. “Pode ter cinco ou seis modelos diferentes e depois combiná-los para obter qualquer resultado comercial em que esteja interessado”. Em alguns casos, podem ser utilizados para controlar diretamente o bem que refletem.
Desafios dos gémeos digitais para os CISO
Ao utilizar dados de um gémeo digital, um dispositivo ou sistema do mundo real pode ser sintonizado para funcionar da forma mais eficiente possível para poupar custos e prolongar o seu ciclo de vida, mas também cria os seus próprios riscos de segurança. Infelizmente, embora os CISO devam ser os principais interessados em projetos gémeos digitais, eles quase nunca são os decisores finais, explica Alfonso Velosa, vice-presidente de investigação da IoT na Gartner. “Uma vez que os gémeos digitais são ferramentas para impulsionar a transformação do processo empresarial, a unidade operacional ou de negócios liderará frequentemente a iniciativa. A maioria dos gémeos digitais são adaptados para responder a uma exigência comercial específica”.
Quando uma empresa compra um novo bem inteligente, seja um camião, uma retroescavadora, uma empilhadora, um compressor ou um congelador, muitas vezes virá com um gémeo digital, de acordo com Velosa. “A maioria das equipas operacionais precisarão de um conjunto simplificado de apoio informático cruzado, e não apenas da CISO, para as integrar nos seus processos empresariais mais amplos e gerir a segurança”. Se não forem implementados controlos cibernéticos de segurança adequados, os gémeos digitais podem expandir a superfície de ataque de uma empresa, dar aos atores da ameaça acesso a sistemas de controlo anteriormente inacessíveis e expor vulnerabilidades pré-existentes.
Superfície de ataque expandida
Quando o gémeo digital de um sistema é criado, a superfície de ataque potencial é efetivamente duplicada: os adversários podem ir atrás dos seus próprios sistemas ou atacar o gémeo digital desse sistema. Por vezes, quando os sistemas subjacentes não são facilmente acessíveis a partir do exterior, um gémeo digital pode expor partes previamente escondidas da empresa. Por exemplo, no passado, apenas um técnico fisicamente localizado num terminal de controlo próximo podia aceder a uma fonte de alimentação num centro de dados. Um gémeo digital dessa infraestrutura poderia permitir ao técnico monitorizar o dispositivo remotamente, e o mesmo poderia acontecer com um hacker se este obtivesse acesso.
E não são apenas os dados de sensores anteriormente inacessíveis que estão agora expostos. “Em alguns casos, o gémeo digital pode enviar sinais de controlo que alteram o estado do objeto real [a ser modelado]”, acrescenta Velosa.
E quando os gémeos digitais são modelos de operações comerciais alimentadas por dados em tempo real, podem recolher informações comerciais chave e por vezes também informações pessoalmente identificáveis de empregados e clientes, de acordo com Velosa. Isso torna-os alvos tentadores.
Dependendo da geografia soberana, isto pode levar a sanções regulamentares e de conformidade. “Também destaca os dados que são importantes, uma vez que os gémeos digitais são construídos para cumprir objetivos comerciais”, acrescenta ele. Como resultado, os resultados de um gémeo digital podem dizer a um adversário ou concorrente não só aquilo em que uma empresa está a trabalhar, mas também podem fornecer informações valiosas sobre a estratégia e direção futura de uma empresa, adverte Velosa.
Além disso, os gémeos digitais estão ligados aos seus gémeos físicos, e essa ligação em si apresenta um vetor de ataque adicional para saltar entre gémeos, caso seja comprometido, diz Lawrence Munro, do grupo CISO para consultoria NCC Group. Finalmente, os gémeos digitais podem ser implementados para permitir a monitorização remota por utilizadores internos ou terceiros, diz Munro. “Isto pode representar a ameaça de um utilizador remoto poder aceder ao gémeo físico através da conectividade de rede”.
Os CISO desconhecem os bens com gémeos digitais
Um dos principais casos de utilização de gémeos digitais é tornar a tecnologia operacional mais acessível e controlável. Infelizmente, a segurança cibernética é muitas vezes um pensamento posterior na arena da tecnologia operacional, e muitos sistemas funcionam com tecnologia herdada que pode não ser fácil de assegurar.
Mas se os atacantes tiverem acesso à tecnologia operacional, podem causar grandes danos a uma empresa, e os gémeos digitais aceleram este risco, diz Todd Dekkinga, CISO da empresa de software de gestão e consultoria SaaS Zluri. São mais facilmente acessíveis do que os seus equivalentes físicos, diz Dekkinga. Os ambientes tecnológicos operacionais costumavam ser considerados separados e isolados, mas já não é esse o caso. Agora estão totalmente ligados, acessíveis e facilmente comprometidos.
Os CISO podem nem sequer ter conhecimento da lista completa dos ativos tecnológicos operacionais que têm gémeos digitais. “Se não se sabe o que se tem, não se pode protegê-lo”, diz Dekkinga.
Expor as vulnerabilidades subjacentes
Os gémeos digitais dependem da entrada de sensores IoT, que podem estar repletos de vulnerabilidades, bem como de sistemas que executam sistemas operativos legados vulneráveis. De acordo com um relatório de segurança de agosto da Nozomi Networks, houve 560 vulnerabilidades e exposições comuns emitidas pela ICS-CERT relacionadas com a tecnologia IoT e operacional na primeira metade de 2022, com 109 afetando diretamente a indústria transformadora crítica.
“A utilização de dispositivos IoT como sensores dentro da configuração de gémeos apresenta uma preocupação devido ao estado de segurança geralmente fraco destes dispositivos”, diz o Munro do Grupo NCC. Há frequentemente um atraso na perícia da cibersegurança quando se trata de gémeos digitais. “É frequentemente muito difícil conseguir exposição a tecnologias mais recentes e para os investigadores ou engenheiros ter acesso a exemplos em funcionamento. Isto representa um desafio para obter os conhecimentos adequados para apoiar a segurança destas plataformas”, diz Munro.
Como assegurar gémeos digitais
As melhores práticas para a segurança dos gémeos digitais começam com a inclusão de peritos em segurança cibernética na equipa de implementação, seguindo a higiene básica de segurança cibernética e adotando princípios de confiança zero. As organizações que implementam gémeos digitais devem trabalhar com especialistas em segurança para produzir modelos de ameaça detalhados, diz Munro. “Como com qualquer tecnologia mais recente, os CISO devem procurar compreender os modelos de ameaça que apresentam e o impacto sobre a superfície de ataque.
A especialização necessária pode nem sempre estar disponível internamente, e uma solução pode ser trabalhar com parceiros na indústria da cibersegurança, sugere ele. As empresas que implementam gémeos digitais devem seguir bons princípios de cibersegurança desde o início do processo, diz Velosa. “Alavanque as melhores práticas de segurança na sua conceção, desde políticas a tecnologias e normas. Isto vai desde a encriptação até às políticas NIST ou TLS e ao controlo de acesso baseado em papéis”.
A conceção e desenvolvimento de gémeos digitais devem ser devidamente financiados e eticamente concentrados em fazer a diferença ao mesmo tempo que atenuam os riscos e se alinham com os regulamentos, diz Velosa. “Evite utilizar dados pessoais sempre que possível e seja transparente sobre onde os recolhe, porque os recolhe e como os protegerá. Trabalhe com aquisições para assegurar que a sua empresa não só é proprietária dos dados gémeos digitais, mas também dos modelos”.
Os gémeos digitais devem ser protegidos como qualquer outro dispositivo crítico na rede, diz Dekkinga. “Implementar uma arquitetura de confiança zero, não só no perímetro, mas também proteger a rede interna através da micro-segmentação, autenticação multi-factor e outras técnicas. Pode exigir passos adicionais para os empregados acederem a estes sistemas, mas vale a pena o incómodo”.
Como os gémeos digitais podem ajudar a cibersegurança
Mas os gémeos digitais não são apenas uma responsabilidade de segurança para as empresas. Algumas empresas estão a utilizá-los para melhorar a sua cibersegurança, como um sistema de alerta precoce para ataques, uma armadilha de mel e como um ambiente de testes limitados.
Os gémeos digitais podem ajudar as organizações a eliminar vulnerabilidades nos sistemas, criando clones virtuais para utilização em testes de segurança. Podem ajudar a segurança cibernética porque podem reagir a vulnerabilidades cibernéticas de uma forma que espelha um sistema real. “Pode obter essa reação de muitas maneiras, incluindo ter o software ou firmware do seu sistema real executado no seu gémeo digital”, diz Kevin Coggins, vice-presidente da empresa de consultoria Booz Allen.
E podem ser utilizados para testar sistemas físicos dispendiosos para detetar vulnerabilidades antes de entrarem em produção, como na aviação. “Não se pode simplesmente caminhar para uma aeronave e aplicar algum tipo de ameaça, porque invalidará todo o processo de certificação da aeronave. Atacas aquele gémeo digital e descobres quaisquer potenciais vulnerabilidades”, diz Coggins.
Para um cliente, a empresa de Coggins fez uma parceria com a desenvolvedora de software Unity Technologies para fazer um gémeo digital tridimensional, ligado à IOT, de uma grande instalação que, segundo ele, lhes permite olhar para as vulnerabilidades do sistema para descobrir o efeito que alguém poderia ter dado acesso. Embora não sejam os próprios sistemas de produção, estes gémeos digitais devem obter o mesmo nível de proteção de segurança. “Alguém pode usar isso para treinar para ir atrás da coisa real”, diz Coggins. “Se vai fazer um gémeo digital, assegure-se de proteger o ambiente em que ele viverá”.
Um gémeo digital pode também agir como uma espécie de teia de aranha ou sistema de deteção de ameaças: a incursão de um atacante criará ondulações que podem ser sentidas pelas equipas de segurança cibernética. Uma empresa que utiliza gémeos digitais como uma espécie de camada de deteção altamente sensível é a GE, que está a construir algo a que eles chamam “fantasmas digitais”. Por exemplo, se um adversário atacar os controlos de uma peça chave de uma infraestrutura crítica, mesmo que possa falsificar a saída desse sensor em particular, o gémeo digital como um todo reconhecerá que algo está errado porque todo o sistema deixará de funcionar como previsto ou não corresponderá à informação que flui de outros sensores.
A infraestrutura crítica é um exemplo perfeito de como os gémeos digitais podem ser implementados para ajudar na cibersegurança. “A realidade é que posso prever muito bem como as coisas devem funcionar, especialmente se tiver os controlos integrados com o meu modelo de gémeo digital, e posso usar isso para saber se um ataque cibernético está a acontecer”, diz John. “Vou olhar para as variáveis do processo (fluxo de ar, pressão, temperatura), todas as coisas que fazem os bens funcionar da forma como funcionam, e vou verificar se são normais ou anormais, descobrir onde está o problema e informar o operador”. “Estamos a usar um gémeo, mas não queremos que o atacante saiba, por isso é um fantasma digital”.
Os fantasmas digitais podem ser utilizados para assegurar não só infraestruturas críticas, mas também tecnologia operacional no centro de dados de uma organização, diz ele. A cibersegurança típica dos OT é a observação do tráfego da rede, firewalls e a procura de vírus. “Isto não é nada disso.
Em vez disso, salienta, a visão da GE sobre os fantasmas digitais é mais sobre a forma como os ativos físicos subjacentes funcionam. “O que precisamos de compreender é o que é a física do que parece normal, como os controlos operam normalmente estes bens. E se tivesse esse conhecimento e muitos dados simulados ou dados históricos, poderia criar uma representação muito boa de como um bem deve funcionar”. O fantasma digital poderia detetar se algo está errado e dizer-lhe exatamente qual o sensor que está comprometido, diz John. “Isso só por si leva normalmente dias ou semanas para os operadores identificarem onde está o problema. O fantasma digital faz isso em segundos”.