Proteger el IoT de la amenaza que China representa para la infraestructura estadounidense

JIUJIANG, CHINA: Un ingeniero inspecciona servidores en un centro de datos administrado por China Telecom. (Crédito de la foto:... [+] Reportaje China/Future Publishing a través de Getty Images)

La prohibición de los equipos de telecomunicaciones y videovigilancia fabricados en China se promulgó para proteger la infraestructura de red y los sistemas de monitoreo aquí en los EE. UU. Estos proyectos de ley se remontan a la Ley de Redes de Comunicaciones Seguras y Confiables de EE. UU. de 2019, la Orden de Cadena de Suministro de 2019 y, más recientemente, la Ley bipartidista de Equipos Seguros de 2021. Estas prohibiciones incluían incluso la “desmontaje y reemplazo” de equipos de redes y telecomunicaciones, con Subsidios del gobierno estadounidense para ayudar a las empresas de comunicaciones y otras empresas a cubrir el costo de tal esfuerzo.

Ahora parece que la FCC tiene como objetivo proteger una red de sistemas y dispositivos aún más generalizada, conocida como IoT o Internet de las cosas. Sin embargo, esta vez la iniciativa podría afectar literalmente a millones de dispositivos y sistemas ya implementados aquí en los EE. UU., desde sistemas de comunicaciones policiales y de bomberos hasta la industria automotriz e infraestructura crítica, como servicios públicos y redes de comunicación de ciudades inteligentes modernas.

Imagínese si un actor de amenazas patrocinado por el estado chino pudiera cerrar toda la red eléctrica en una ciudad importante de EE. UU. a través de una puerta trasera en el sistema de comunicaciones de uno de estos dispositivos. De manera alarmante, la amenaza de este nivel de desastre del estado de emergencia está dentro del ámbito de lo posible y ha levantado la antena de la FCC y de la Honorable Jessica Rosenworcel, presidenta de la FCC.

Por qué la FCC está interviniendo para proteger el IoT de EE. UU.

En una carta del 7 de agosto al Congreso, Rosenworcel detalla la amenaza que los módulos de radio celular fabricados por la República Popular China (RPC) o el Partido Comunista Chino (PCC) representan para los dispositivos IoT, desde automóviles, camiones y tractores hasta dispositivos médicos. equipos, otros dispositivos inteligentes y más. Para concluir, la carta de Rosenworcel afirma: “Abordar los módulos de IoT celulares de la República Popular China es el siguiente paso natural para la FCC, en consulta con las agencias de seguridad nacionales apropiadas. Por un lado, Quectel y Fibocom suministran empresas cuyos equipos ya están en la Lista cubierta de la FCC. El equipo en esta lista representa una amenaza a la seguridad nacional para los EE. UU. y es posible que no reciba autorización para su importación o venta en los EE. UU. Se debe considerar un escrutinio similar para cualquier módulo celular IoT de la República Popular China en este equipo”.

Módulo de radio inalámbrico Fibocom, fabricado en China

La medida parece lógica, pero la forma exacta en que se podrían llevar a cabo estas amenazas es lo que puede resultar francamente aterrador desde la perspectiva de muchos ciudadanos estadounidenses. Estos módulos de radio generalmente constan de un módem 4G LTE o 5G, junto con controladores y firmware dedicados que permiten que el dispositivo funcione como un enlace de comunicaciones para el sistema host (cámara IoT, automóvil, equipo policial, equipo médico o de servicios públicos, etc.). ) al mundo exterior, a través de la transferencia de datos a través de Internet. La amenaza inicial obvia es que los datos comunicados a través de estas radios podrían ser filtrados y enviados de regreso al fabricante y al país de origen, en este caso a la República Popular China o al PCC. Sin embargo, lo que es mucho más alarmante es el control que estos módulos de radio pueden tener sobre los sistemas anfitriones en los que están desplegados.

En su carta al Congreso, Rosenworcel detalla un incidente que tuvo John Deer con una flota de tractores. Rusia robó alrededor de 5 millones de dólares en equipos agrícolas de un concesionario John Deer en Ucrania, en un intento de traerlos de regreso a Rusia. Afortunadamente, el equipo estaba equipado con módulos fabricados en Occidente y, finalmente, el fabricante del módulo pudo bloquear los tractores y el equipo al cruzar la frontera rusa.

Asegurar el IoT: el problema y la solución

Concepto de ciudad inteligente en Nueva York, EE.UU. con comunicaciones en red e Internet de las cosas. Crédito: ... [+] Getty Images

En conversaciones con mis fuentes de la industria, aprendí que, de hecho, estos módulos pueden ser controlados remotamente por el fabricante del módulo, generalmente para mantenimiento y actualizaciones de firmware de seguridad, etc. Sin embargo, existe la posibilidad no solo de espiar los datos que se comunican por radio. , pero también el fabricante podría apagar con bastante facilidad todo el sistema host, funcionando por sí solo y completamente fuera de banda. Teniendo en cuenta estos riesgos en el contexto de la base de instalación de estos módulos, en todo, desde cámaras corporales de la policía hasta equipos médicos, pasando por su propio automóvil e incluso su red eléctrica local, la superficie de ataque a la seguridad es alarmante y está abundantemente presente a nuestro alrededor.

La solución aquí es obvia. Estados Unidos debería investigar de inmediato la prohibición de la importación y el despliegue de módulos de radio celulares fabricados en China para cualquier dispositivo que se venda, envíe e implemente en Estados Unidos. Hay muchas alternativas estadounidenses de nombres como Telit, Sierra Wireless y U-blox, y todo lo que tendríamos que hacer es cambiar las líneas de producción exclusivamente a estos fabricantes en el futuro. En términos de lo que ya se ha implementado en el campo, Estados Unidos probablemente necesitará subsidiar algunas adaptaciones de sistemas y dispositivos que puedan actualizarse, o emitir otra iniciativa de desmontaje y reemplazo para proteger los sistemas que ya están en el mercado.

Los expertos en seguridad a veces bromean diciendo que la mejor manera de proteger un dispositivo es simplemente desconectarlo por completo de Internet. Si bien eso obviamente no es posible ni práctico con respecto a la IoT y los sistemas de infraestructura crítica en los EE. UU., asegurar nuestra conectividad con proveedores conocidos de estos módulos fabricados en los EE. UU. es sin duda un paso en la dirección correcta de nuestras preocupaciones colectivas de seguridad nacional.