A pesar de todas sus ventajas, los dispositivos de IoT no se diseñaron pensando en la seguridad. Esto puede generar grandes problemas.
El Internet de las cosas (IoT) ha traído muchos beneficios. También ha cambiado la forma en que se gestionan las empresas y los riesgos de TI. En los últimos años, han surgido informes sobre cámaras secuestradas, dispositivos médicos pirateados y sistemas de control industrial comprometidos. El problema solo empeorará a medida que 5G se generalice y los dispositivos IoT integrados se vuelvan más comunes.
IoT agrega otra capa de seguridad a las protecciones existentes. Eso es lo que lo hace tan difícil. Debido a que IoT potencialmente afecta todo dentro de una empresa, y hacia afuera para los socios y las cadenas de suministro, involucra firmware, sistemas operativos, pilas de TCP / IP, diseño de red, herramientas de seguridad de datos y mucho más.
Merritt Maxim es vicepresidente y director de investigación de Forrester. "Las vulnerabilidades en este amplio ecosistema son más fáciles de pasar por alto", dice.
Este es un problema serio. Puede resultar extremadamente difícil identificar todos los dispositivos de IoT en una red. Este no es el fin.
Muchos dispositivos de IoT no se diseñaron pensando en la seguridad. "Las personas que implementan y configuran sistemas de IoT no siempre tienen una excelente comprensión de la seguridad. La adición de múltiples dispositivos de diferentes fabricantes aumenta la complejidad", dijo Joe Nocera, líder del Instituto de Innovación Cibernética y de Privacidad de PwC.
Fuera de control
Cada discusión sobre la seguridad de IoT comienza con un simple hecho: Internet de las cosas es fundamentalmente diferente de la TI convencional en términos de seguridad. Muchos dispositivos de IoT no tienen una interfaz de usuario, por lo que los ataques a menudo se llevan a cabo directamente en el dispositivo o a través del dispositivo para obtener acceso a una red empresarial. Maxim también señala que los ataques pueden tener una dinámica diferente a la del ransomware u otros ataques.
Él dice: "La motivación a menudo es para una escala mayor de disrupción".
De hecho, un ataque puede causar dispositivos que no se pueden reparar o interrupciones comerciales que podrían tener motivaciones económicas o políticas. Por ejemplo, en febrero, un pirata informático violó una planta de tratamiento de agua en Florida a través de un sistema de control industrial e intentó alterar la calidad del agua. En 2018, los ladrones cibernéticos piratearon un casino de juego en el Reino Unido a través de un termómetro conectado a Internet en un acuario ubicado en el vestíbulo. Los ladrones robaron los datos de los clientes del casino.
Los fabricantes suelen crear su propio firmware, protocolos y estándares de diseño. No siempre hacen un gran trabajo en el mantenimiento y parcheo de los sistemas. Muchos dispositivos de IoT dependen de versiones anteriores de Windows y Linux. El IoT está trayendo más dolores de cabeza a la mesa: los sistemas de control industrial y la maquinaria que no estaban destinados a estar conectados al mundo ahora forman parte.
Protégete a ti mismo
Sorprendentemente, el 74% de las empresas encuestadas por el Instituto Ponemon en junio pasado dijeron que sus programas de gestión de riesgos de IoT no estaban a la altura de los riesgos planteados por el uso omnipresente de los dispositivos de IoT.
Nocera de PwC afirma que conocer los dispositivos de IoT que se ejecutan en la red y los datos que tienen es el primer paso para crear una protección sólida.
Él dice: "Muchas empresas no lo saben".
Esto se ve dificultado por el hecho de que algunos fabricantes utilizan nombres o códigos oscuros que no identifican claramente sus dispositivos. Nocera sugiere que asigne la responsabilidad a un grupo y realice un inventario para identificar posibles puntos de falla y riesgos. A veces, una organización puede necesitar una solución de descubrimiento o gestión de activos especializada.
Es fundamental establecer visibilidad y control sobre todo el panorama de IoT.
Nocera dice: "Una organización debería poder encender y apagar varios dispositivos y configurarlos en consecuencia".
Con las herramientas adecuadas, es posible garantizar que solo los servicios necesarios se ejecuten en un dispositivo y que todos los demás dispositivos estén apagados. Otro problema que tienen las direcciones de administración de la configuración es garantizar que los dispositivos no usen contraseñas predeterminadas o configuraciones de fábrica.
Ulf Mattsson (estratega jefe de seguridad de Protegrity), dice que las contraseñas deben cambiarse con regularidad. Recomienda usar tokens, anonimización de datos y autenticación multifactor (MFA), así como autenticación biométrica. El cifrado de datos en movimiento y en reposo, los firewalls de próxima generación y los sistemas de prevención de intrusiones (IPS) son todos necesarios. Él dice que es crucial mantener estos sistemas actualizados y parcheados.
Nocera también señala que la segmentación de la red es otra herramienta útil. Es importante aislar los sistemas clave, como los controles industriales, las aplicaciones empresariales y otra información crítica para que los piratas informáticos no puedan acceder a las redes a través de dispositivos de IoT.
Dice, por ejemplo, que "si usted es una empresa de transporte marítimo y una empresa de logística, tal vez los dispositivos de IoT utilizados para administrar su flota no necesiten comunicarse con el dispositivo de IoT y otros sistemas utilizados en un almacén", de esta manera, si los hay. los dispositivos están comprometidos, pierde solo un almacén y no todos los almacenes.
Es seguro jugar IT
Hay muchas otras estrategias que se pueden utilizar para construir una infraestructura de IoT más resistente. Estas estrategias incluyen bloquear las credenciales de la nube que luego se pueden usar para reconfigurar los dispositivos. Desactivación de funciones que no se utilizan. Auditar periódicamente la infraestructura de IoT y retirar dispositivos innecesarios. Mantener la protección contra malware actualizada y reemplazar dispositivos menos seguros. También debe ser consciente de cómo el 5G impacta en un marco de IoT.
Maxim dice que también es aconsejable buscar dispositivos IoT más nuevos que utilicen tecnologías seguras de silicio y raíz de confianza (RoT). Esto reduce la probabilidad de que se pueda modificar el BIOS o el nivel del sistema operativo. Otra área que vale la pena observar es el uso cada vez mayor de conectores, interfaces de programación de aplicaciones (API), que amplían y, a veces, enmascaran las fuentes de datos y los dispositivos.
¿Quiere contratar a nuestros desarrolladores dedicados? Obtenga una cotización gratis
Un enfoque holístico que utiliza una variedad de herramientas y estrategias para proteger los dispositivos y los datos es la mejor defensa. Maxim afirma que cualquier dispositivo o sistema de IoT debe someterse a la misma revisión rigurosa que las aplicaciones empresariales y debe estar sujeto a estrictos estándares de seguridad después de su implementación.
Añade que el IoT plantea riesgos nuevos y, a veces, más graves, que podrían perturbar los negocios o causar la muerte.