La confianza digital es esencial para la seguridad de todas las cosas conectadas, desde los marcapasos y las impresoras conectados hasta el transporte y las infraestructuras críticas. Y a medida que el uso de estos dispositivos IoT sigue creciendo, comprender las tendencias de la confianza digital nunca ha sido tan importante.
Teniendo esto en cuenta, Keyfactor y Vanson Bourne se asociaron en un informe, Confianza digital en un mundo conectado: Navigating the State of IoT Security, que extrae conclusiones de 1.200 respuestas a encuestas desde dos perspectivas únicas: los que diseñan y fabrican dispositivos/productos conectados (OEM) y los que despliegan y operan dispositivos/productos conectados dentro de su organización.
¿Listos para profundizar en los datos? Ellen Boehm, Vicepresidenta Sénior de Estrategia y Operaciones de IoT en Keyfactor, y Mitch Mershon, Director de Producto para Mercados Emergentes en Keyfactor, se sentaron a hablar sobre las principales conclusiones del informe, incluidas las tendencias en la identidad y gestión de dispositivos IoT , la prevalencia y el impacto de las brechas de seguridad, y el impacto de los estándares del sector en el desarrollo de productos. Siga leyendo para ver un resumen de su conversación o haga clic aquí para ver el seminario web.
Establecimiento de la confianza digital: Tendencias en la gestión de dispositivos e identidades en IoT
En primer lugar, es esencial comenzar con los cimientos de la confianza digital: Cada máquina necesita una identidad, y cada identidad debe ser gestionada.
Tradicionalmente, pensamos en la gestión de identidades desde la perspectiva de la empresa, es decir, bastidores de servidores, ordenadores portátiles y otros dispositivos de una red corporativa. Pero ahora vivimos en un mundo de dispositivos inteligentes y conectados que se extienden por todas partes y a todo el mundo, y cada uno de esos dispositivos de IoT necesita una identidad porque cada uno representa un vector de ataque.
Estos dispositivos modernos también pueden ser muy complejos, en algunos casos incluso una máquina de máquinas. Piense en un coche o un avión: cada uno tiene muchos componentes diferentes con sus propias redes operativas que pueden conectarse a la red corporativa. En estos casos, tenemos una máquina con múltiples identidades en su interior con su propia identidad más amplia que se conecta a un sistema.
¿Cómo funciona todo esto exactamente? En primer lugar, hay fabricantes, diseñadores y desarrolladores que fabrican un dispositivo IoT , ya sea una turbina eólica, un tren, un dron o cualquier otra cosa. Estos fabricantes se encargan de tareas como el diseño de la seguridad, las pruebas, la certificación y la provisión de identidades. Una vez fabricado y vendido el dispositivo, se instala en una fábrica, un hospital o una red eléctrica, donde los operadores se encargan de gestionar el despliegue del servicio, la supervisión del estado del dispositivo y el desmantelamiento al final de su vida útil. Afortunadamente, los presupuestos de ambos equipos para la seguridad de los dispositivos IoT seguirán aumentando año tras año. Según nuestro informe, los responsables esperan un aumento del 45% en los próximos cinco años, lo que demuestra que la seguridad de IoT es una inversión prioritaria para las empresas porque entienden los riesgos que puede tener para el negocio si se hace de forma incorrecta. Sin embargo, el 52% de ese presupuesto podría estar en peligro si es necesario desviarlo para gestionar la limpieza a posteriori, como en el caso de una interrupción o un compromiso. Esto es notable porque los ciberataques van en aumento.
Comprender los riesgos: La prevalencia y el impacto de las brechas de seguridad en los dispositivos IoT
Las brechas de seguridad van en aumento, y nadie está exento: Casi todas las empresas han sufrido ya un ciberataque y las que no lo han sufrido probablemente lo sufrirán en un futuro próximo. De hecho, el 89 % de los encuestados afirma que los productos IoT de su organización se han enfrentado a un ciberataque en los últimos 12 meses, y el 69 % afirma que ha observado un aumento de los ataques a dispositivos IoT en los últimos tres años.
¿La razón de este aumento? IoT se utiliza en todas partes: Los encuestados informan de un aumento del 20% en el uso de dispositivos IoT en los últimos tres años. Más dispositivos significa más identidades (tanto identidades más amplias para cada dispositivo como todas las identidades de máquinas más pequeñas contenidas en él), lo que multiplica el número de vectores de ataque.
Por ejemplo, la fabricación solía ser un sistema estrecho y unido, pero ahora toda la maquinaria nueva está conectada con diferentes sensores dentro de cada unidad. Cada uno de esos sensores, más la maquinaria en general, es un vector de ataque. O consideremos el caso de la gestión de la cadena de suministro, donde una empresa habla con otra y otra y otra, creando una cadena. En ambos casos, los operadores deben asegurarse de que pueden confiar en cada identidad y comunicación a lo largo del camino para protegerse contra los ataquesincluso de dispositivos aparentemente inocentes como una unidad de calefacción, ventilación y aire acondicionado.
Y el coste de estos ataques no es nada del otro mundo:
- 236.000 dólares es el coste medio que han pagado las empresas como consecuencia de una brecha en el último año porque sus dispositivos IoT pudieron filtrar datos o alguien pudo entrar en la red a través de un dispositivo. Teniendo en cuenta que esa cifra es de un año, es fácil imaginar cómo empieza a acumularse con el tiempo.
- 2,3 millones de dólares es el coste medio de una interrupción del certificado en una línea de fabricación.lo que significa que si un dispositivo conectado intenta llamar a un servidor, pero el certificado no es válido, la línea de fabricación no puede seguir produciendo hasta que se solucione el problema.
Tampoco se trata sólo de dinero. Según los encuestados, las principales preocupaciones tras un ciberataque incluyen el daño a la reputación externa, la pérdida de datos de los clientes, la pérdida de confianza de los empleados en la organización, las multas reglamentarias y la pérdida de ingresos.
En general, los encuestados coinciden en que su seguridad en IoT necesita mejorar (88%) para protegerse de estos riesgos. Dicho esto, el 47% de los encuestados cree que ya está haciendo todo lo que puede para proteger a su organización. Si se analiza con más detalle, el 56% de los encuestados está de acuerdo en que su organización no cuenta con la concienciación y los conocimientos adecuados para prepararse ante ataques de ciberseguridad a través de dispositivos IoT . Esta cifra se eleva al 59% si se consideran únicamente las organizaciones que ya han sufrido un ciberataque, frente al 27% de las que aún no lo han sufrido.
Afortunadamente, aunque los ataques aumentan y la seguridad es un reto, la protección es posible. Para ello es necesario tener una visibilidad completa de los dispositivos IoT y sus identidades, incluida la capacidad de encontrar rápidamente esas identidades cuando sea necesario y automatizar las actividades de gestión del ciclo de vida para que los dispositivos no se caigan y todo siga funcionando, incluso cuando los certificados caduquen o se vean comprometidos. También requiere asociarse con una empresa que tenga la experiencia adecuada en IoT seguridad para suplir las posibles carencias del equipo interno.
Integrar la seguridad desde el principio: Principales tendencias para que los OEM asuman la responsabilidad de la seguridad IoT
Si nos centramos en los fabricantes de equipos originales, tres tendencias destacan en lo que respecta a la seguridad en IoT :
1. La seguridad debe estar en el centro del diseño del producto: Los fabricantes de equipos originales entienden que disponer de una arquitectura de seguridad adecuada desde el principio del diseño del producto es tan importante como la electrónica, la funcionalidad y la propia software . Y es que, si la seguridad no se hace correctamente, resulta imposible hacer cosas como enviar actualizaciones seguras de firmware a distancia, activar nuevas funciones o realizar ventas adicionales a los clientes. Por eso, cada vez más fabricantes tienen en cuenta la seguridad desde el principio..
2. Los socios externos aportan la experiencia necesaria para implantar la seguridad de forma eficaz: También estamos asistiendo a una mayor colaboración dentro del ecosistema a medida que los fabricantes se dan cuenta de que no necesitan desarrollarlo todo desde cero. Ahora, los OEM buscan aplicar las mejores prácticas de todo el campo y trabajar con socios expertos para implantar la mejor seguridad posible. Este enfoque también es esencial a medida que los fabricantes piensan en cómo cambiará la tecnología y cómo pueden hacer que sus diseños sean lo suficientemente flexibles como para ser utilizados sobre el terreno durante 10-15 años. Según los encuestados, las principales razones para asociarse con terceros incluyen una mayor flexibilidad y coste desde el punto de vista de los recursos, la posibilidad de obtener una visibilidad completa de cientos de millones de identidades de dispositivos y la reducción de la carga de trabajo interna en torno a una competencia muy especializada.
3. La seguridad no termina cuando el aparato sale de la línea de producción: La seguridad no se limita al aspecto del dispositivo cuando se fabrica por primera vez. Los fabricantes son responsables de la seguridad durante toda la vida útil del dispositivo. Piense en una actualización de software en un iPhone: Cuando un usuario pulsa "instalar", el teléfono primero valida que el firmware tenga un certificado. Realiza una verificación de firma antes de instalar nada para saber de dónde procede la actualización y que se puede confiar en ella. Esta verificación continua es esencial para la seguridad.
Todo esto es especialmente importante porque, por mucho que cualquiera pueda prepararse para una experiencia segura, las brechas ocurren. Y cuando se produce una brecha en un dispositivo IoT , más del 70% de los encuestados cree que al menos cierto nivel de responsabilidad recae en el fabricante.
Teniendo esto en cuenta, los fabricantes de equipos originales consideran que su principal responsabilidad (entre muchas otras) es la gestión del ciclo de vida de los componentes de ciberseguridad de los productos. Otras responsabilidades importantes son compartir una lista de materiales de seguridad o software , revisar los sistemas operativos y proporcionar actualizaciones de software .
Adopción de normas industriales: El impacto de la normativa en el desarrollo de productos IoT
A pesar de todos los avances que fabricantes y operadores están realizando en materia de seguridad en IoT , sigue habiendo una falta de claridad en torno a las mejores prácticas. Y eso se debe principalmente a que la normativa varía mucho de un país a otro. Mantenerse al día con estas normas es otra de las razones por las que asociarse con terceros expertos beneficia a los fabricantes de equipos originales.
En términos generales, las normas son cada vez más comunes y tienen un impacto mucho más significativo en el desarrollo de productos. Por ejemplo, el estándar de conectividad open-source de Matter para dispositivos inteligentes para el hogar y IoT es una de las normas más reconocidas de los últimos años. La industria automovilística también ha abierto camino con varias normas regionales.
Independientemente del sector, muchos fabricantes deben hacer cambios para cumplir estas normas. Si no lo hacen, o bien no pueden vender su producto debido a la normativa gubernamental, o bien se están perdiendo parte del mercado gracias a consorcios como Materia. El hecho de que estas normativas puedan repercutir en las ventas y el ajuste del mercado, por no mencionar que los usuarios finales empiezan a esperar que los productos cumplan normas específicas, ha obligado a los fabricantes a ajustar su forma de hacer negocios, y esta tendencia no hará más que continuar.
IoT La seguridad está evolucionando: OEM y proveedores deben seguir el ritmo
El estado de la seguridad en IoT ha cambiado enormemente en los últimos años, y ahora estamos alcanzando un nuevo nivel de riesgo.
A medida que los dispositivos IoT se vuelven mucho más frecuentes en todo el mundo, se están convirtiendo cada vez más en vectores de ataque. Al mismo tiempo, tanto los fabricantes como los usuarios admiten que carecen de los conocimientos adecuados para proteger estos dispositivos. Esta situación ya ha provocado graves ramificaciones de las infracciones que van mucho más allá de las repercusiones financieras inmediatas, como daños a la reputación y riesgos de auditoría.
En respuesta, los fabricantes de equipos originales y los proveedores deben dar prioridad a la seguridad en IoT integrándola desde el principio y asociándose con expertos que puedan ayudar a colmar las lagunas de conocimiento, mantener una concienciación adecuada y adherirse a las normas nuevas y cambiantes. Cuando esto ocurra, las organizaciones estarán bien encaminadas para protegerse contra estos riesgos crecientes.
