Segurança IoT - Uma barreira para a implantação?

A segurança tem prioridade quando se trata do desenvolvimento e implantação da Internet das Coisas (IoT), com o Gartner prevendo que até 2020, a segurança da IoT representará 20% dos orçamentos de segurança anuais.

De acordo com Nick Sacke, chefe de Produto e IoT, Comms365 , como um potencial inibidor, analistas, fornecedores e partes interessadas estão preocupados com os riscos de segurança potencialmente significativos associados às implantações de IoT.

Essas preocupações estão desempenhando um papel na tomada de decisões e na confiança do usuário final na implantação de serviços de IoT, especialmente quando se trata de utilizar redes existentes que são conhecidas por serem vulneráveis, por exemplo, Wi-Fi, e aquelas que são novas e operam no espectro não licenciado, como LoRaWAN e Sigfox . A padronização, ou a falta dela, na indústria de IoT também está atuando como uma barreira para a implantação, com redes mais antigas e mais novas implantando IoT, mais padronização em relação às políticas de segurança é necessária com urgência.

Falta de informação

Um problema que enfraquece a confiança do usuário é a falta de informações sobre os arranjos de segurança já em vigor para as redes que sustentam a IoT, tanto as variantes licenciadas quanto as não licenciadas. Plataformas de tecnologia WAN de baixa potência (LPWAN), como LoRaWAN e Sigfox, usam espectro não licenciado para implantar sensores IoT em escala e tem sido amplamente relatado que tais tipos de rede não possuem os mecanismos de segurança tradicionais de redes celulares, com operadoras falando sobre uma rede IoT baseada em celular sendo 'mais seguro', pois o tráfego nesses tipos de rede está sob o controle da respectiva operadora.

Para lidar com o argumento, é importante fazer a distinção entre os tipos de tráfego de sensores que passam por essas redes e como a segurança pode ser aplicada em vários pontos da rede. Por exemplo, todo o tráfego que passa por uma rede LoRaWAN de sensores não é baseado em protocolo IP, tem criptografia de 128 bits de nível empresarial e requer descriptografia por meio de um servidor de aplicativos que fica em um ambiente de nuvem privada.

Isso contrasta favoravelmente com as redes de sensores baseadas em Wi-Fi que podem fazer interface com conexões públicas de Internet, que exigem requisitos de segurança muito rigorosos localmente no local. Idealmente, as redes públicas, seus provedores e os fabricantes de dispositivos precisam examinar cada elemento de seu design e implantação para garantir o máximo de segurança em todos os níveis e promover esses arranjos para os usuários.

Apesar dessas preocupações de segurança, é importante observar que nem todas as redes IoT são tão propensas a violações de segurança quanto outras, de uma perspectiva de segurança, as redes recentes que estão sendo implantadas no LoRaWAN possuem segurança embutida inerente ao design, o que é primordial.

Então, quem é o principal responsável por manter a IoT segura? Os provedores de rede devem fornecer uma rede super segura? Parte da responsabilidade recai sobre o usuário em proteger sua rede local? Depende dos fabricantes de dispositivos IoT integrar a segurança diretamente no dispositivo desde o início? A resposta é sim para todos os três cenários.

Para tornar a IoT segura do desenvolvimento à implantação, até o uso do dispositivo IoT conectado, um esforço conjunto coordenado deverá ser feito por todas as partes envolvidas. Dependendo da escolha da tecnologia de acesso à rede, pode haver recursos de segurança inerentes já integrados, como aqueles no LPWAN celular, mas não há razão para que você não possa ter arranjos semelhantes para redes IoT de espectro não licenciadas, por meio da criação de uma rede privada tipo de rede que tem segurança em camadas de ponta a ponta.

Como uma cidade fez isso

O projeto de cidade inteligente Milton Keynes implantou uma rede LoRaWAN no final do ano passado, para fornecer cobertura nas áreas centrais da cidade para uma variedade de casos de uso, incluindo energia, estacionamento e meio ambiente, entre outros.

Os dados coletados de vários milhares de sensores IoT baseados em LoRa são coletados com segurança na rede de área ampla de baixa potência (LPWAN) e depositados em um hub de dados IoT construído para esse fim, que permite que análises sejam conduzidas por uma variedade de partes interessadas em um monitor seguro forma, que está em conformidade com os quadros jurídicos de proteção de dados.

Esses tipos de projetos, sem dúvida, têm a segurança como prioridade máxima devido ao volume da implantação e aos números da população que usarão a rede e os dispositivos conectados a ela.

Os consumidores precisam ter certeza de que os arranjos de segurança implementados são robustos, não apenas para o software, mas também para o ambiente físico. Já existem iniciativas para fornecer uma segurança muito mais profunda por meio de blockchain e outras plataformas, para tornar até mesmo o tráfego da rede pública mais seguro. Talvez a parte mais crítica seja o local onde os dispositivos são realmente implantados e garantindo que eles não possam ser invadidos localmente.

Se alguém é capaz de acessar e interferir com o dispositivo localmente, não importa o que está acontecendo no resto do caminho dos dados do sensor, porque ele já foi comprometido. A proteção contra adulteração é, portanto, um recurso chave ao monitorar a integridade de uma implantação de sensor IoT, desde um simples acelerômetro até mudanças de temperatura, a análise pode mostrar ou projetar adulteração potencial e minimizar a interferência do dispositivo.

A incerteza para as empresas em relação à segurança parece ser uma barreira para a implantação, mas não precisa ser. Há uma série de áreas potenciais a serem protegidas em uma implantação de IoT, especialmente para infraestrutura legada e redes mais antigas, mas aplicando segurança em cada ponto; dispositivo, borda, WAN e nuvem, há uma chance muito melhor de mitigar contra uma possível incursão.

Os fabricantes têm a capacidade de incorporar certos recursos de segurança em seus dispositivos desde o início, e isso é algo que a indústria de semicondutores já está analisando. Mas, novamente, é a falta geral de padrões que atrapalha. Já existem vários padrões de segurança em vigor para o software, mas e quanto ao hardware em termos de chips e outras partes do pacote de semicondutor, dentro do dispositivo IoT?

A fragmentação ainda é um problema, pois os fabricantes estão, de certa forma, fazendo suas próprias coisas, mas é a coordenação cruzada entre eles que fará a maior diferença. Há um forte argumento de que a implantação e a segurança não devem ser uma preocupação, desde que você escolha o sistema certo de parceiros. Existem desenvolvimentos e aprimoramentos substanciais para a segurança em todos os tipos de IoT que estão chegando, para dar aos clientes o conforto de que eles podem implantar com intensidade e escala.

O autor deste blog é Nick Sacke, chefe de Produto e IoT, Comms365