Segurança da IoT - de quem é a responsabilidade?

Freqüentemente, as pessoas são consideradas o elo mais fraco em uma cadeia de segurança, pois são induzidas a revelar senhas ou escolhem senhas facilmente decifráveis. Esse é um conceito errado que pode levar alguns proprietários de negócios ou profissionais de TI a acreditar que a IoT, dado seu nível quase total de automação, é inerentemente segura. Nada poderia estar mais longe da verdade, porque nada é inerentemente seguro.



Os ambientes IoT são um labirinto de oportunidades para criminosos cibernéticos e, neste ano, esse labirinto deve crescer 15% (ano a ano) para chegar a 20 bilhões de dispositivos, de acordo com IHS Markit . Para colocar isso em contexto, o número total de assinaturas móveis exclusivas globalmente é de 4,9 bilhões (de acordo com a GSMA ) A IoT atrapalha o uso de dispositivos móveis P2P em termos de conexões e, subsequentemente, em termos de seu potencial para violações de segurança, diz Sanjay Khatri, diretor global de marketing de produto da Cisco IoT.

A cadeia de valor da IoT é longa e complexa, com cada elemento sendo essencial e interdependente. Cada elo da cadeia representa uma vulnerabilidade potencial e, como qualquer outro setor, nenhum provedor pode cobrir todas as vulnerabilidades de segurança da IoT.

Essa paisagem fragmentada significa que a segurança da IoT leva uma aldeia.

Construindo a vila de segurança IoT

O fabricante do dispositivo é indiscutivelmente a cadeia mais óbvia para o link da IoT. Essas empresas não são necessariamente os fabricantes das "coisas" que estão sendo conectadas, mas sim fabricantes especializados dos elementos, como módulos de comunicação e sensores que permitem que as coisas sejam conectadas.

Estabelecer a responsabilidade de proteger as coisas é crucial. A parte com responsabilidade técnica pode ser diferente da parte que os usuários finais consideram responsável. No final das contas, porém, a empresa voltada para o usuário final assumirá a responsabilidade, pois estará na linha de fogo se as coisas derem errado.

Os usuários finais provavelmente verão o fornecedor do hardware como a parte responsável, mas é mais provável que existam problemas no software. Os desenvolvedores precisam incluir controles rígidos para autenticar o acesso do usuário e o software IoT deve ter mecanismos robustos de detecção e prevenção de fraude para proteger o dispositivo e os dados.

Vulnerabilidades também existem no nível da rede, pois os dispositivos se conectam à Internet via celular, Wi-Fi, Bluetooth, LPWAN ou até mesmo satélite. No caso do celular, já existe um certo nível de segurança embutido. A conectividade celular usa padrões globais, como chaves de criptografia e algoritmos de criptografia no próprio SIM para transmitir e receber dados com segurança. A IoT celular também permite que os dados do dispositivo sejam analisados ​​em redes privadas para isolá-los de outro tráfego de rede.

Os provedores de plataforma em nuvem também desempenharão um papel fundamental no desenvolvimento de um cenário de segurança de IoT totalmente funcional. Alguns, como IBM, Microsoft e Salesforce , terá como foco proteger os dados gerados por dispositivos conectados na nuvem. Enquanto as plataformas IoT irão gerenciar, monitorar e proteger a conectividade dos dispositivos implantados.

Segurança do dispositivo

O nível de risco envolvido com um dispositivo irá variar dependendo do contexto de como ele está sendo usado. Camadas de segurança, como autenticação, acesso do usuário, acesso ao aplicativo, gerenciamento do ciclo de vida do dispositivo e criptografia de dados, devem ser consideradas para proteger os dispositivos conectados.

Freqüentemente, há uma relação custo / benefício entre proteger tudo e pagar por tudo e isso pode ser bastante pronunciado para dispositivos em que um grande número está em uso. Além disso, os dados do dispositivo têm diferentes níveis de sensibilidade. Compreender o que e quantos dispositivos estão em uso e o tipo de dados que estão sendo coletados são as primeiras etapas críticas na construção da estratégia de segurança de dispositivo apropriada.

Rede e proteção de dados

Se os dispositivos forem gateways, as redes representam as rodovias de conectividade pelas quais os dados são transportados para aplicativos em nuvem que fornecem serviços de IoT. Proteger esta rodovia é tão importante quanto manter os dispositivos seguros - porque embora os dispositivos possam ser seguros, há uma miríade de pontos de entrada em qualquer rede. Existem inúmeras opções para proteger uma rede e a estratégia usada dependerá do tipo de conectividade, redes e uso do dispositivo.

A conectividade sem fio, como Wi-Fi ou celular, e as conexões de linha fixa têm, cada uma, seu próprio conjunto de protocolos de segurança. Os dados do dispositivo sempre devem ser criptografados e analisados ​​em redes privadas seguras, em vez de serem enviados abertamente pela Internet. Além disso, a autenticação de rede permite que os usuários verifiquem e autorizem dispositivos na rede e aplicativos na rede.

Cobertura de nuvem

A IoT se origina da conexão de dispositivos por meio de redes seguras à nuvem, portanto, a importância de uma segurança robusta na nuvem não pode ser superestimada. Ao proteger a infraestrutura em nuvem, as organizações devem considerar práticas de segurança digital e não digital. A adesão a padrões como ISO / IEC 27001 pode fornecer uma parte crítica de uma estratégia geral para garantir a segurança das informações.

Além de proteger o ambiente geral, as empresas devem ser granulares com controles para os próprios aplicativos IoT, especificamente com acesso baseado em função e detecção de anomalias. Com o acesso baseado em funções, as organizações devem implementar gerenciamento de identidade e listas de controle de acesso para garantir que os aplicativos na nuvem estejam dando o acesso certo às pessoas certas. A detecção de anomalias garante que a plataforma IoT não apenas detecte comportamentos anômalos ou suspeitos, mas também automatize a correção de quaisquer anomalias.

A lista de verificação de segurança IoT

As previsões de crescimento da IoT são enormes, no entanto, com grandes recompensas vêm grandes riscos. As empresas em toda a cadeia de valor precisam ter uma visão holística da aldeia de segurança que, claro, é mais fácil falar do que fazer.

Para ajudar a enfocar sua estratégia de segurança de IoT, certifique-se de:

• Avalie a identificação e autenticação ponta a ponta de todas as entidades envolvidas no serviço IoT (ou seja, gateways, dispositivos de endpoint, rede doméstica, redes de roaming, plataformas de serviço)
• Certifique-se de que todos os dados do usuário compartilhados entre o dispositivo endpoint e os servidores back-end sejam criptografados
• Armazene e use dados "pessoais" e regulamentados de acordo com a legislação local de privacidade e proteção de dados
• Utilize uma plataforma de gerenciamento de conectividade IoT e estabeleça políticas de segurança baseadas em regras para ação imediata em comportamento anômalo
• Adote uma abordagem holística de segurança em nível de rede

O autor deste blog é Sanjay Khatri, diretor global de marketing de produto, Cisco IoT