A segurança potencializa o verdadeiro potencial da IoT

Há apenas alguns anos, os fabricantes de Internet das Coisas (IoT) preocupavam-se principalmente com hardware, não com software. Hoje, diz Richard Hayton, CISO, Trustonic , Os dispositivos IoT mudaram drasticamente, com o software ganhando destaque e crescendo em termos de aplicativos relacionados ao consumidor.

Hoje em dia, o termo “IoT” é usado principalmente para aplicativos voltados para o consumidor:estes incluem veículos conectados, tecnologia vestível e saúde conectada, entre outras aplicações. De acordo com Statista , os números da previsão sugerem que o mercado de IoT para soluções de usuário final crescerá para cerca de US $ 1,6 trilhão (€ 1,31 trilhão) até 2025.

No entanto, as soluções para o usuário final não são o único mercado para a Internet das Coisas. As aplicações organizacionais e industriais de dispositivos IoT também estão aumentando, especialmente nos setores de manufatura e saúde.

Segurança e IoT

Conforme os pães dos aplicativos IoT se expandem, há uma necessidade crescente de reutilizar as plataformas de hardware e software. A reutilização de software, embora possa ter aspectos positivos, aumenta o impacto de segurança de qualquer vulnerabilidade que possa ser explorada. Uma biblioteca ou subsistema projetado para um caso de uso pode ser reutilizado em um aplicativo que o autor original não previu.

A indústria está aprendendo rapidamente e “inicialização segura” e “atualização de software segura” estão começando a se tornar mais comuns. Embora essas técnicas sejam importantes, elas não são uma panacéia. Especialmente para quando os dispositivos armazenam ou permitem informações de alto valor para um invasor, como dados pessoais confidenciais ou credenciais de acesso a dados armazenados em outro lugar.

A inicialização segura e as atualizações de segurança fornecem um primeiro nível de defesa, mas de uma perspectiva de segurança, é melhor presumir que essa defesa às vezes será violada. Se estes forem os únicos defesa, uma vez violado, todos os dados no dispositivo são perdidos e o invasor está livre para abusar do dispositivo para atacar em outro lugar.

Apresentando um ambiente de execução confiável

Uma abordagem mais ampla de segurança é fornecer várias zonas ou ambientes para o software em um dispositivo para isolá-los e protegê-los de ataques e reduzir o impacto de um ataque bem-sucedido. Alguns ambientes que armazenam ou manipulam dados confidenciais serão projetados especificamente com a segurança como objetivo principal.

Tecnologias fornecidas por chipsets modernos, como Arm TrustZone pode fornecer uma zona isolada que é protegida pelo hardware da CPU e inicialização segura, e que permanece segura, mesmo se outras partes do dispositivo forem comprometidas. Os ambientes de execução confiável construídos com essa tecnologia são projetados com uma abordagem de “defesa em profundidade”, com foco no código que é assinado criptograficamente e APIs certificadas por organismos independentes contra ataques. O software executado em tais ambientes também pode provar sua legitimidade para servidores de nuvem externos, tornando muito mais difícil para um invasor subverter o ecossistema IoT mais amplo.

Para um indivíduo, um ataque cibernético por meio de seus dispositivos pode ser devastador, roubando dados pessoais e, potencialmente, permitindo o roubo de identidade ou atividade criminosa mais ampla, como o abuso de credenciais de pagamento armazenadas em um dispositivo IoT ou o uso de um dispositivo violado para atacar outros dispositivos em uma rede doméstica .

Para um fabricante de dispositivos e para a indústria como um todo, os ataques podem ter um impacto ainda maior. Uma vez que a confiança do consumidor em uma marca é perdida, é muito difícil reconquistá-la, e os consumidores irão rapidamente descartar marcas ou segmentos inteiros de produtos se a relação risco / benefício não parecer razoável. Essa afirmação é ainda mais verdadeira em mercados regulamentados, como IoT médico ou comercial, onde os reguladores são rápidos para agir se um produto estiver faltando.

Um caminho a seguir

No passado, a segurança não era uma decisão de compra. Isso está mudando. Reguladores em todo o mundo estão exigindo alguns procedimentos básicos de higiene para a IoT do consumidor, como inicialização segura e remoção de senhas padrão. Este é um ótimo começo, mas sem dúvida é apenas o primeiro passo e, como discutido acima, é apenas uma parte de uma estratégia de segurança. A indústria pode esperar regulamentação futura, mas na verdade o que é necessário é uma mudança da segurança como uma caixa de seleção para a segurança como um recurso integral do produto.

O autor é Richard Hayton, CISO, Trustonic.