América Latina. Hoje, a Internet das Coisas, IoT, pode ser definida como um ecossistema cibernético-físico de sensores e atores interconectados, permitindo a tomada de decisões inteligentes. A IoT fornece esse elemento "inteligente" para todas as ferramentas ou objetos práticos da vida das pessoas, desde carros e dispositivos vestíveis até redes inteligentes e infraestrutura.
No entanto, ameaças e riscos relacionados a dispositivos, sistemas e serviços de IoT estão crescendo, e casos de ataques ou vulnerabilidades ocorrem com mais frequência no dia a dia.
Todos nós ouvimos a ideia de que a implantação de IoT será fundamental para desenvolver cidades inteligentes, aeroportos, melhorar a saúde, bem como outros aspectos fundamentais na vida das pessoas.
E é uma realidade que esse fenômeno cresce em todos os lugares e continuará a ter um impacto positivo em nossas vidas. Mas é importante notar que a implantação de recomendações de segurança em ecossistemas onde a IoT será essencial para o bom funcionamento desses dispositivos, é necessária para evitar ataques cibernéticos no futuro.
Uma paisagem extremamente complexa
Com um enorme impacto na segurança e privacidade dos cidadãos, o cenário de ameaça para dispositivos e sistemas de IoT é enganoso. Portanto, é importante entender o que exatamente precisa ser protegido e implementar medidas específicas de segurança para nos proteger de ameaças cibernéticas. Isso é particularmente importante no contexto dos sistemas de TI, que são infraestruturas essenciais para a operação de infraestruturas críticas e negócios.
A IoT permeia muitos ecossistemas, então você precisa ter uma abordagem holística e robusta para:
Promover a harmonização de iniciativas e regulamentos de segurança de IoT
Conscientizar as pessoas ou usuários sobre a importância da segurança cibernética, definir diretrizes seguras para o ciclo de vida do desenvolvimento de software e hardware
Alcançando consenso sobre interoperabilidade entre ecossistemas
Estabeleça um gerenciamento seguro do ciclo de vida dos produtos/serviços oferecidos.
De acordo com um estudo recente, estamos enfrentando um cenário onde é importante examinar as diversas superfícies de ataque e ameaça, propor melhores práticas e recomendações de segurança para proteger dispositivos, dados e sistemas de IoT. É importante destacar alguns pontos-chave para entender melhor o quadro.
Adicionando dispositivos a plataformas e aplicativos de IoT
Podemos considerar diferentes abordagens para incorporar dispositivos em plataformas e aplicativos de IoT. Ao contrário dos usuários de onboarding, o registro ou registro de dispositivos envolve uma série de etapas automatizadas impulsionadas por uma interface de programação de aplicativos (API), que não requerem intervenção humana. Normalmente, uma âncora confiável é necessária no dispositivo, seja fornecida pelo fabricante ou adicionada como agente por distribuidores, provedores de soluções ou clientes. A abordagem baseada em âncora de confiança permite o registro seguro, provisionamento e atualização de dispositivos por meio de controles de segurança baseados em políticas ativas que são projetados para proteger aplicativos e serviços de IoT. As plataformas de IoT devem suportar recursos de política e whitelist apropriados para automatizar sem intervenção humana.
Definir segurança controlada pelo proprietário
A postura de segurança controlada pelo proprietário é muito importante em face da IoT. Os fabricantes estão promovendo certas âncoras de confiança; certificados provisionados em dispositivos durante a fabricação em si para uma segurança robusta desde o início. Isso pode funcionar bem em plataformas e aplicativos fechados, mas plataformas abertas precisam de segurança controlada pelo proprietário e específica de aplicativos. Além disso, a conformidade e os regulamentos exigem a mudança do modelo de segurança do fabricante para a segurança controlada pelo proprietário.
Autenticação de IoT
No contexto da identidade do usuário, são aplicados modelos de autenticação baseados em abordagens multifatorial. Estes modelos simplesmente não são adequados para dispositivos habilitados para IoT. Isso requer que os dispositivos se autuem em outros dispositivos e no plano de gerenciamento de segurança de acordo com os requisitos do aplicativo. Esses métodos podem usar uma combinação de:
Credenciais específicas do aplicativo
Âncoras confiáveis (hardware ou software), alimentadas por APIs
Outro grande problema é garantir que as credenciais ou certificados nos dispositivos não sejam alterados ou copiados para outro dispositivo. Isso requer armazenamento seguro no dispositivo e forte vinculação de credenciais como parte do processo de autenticação.
Privacidade e integridade de dados
A IoT não é apenas sobre "coisas", mas também sobre dados. Garantir o grande número de dispositivos é uma tarefa complicada, mas o volume cada vez maior de dados gerados pela IoT apresenta um novo desafio. Para proteger informações confidenciais do dispositivo, os dados devem ser criptografados o mais próximo possível da fonte. Modelos típicos de segurança de nível de transporte (TLS) não fornecem segurança de ponta a ponta ou privacidade de dados. Tomar uma abordagem criptográfica centrada em dados lhe concederia segurança e privacidade de dados de ponta a ponta, permitindo que você crie um sistema independente de qualquer arquitetura de rede. Outro cenário a considerar é a proteção de dados confidenciais no nível de campo, uma vez que protocolos M2M máquina a máquina (M2M) podem fornecer conteúdo para vários assinantes.
Atualizações seguras de firmware
Uma estratégia de segurança de IoT deve incluir atualizações de software e firmware para dispositivos remotos, ao mesmo tempo em que garante que apenas software confiável seja instalado. Autenticação segura de dispositivos, privacidade de dados e integridade nesses computadores formam um pré-requisito para que isso seja bem sucedido. O plano de gerenciamento de segurança deve ser capaz de controlar o acesso aos dispositivos para atualizações, verificar a origem e validar a integridade das atualizações.
Devemos lembrar que a Internet das Coisas ou IoT é um paradigma crescente com um impacto técnico, social e econômico significativo. A IoT apresenta desafios muito importantes de segurança e proteção que precisam ser enfrentados para que ele atinja todo o seu potencial. Muitas considerações de segurança sobre este tema não são necessariamente novas; eles são herdados do uso de tecnologias de rede. No entanto, os recursos de algumas implantações de IoT apresentam novos desafios, ameaças e riscos de segurança que estão múltiplos e em rápida evolução. Enfrentar esses desafios e garantir a segurança em produtos e serviços é uma prioridade para o futuro imediato.
Por Manuel Zamudio, Gerente Nacional de Contas, Axis Communications.
