Al reflexionar sobre los niveles de riesgo relacionados a la seguridad del IoT (Internet de las Cosas), es útil saber de dónde pueden surgir los problemas mayores una vez que los ciberdelincuentes logren su objetivo por medio de la ‘kill chain’ cibernética.
Una forma de pensar sobre eso es considerar las varias categorías de dispositivos del IoT y los tipos respectivos de riesgo cibernético.
Mientras los dispositivos del IoT se vuelven más controlables o más autónomos, la intensidad de la amenaza aumenta, ya que los criminales son capaces de robar datos sensibles, insertar malware y llevar a cabo sabotaje del tipo ‘comando y control’.
Una de las situaciones principales que genera este tipo de problemas radica en que la seguridad se deja frecuentemente al último,tratando de encontrar soluciones una vez que aparecen los problemas.
Los especialistas en seguridad y líderes de TI han estado pidiendo por décadas que la seguridad sea integrada por diseño.
La clasificación de Gartner de dispositivos IoT segmenta desde cosas identificables (etiquetas RFID pasivas), a cosas de comunicación/detección (sensores de presión), de detección controlables (sistemas HVAC), inteligentes autónomas (carros auto-conducibles).
Mientras pensamos sobre el mundo futuro con más de 25 mil millones de ‘cosas’ en uso hasta el 2020, los escenarios de riesgo cibernético crecen exponencialmente.
A continuación se detallan algunos casos que se han materializado en los meses recientes:
[box]
- Un hogar conectado fue hackeado para tener acceso por la puerta principal a los ladrones, abrir la puerta del garaje para robar un auto, elevar la calefacción a niveles máximos para dañar el sistema de aire acondicionado y/o enseres de la casa, apagar el refrigerador, apagar el sistema de riego, acceder a computadoras personales, etc.
- Un auto conectado, autónomo o vehículo de entrega fue saboteado para chocarse por medio de una aceleración o frenado inapropiado, o enviado a destinos incorrectos; los vehículos como trenes, aeronaves, drones, barcos etc., dirigidos erróneamente o saboteados de forma similar.
- Un hospital conectado fue vulnerado para cambiar la ruta de robots de entrega; funciones de dispositivos médicos como marcadores de paso y bombas de insulina.
- Un fabricante conectado atacado para interrumpir funciones de los robots de ‘selección’ del depósito, monitoreo de equipos y sensores de mantenimiento, sistemas de control de la planta y actividades de la cadena de producción.
- Sistemas SCADA y PLC fueron saboteados de forma similar al gusano Stuxnet que hizo girar las centrífugas nucleares de Irán.
[/box]
La solución
Afortunadamente, cuando se trata de crear seguridad anticipada y por diseño para el IoT, hay algunas señales prometedoras. Un ejemplo es la reciente arquitectura de referencia publicada por el Industrial Internet Consortium (Consorcio Industrial de Internet) o IIC.
Este amplio documento señala características clave de sistemas industriales de Internet, varios puntos de vista que deben considerarse antes de implantar una solución de Internet Industrial y un análisis de preocupaciones clave para éste, incluyendo seguridad y privacidad, interoperabilidad y conectividad.
Para las organizaciones que diseñan e implementan soluciones del IoT, las lecciones son claras:
[box]
- Tener un sentido claro de amplio espectro de escenarios de amenazas que puedan encontrar — nada debe ser descartado.
- Se debe entender la intensidad de las amenazas, dadas las categorías específicas de dispositivos del IoT. Cuanto más controlables o autónomos sean los dispositivos del IoT, más alto será el nivel de riesgo, y también se debe prestar mucha atención a las enormes cantidades de datos recolectados por estos sistemas.
- Ya que los cibercriminales entrarán al ecosistema del IoT a través de un link débil en sus defensas, incluyendo hardware falsificado en su cadena de distribución, se debe tomar un enfoque holístico para la estrategia cibernética; así mismo, se debe revisar la orientación y recomendación de varios organizaciones que trabajan en el mismo campo.
[/box]
Fuente: Unisys
