Seguridad de IoT:¿una barrera para la implementación?

La seguridad tiene prioridad cuando se trata del desarrollo y la implementación de Internet de las cosas (IoT), con Gartner prediciendo que para 2020, la seguridad de IoT representará el 20% de los presupuestos de seguridad anuales.

Según Nick Sacke, director de Producto e IoT, Comms365 , como inhibidor potencial, tanto los analistas como los proveedores y las partes interesadas están preocupados por los riesgos de seguridad potencialmente importantes asociados con las implementaciones de IoT.

Estas preocupaciones están desempeñando un papel en la toma de decisiones y la confianza del usuario final en la implementación de servicios de IoT, particularmente cuando se trata de utilizar redes existentes que se sabe que son vulnerables, por ejemplo, Wi-Fi, y aquellas que son nuevas y operan en el espectro sin licencia, como LoRaWAN y Sigfox . La estandarización, o la falta de, dentro de la industria de IoT también está actuando como una barrera para la implementación, dado que las redes más antiguas y más nuevas implementan IoT, se requiere con urgencia una mayor estandarización con respecto a las políticas de seguridad.

Falta de información

Un problema que socava la confianza del usuario es la falta de información sobre las disposiciones de seguridad que ya existen para las redes que sustentan la IoT, tanto las variantes con licencia como sin licencia. Las plataformas de tecnología Low Power WAN (LPWAN) como LoRaWAN y Sigfox usan espectro sin licencia para implementar sensores de IoT a escala y se ha informado en gran medida que estos tipos de redes carecen de los mecanismos de seguridad tradicionales de las redes celulares, y los operadores hablan de una red de IoT basada en celulares. 'más seguro' ya que el tráfico en estos tipos de red está bajo el control del operador respectivo.

Para abordar el argumento, es importante hacer la distinción entre los tipos de tráfico de sensores que se transmite a través de estas redes y cómo se puede aplicar la seguridad en varios puntos de la red. Por ejemplo, todo el tráfico que se ejecuta a través de una red de sensores LoRaWAN no está basado en un protocolo IP, tiene un cifrado de 128 bits de grado empresarial y requiere descifrado a través de un servidor de aplicaciones que se encuentra en un entorno de nube privada.

Esto contrasta favorablemente con las redes de sensores basadas en Wi-Fi que pueden interactuar con conexiones públicas de Internet, que requieren requisitos de seguridad muy estrictos a nivel local en el sitio. Idealmente, las redes públicas, sus proveedores y los fabricantes de dispositivos deben analizar cada elemento de su diseño e implementación para garantizar la máxima seguridad en todos los niveles y promover estos acuerdos entre los usuarios.

A pesar de estas preocupaciones de seguridad, es importante tener en cuenta que no todas las redes de IoT son tan propensas a las violaciones de seguridad como otras, desde una perspectiva de seguridad, las redes recientes que se están implementando en LoRaWAN tienen una seguridad incorporada inherente desde el diseño, que es primordial.

Entonces, ¿quién es el responsable final de mantener segura la IoT? ¿Deberían los proveedores de red proporcionar una red súper segura? ¿Parte de la responsabilidad recae en el usuario para proteger su red de área local? ¿Depende de los fabricantes de dispositivos IoT integrar la seguridad directamente en el dispositivo desde el principio? La respuesta es sí a los tres escenarios.

Para que IoT sea seguro desde el desarrollo hasta la implementación, hasta el uso del dispositivo IoT conectado, todas las partes involucradas deberán realizar un esfuerzo conjunto coordinado. Dependiendo de la elección de la tecnología de acceso a la red, puede haber características de seguridad inherentes ya integradas, como las de LPWAN celular, pero no hay ninguna razón por la que no pueda tener arreglos similares para redes de IoT de espectro sin licencia, a través de la creación de una red privada. tipo de red que tiene seguridad en capas de un extremo a otro.

Cómo lo hizo una ciudad

El proyecto de ciudad inteligente de Milton Keynes implementó una red LoRaWAN hacia fines del año pasado, para brindar cobertura en las áreas centrales de la ciudad para una variedad de casos de uso que incluyen energía, estacionamiento y medio ambiente, entre otros.

Los datos recopilados de varios miles de sensores de IoT basados ​​en LoRa se recopilan de forma segura a través de la red de área amplia de baja potencia (LPWAN) y se depositan en un centro de datos de IoT especialmente diseñado, que permite que una variedad de partes interesadas lleven a cabo análisis de forma segura y monitoreada. de manera que cumpla con los marcos legales de protección de datos.

Sin duda, este tipo de proyectos tienen la seguridad como una prioridad máxima debido al volumen de implementación y al número de habitantes que utilizarán la red y los dispositivos conectados a ella.

Los consumidores deben tener la confianza de que las disposiciones de seguridad implementadas son sólidas, no solo para el software, sino también para el entorno físico. Ya existen iniciativas para proporcionar una seguridad mucho más profunda a través de blockchain y otras plataformas, para hacer que incluso el tráfico de la red pública sea más seguro. Quizás la parte más crítica es el sitio donde se implementan los dispositivos y asegurarse de que no puedan ser pirateados localmente.

Si alguien puede acceder e interferir con el dispositivo localmente, no importará lo que suceda en el resto de la ruta de los datos del sensor porque ya se ha visto comprometido. Por lo tanto, la protección contra manipulaciones es una característica clave cuando se monitorea el estado de la implementación de un sensor de IoT, desde un simple acelerómetro hasta cambios de temperatura, los análisis pueden mostrar o proyectar una posible manipulación y minimizar la interferencia del dispositivo.

La incertidumbre para las empresas en torno a la seguridad parece ser una barrera para la implementación, pero no tiene por qué serlo. Hay una serie de áreas potenciales para proteger dentro de una implementación de IoT, especialmente para la infraestructura heredada y las redes más antiguas, pero aplicando seguridad en cada punto; dispositivo, borde, WAN y nube, hay muchas más posibilidades de mitigar una posible incursión.

Los fabricantes tienen la capacidad de incorporar ciertas características de seguridad en sus dispositivos desde el principio y eso es algo que la industria de los semiconductores ya está analizando. Pero nuevamente, es la falta general de estándares lo que se interpone en el camino. Ya existen varios estándares de seguridad para el software, pero ¿qué pasa con el hardware en términos de chips y otras partes del paquete de semiconductores, dentro del dispositivo de IoT?

La fragmentación sigue siendo un problema, ya que los fabricantes, en cierto modo, están haciendo lo suyo, pero es la coordinación cruzada entre ellos lo que hará la mayor diferencia. Existe un caso sólido de que la implementación y la seguridad no deberían ser una preocupación, siempre que elija el sistema de socios adecuado. Hay avances sustanciales y mejoras en la seguridad en todos los tipos de IoT que se avecinan, para brindarles a los clientes la tranquilidad de que pueden implementar con intensidad y escala.

El autor de este blog es Nick Sacke, director de Producto e IoT, Comms365