Cómo los ajustes en la cadena de suministro de IoT pueden cerrar las brechas de seguridad

Cuando se trata de Internet de las cosas, los enfoques tradicionales de ciberseguridad son difíciles de integrar y no pueden mantener seguros los dispositivos operativos. Muchos enfoques de dispositivos integrados aíslan los sistemas, ofreciendo solo una protección parcial y solo contra los vectores de ataque conocidos. ¿Podrían resolverse todos nuestros problemas de seguridad de IoT mediante un simple ajuste en la cadena de suministro?

En mi opinión, sí, si empezamos a pensar en ello como la cadena de suministro de confianza de IoT. La IoT Security Foundation acuñó la idea en mayo de 2016 de que la seguridad de IoT no tiene un único propietario y todos los proveedores tienen el deber de cuidar a sus clientes directos y al ecosistema en general.

Pensemos en ello de una manera un poco más práctica. Si usted es un fabricante, la cadena de suministro de confianza es saber de dónde obtiene software o hardware y comprender la seguridad interna de lo que sea que esté comprando. Todo se reduce a tomar posesión de cada capa de seguridad.

El problema

Con más de 8 mil millones de dispositivos IoT que se espera que se utilicen en todo el mundo en 2017, frente a los 6 mil millones en 2016, según Gartner, la promesa de un crecimiento exponencial es eminente. Ha llegado al punto en el que todas las empresas, sin importar su negocio, piensan que necesitan crear un producto conectado a Internet.

El problema es que estas empresas se centran únicamente en la fabricación de su widget, y no en las partes y piezas que componen ese widget. De ahí la necesidad de la cadena de suministro de confianza de IoT.

Por ejemplo, supongamos que una empresa quiere crear un nuevo widget brillante con capacidad Wi-Fi. Por lo general, no crearán un chip Wi-Fi desde cero; comprarán un chip de una empresa que ya ha producido millones de estos chips.

Pero esta empresa productora de widgets que no se especializa en seguridad, no se toma el tiempo para comprender y probar los protocolos de seguridad del fabricante de chips. Si no se toman el tiempo para comprender de dónde viene el chip, el firmware necesario para ejecutar ese chip y la susceptibilidad de ese chip a ser pirateado, entonces están construyendo una tecnología muy insegura en su prototipo.

Piense en todos los componentes creados por terceros que terminan en el widget final. Un dispositivo de IoT es tan seguro como su capa más débil.

Claro, podríamos culpar a la presión sobre las empresas para que comercialicen productos de IoT, pero, lamentablemente, creo que todavía se debe a una deficiencia de una buena gobernanza de la ciberseguridad. Todos están felices de hablar sobre su postura cibernética, pero aún carecemos de estándares de seguridad regulados y de una adopción generalizada de las mejores prácticas existentes de la industria para la fabricación de IoT. Queremos señalar con el dedo y solo cubrir nuestro propio riesgo.

¿Cuál es la solución?

La solución a largo plazo:un proceso de certificación. Si bien muchos grupos de la industria están trabajando en estos esfuerzos, no podemos esperar a estos estándares.

A corto plazo, hay dos enfoques.

Primero, si está comprando dispositivos de IoT para usted o su empresa, tómese el tiempo para investigar. Hay muchas opciones de empresas de renombre con buenos antecedentes de seguridad. Al examinar los costos, tenga en cuenta los fondos necesarios si su empresa sufre una infracción por permitir que un dispositivo no seguro ingrese a su red.

En segundo lugar, si fabrica dispositivos de IoT, considere la seguridad de cada pieza de hardware que construya en su dispositivo. Una empresa que hace un gran trabajo en esto es Taser, un desarrollador, fabricante y distribuidor de armas eléctricas conducidas, cámaras corporales y soluciones de gestión de pruebas digitales. Taser crea un equipo interno de expertos en hardware, software y seguridad para examinar todos los productos antes de que salgan al mercado. Este grupo diverso considera cómo el producto se integrará en la mezcla de productos existente, garantiza que exista seguridad y realiza pruebas de penetración. La inversión inicial de la empresa garantiza que se considere la cadena de suministro de cualquier dispositivo nuevo.

Hasta que tengamos organizaciones que marquen los dispositivos de IoT como "buenos" o "malos", las empresas deben ser diligentes para mejorar la seguridad en todos los niveles.