Ya sea que los construya o los compre:la seguridad de los dispositivos de IoT nos preocupa a todos
Internet of Things (IoT) ofrece muchas atracciones para los pequeños y medianos fabricantes (SMM) que deseen integrar IoT en sus instalaciones y operaciones, o que busquen ingresar al mercado de IoT con productos innovadores. El espectro de productos de IoT disponibles es amplio y está en continuo crecimiento. Al aventurarse en las aguas de IoT, es útil estar preparado para los posibles problemas de ciberseguridad, ya sea en forma de implicaciones para la gestión de riesgos organizacionales al introducir IoT en el medio ambiente o consideraciones para el diseño y soporte de productos al ingresar al mercado como proveedor de productos. El programa NIST Cybersecurity for the Internet of Things está trabajando para proporcionar la información que los SMM necesitan para navegar en estas aguas potencialmente turbulentas.
IoT y gestión de riesgos
Antes de instalar termostatos inteligentes para mantener a sus empleados cómodos, agregue cafeteras inteligentes a las salas de descanso para mantenerlos con cafeína o implemente la última y mejor tecnología del Sistema de control industrial (ICS) en su entorno de producción, es importante reconocer las posibles implicaciones. Es posible que tenga un programa de seguridad de la información sólido para su TI tradicional, pero esas herramientas, procesos y procedimientos probablemente requerirán una adaptación cuando se introduzca IoT. Algunas de las formas en que IoT es diferente incluyen:
- Interactuar con el mundo físico. Los dispositivos de IoT están equipados con sensores que recopilan información de su entorno o actuadores que hacen que los objetos del "mundo real" se muevan o cambien. La detección puede generar una gran cantidad de datos potencialmente confidenciales, por lo que es importante saber qué se recopila y hacia dónde se dirige. Un actuador comprometido podría permitir que un adversario cause una interrupción significativa; piense en lo que podría suceder si no sabe quién está al mando de sus cerraduras inteligentes.
- Desafiar las prácticas de gestión de TI convencionales. Los dispositivos de IoT son a menudo "cajas negras" que ocultan sus sucesos internos y no pueden equiparse con agentes o consultarse de la misma manera que los servidores, los escritorios o los firewalls. Como resultado, las prácticas comunes de administración de TI pueden resultar ineficaces con IoT. Estos desafíos de administración pueden multiplicarse rápidamente si implementa dispositivos de IoT "a escala".
- Carece de funciones comunes de ciberseguridad y privacidad. Los dispositivos de IoT a menudo carecen de soporte para el registro y monitoreo, soporte para actualizar dispositivos para abordar vulnerabilidades recientemente identificadas o capacidades criptográficas necesarias para proteger la información confidencial que generan o procesan. No se puede suponer que estos dispositivos posean las mismas capacidades de ciberseguridad que los dispositivos de TI en la misma red.
Los SMM que adoptan IoT en sus entornos deben estar preparados para abordar estos desafíos. Si ingresa al mercado de IoT como proveedor, comprender estos desafíos puede ser una oportunidad para desarrollar un producto que brinde una mejor experiencia al cliente.
Cómo administrar su riesgo de seguridad de IoT
Al adoptar la tecnología de IoT en su organización, los SMM deben planificar para abordar estos desafíos con miras a tres objetivos:
- Proteger la seguridad del dispositivo de IoT para garantizar que el producto esté totalmente bajo el control del propietario y que no sea explotado por agentes externos para obtener acceso a la red de SMM o participar en una botnet.
- Proteger la seguridad de los datos para que los datos generados por los dispositivos de IoT no se expongan ni se alteren mientras se almacenan en los dispositivos, se transfieren a través de la red o se transmiten a un servicio basado en la nube que se utiliza para proporcionar aspectos de las capacidades del producto.
- Proteger la privacidad de las personas, estar alerta a la posibilidad de que los productos de IoT capturen o creen información sensible a la privacidad, y ser consciente de dónde pueden viajar esos datos.
Estos objetivos se articulan en NISTIR 8228, Consideraciones para la gestión de riesgos de privacidad y ciberseguridad de Internet de las cosas (IoT) , y puede ser difícil de lograr con los productos de IoT disponibles actualmente. Para las organizaciones que están aplicando el Marco de Ciberseguridad (CSF) del NIST o definiendo sus requisitos de seguridad mediante los controles NIST SP 800‑53, NISTIR 8228 identifica una variedad de desafíos que presentan los dispositivos de IoT para lograr los fines que pretenden CSF y SP 800‑53. Por ejemplo, el control SI-2, corrección de fallas, de SP 800‑53 no puede ser satisfecho por dispositivos de IoT que carecen de la capacidad de actualizaciones seguras de software / firmware. De manera similar, muchos dispositivos de IoT no se pueden analizar de la manera necesaria para satisfacer la subcategoría CSF DE.CM-8:análisis de vulnerabilidades que se realizan.
La consideración de los tres objetivos identificados anteriormente debe tener en cuenta la selección de productos de IoT, así como la forma en que se administran, ya que las capacidades de seguridad de los dispositivos de IoT contribuyen a lograr los requisitos generales de seguridad de los sistemas en los que se integran los dispositivos.
Mejora de la postura de seguridad de sus productos de IoT
Si se está aventurando en la creación de productos de IoT, el conocimiento de los desafíos de ciberseguridad puede ayudarlo a guiar su enfoque para el desarrollo y soporte de su producto. Los tres objetivos descritos anteriormente también se aplican al desarrollar un producto de IoT. Un enfoque reflexivo del desarrollo con esos objetivos en mente dará como resultado un producto más manejable y seguro. Este enfoque implica tanto la fase de diseño y desarrollo del producto como la fase de soporte una vez que se comercializa, como se ilustra en esta figura de NISTIR 8259, Actividades fundamentales de ciberseguridad para fabricantes de dispositivos de IoT .
Las líneas de base básicas describen las capacidades del dispositivo y las acciones de apoyo en un espectro de necesidades:
Capacidades técnicas de ciberseguridad
| Identificación del dispositivo | El dispositivo de IoT se puede identificar de forma única lógica y físicamente. |
| Configuración del dispositivo | La configuración del software del dispositivo de IoT se puede cambiar, y dichos cambios solo pueden ser realizados por entidades autorizadas. |
| Protección de datos | El dispositivo de IoT puede proteger los datos que almacena y transmite de modificaciones y accesos no autorizados. |
| Acceso lógico a interfaces | El dispositivo de IoT puede restringir el acceso lógico a sus interfaces locales y de red, y los protocolos y servicios utilizados por esas interfaces, solo a entidades autorizadas. |
| Actualización de software | El software del dispositivo de IoT puede ser actualizado por entidades autorizadas solo mediante un mecanismo seguro y configurable. |
| Conciencia del estado de ciberseguridad | El dispositivo de IoT puede informar sobre su estado de ciberseguridad y hacer que esa información sea accesible solo para entidades autorizadas. |
Capacidades de asistencia no técnica
| Documentación | La capacidad del fabricante y / o entidad de apoyo para crear, recopilar y almacenar información relevante para la ciberseguridad del dispositivo de IoT durante el desarrollo de un dispositivo y su ciclo de vida posterior. |
| Recepción de información y consultas | La capacidad del fabricante y / o la entidad de apoyo de recibir del cliente información y consultas relacionadas con la ciberseguridad del dispositivo de IoT. |
| Difusión de información | La capacidad del fabricante y / o entidad de apoyo para transmitir y distribuir información relacionada con la ciberseguridad del dispositivo de IoT. |
| Educación y conciencia | La capacidad del fabricante y / o entidad de apoyo para crear conciencia y educar a los clientes sobre elementos tales como información relacionada con la ciberseguridad, consideraciones y características del dispositivo de IoT. |
Las actividades de planificación combinadas con la aplicación de las líneas de base técnicas y no técnicas ayudarán a los SMM a desarrollar productos que sean más seguros y estén mejor respaldados, lo que ayudará a sus clientes a aprovechar sus innovaciones de IoT y limitará el impacto a sus desafíos de gestión de riesgos.
Información que puede ayudar
El programa NIST Cybersecurity for the Internet of Things se ha comprometido profundamente con la comunidad durante los últimos años y ha desarrollado una rica colección de orientación sobre los desafíos de ciberseguridad de IoT. Ya sea que sea un SMM que busca mejorar las operaciones con la integración de IoT o ingresar al mercado con nuevos productos, hay muchos recursos y publicaciones disponibles para ayudarlo en sus esfuerzos.
Cybersecurity for IoT de NIST da la bienvenida al fabricante iotsec [at] nist.gov (comentarios) sobre nuestros borradores públicos actuales.
Tecnología Industrial
- La encuesta ofrece una visión sombría de la implementación de seguridad de IoT
- Las vulnerabilidades de las aplicaciones dejan los dispositivos de IoT abiertos al ataque
- Una introducción a la piratería de hardware integrado en dispositivos IoT
- Protección de IoT industrial:un desafío de seguridad creciente - Parte 1
- Qué significa la llegada de 5G para la seguridad de IoT
- Por qué "Zero Trust" es la mejor manera de reforzar la seguridad de los dispositivos de IoT
- ¿Qué es la seguridad de IoT?
- Inversión de Google para impulsar la adopción de dispositivos de seguridad IoT
- 5 principales desafíos de IoT al desarrollar su dispositivo
- Seguridad IoT Industrial:Desafíos y Soluciones
- ¿Qué es un dispositivo Edge y por qué es esencial para IoT?