Las empresas deben tener cuidado:los dispositivos de IoT son una puerta a los ciberataques

Internet de las cosas ofrece a las empresas un nivel sin precedentes de visibilidad y control sobre sus cadenas de suministro. Pero también abre la puerta a ciberataques potencialmente devastadores.

Un nuevo estudio del Ponemon Institute revela un fuerte aumento en las filtraciones de datos causadas por dispositivos IoT de terceros no seguros. Y sugiere que los principales expertos en seguridad no están haciendo lo suficiente para detenerlos.

El tercer estudio anual del instituto sobre el riesgo de IoT de terceros se subtitula "Las empresas no saben lo que no saben". De hecho, la ignorancia sobre los peligros de los ciberataques parece haber aumentado la vulnerabilidad de muchas empresas. Las infracciones relacionadas con IoT aumentaron al menos un 26 por ciento desde 2017, según el estudio. (El número podría ser incluso mayor, señalan los autores, porque la mayoría de las empresas no conocen todos los dispositivos o aplicaciones inseguros en sus instalaciones que se hayan originado en proveedores externos).

En un momento en que las violaciones de datos se están volviendo endémicas, la ciberseguridad no parece ser una prioridad especialmente alta para muchas empresas, al menos cuando se trata de invertir recursos en esa área. La supervisión por parte de la alta dirección es especialmente deficiente. Según el estudio, menos de la mitad de los miembros del directorio de las empresas han aprobado programas destinados a reducir el riesgo de ciberataques de terceros. Solo el 21 por ciento comprende completamente la naturaleza de ese riesgo y está "muy comprometido" con las medidas de seguridad necesarias para abordarlo.

Cuando se trata de anticipar el riesgo cibernético, la actitud predominante parece ser de fatalismo. El estudio encontró que el 87 por ciento de los encuestados cree que sus propias organizaciones experimentarán un ciberataque causado por dispositivos o aplicaciones de IoT no seguros en los próximos 24 meses. Y el 84 por ciento espera experimentar una violación de datos dentro de ese mismo período de tiempo.

La última versión del estudio se basa en 600 encuestados calificados y aproximadamente 450 empresas únicas, según Larry Ponemon, cofundador del Ponemon Institute. En lo que él llamó una "muestra ecléctica pero interesante", los participantes incluyeron expertos en TI, protección de datos, tecnología de terceros y regulación.

"Tercero" hace referencia a la gama completa de proveedores, contratistas, socios de canal y afiliados internos externos a la propia TI de una empresa. medio ambiente, señala Charlie Miller, asesor senior del Programa de Evaluaciones Compartidas, una unidad de The Santa Fe Group que se especializa en evaluar el riesgo de terceros.

Los dispositivos externos de IoT generalmente toman la forma de sensores, dispositivos inteligentes, impresoras, cámaras, termostatos Nest, asistentes digitales personales activados por voz; en resumen, cualquier cosa que contenga dispositivos electrónicos que se puedan conectar a la red de una empresa.

Desprecie esta panoplia de tecnología insegura, gran parte de la cual se introduce en la red a través de los dispositivos personales de los empleados, la administración no lo ve como un gran riesgo, dice Ponemon. Miller agrega que el problema se ve agravado por un gran aumento en la cantidad de dispositivos de IoT que han llegado al mercado en los últimos años.

Cada uno de esos dispositivos tiene una dirección IP única y representa un punto potencial de vulnerabilidad a través del cual los piratas informáticos o los ladrones cibernéticos pueden acceder a datos de propiedad. Antes de permitir que cualquiera de ellos se introduzca en la red, las empresas deben comprender con precisión qué pretenden hacer los dispositivos, qué tipo de datos deben recopilar y cómo se transmitirá esa información.

"Todas esas cosas son conceptos fundamentales que aún no se han cristalizado en este enorme espacio de IoT", dice Miller.

Frente a esta avalancha de ataques, ¿por qué las empresas no son más proactivas para prevenirlos? Ponemon sugiere que el problema radica en la falta de responsabilidad dentro de las organizaciones. Además, los dispositivos de IoT son seductoramente cómodos de usar, y los propietarios piensan poco en cómo podrían poner en peligro la seguridad corporativa.

Miller ve algunos signos de iluminación entre los equipos y organizaciones de seguridad. Ciertas industrias, como los fabricantes de dispositivos médicos, están más enfocadas en el tema que otras, en gran parte porque están sujetas a una estricta regulación. (La Administración de Alimentos y Medicamentos, por ejemplo, tiene "reglas estrictas sobre los dispositivos que se deben implantar en las personas", dice Miller). Una nueva legislación, como la Ley de Privacidad del Consumidor de California, está reprimiendo el uso que hacen los comerciantes de los datos del consumidor con fines de marketing. Además, los legisladores están apuntando a los fabricantes con medidas que requerirían niveles más altos de seguridad incorporada para los dispositivos basados ​​en IoT. (Prohibiendo, por ejemplo, el uso de contraseñas predeterminadas fáciles de descifrar, que muchos usuarios se olvidan de cambiar).

Otros esfuerzos para endurecer la ciberseguridad están encabezados por organizaciones como el Instituto Nacional de Estándares y Tecnología, cuyos estándares son aceptados a nivel mundial, y la Autoridad Monetaria de Singapur, el banco central de ese país. Cuatro de las cinco recomendaciones de este último para impulsar la seguridad se incluyen en el estudio de Ponemon.

“Debe comprender cuáles son los dispositivos que tiene dentro de su propia organización y que están permitiendo que los utilicen terceros”, dice Miller. “Y debe asegurarse de que la forma en que se conectan los dispositivos esté segmentada de su departamento de producción. Entonces, si hay una brecha, hay aislamiento para un segmento de su red que no es de producción ".

La educación es primordial, dice Ponemon, y enfatiza que la conciencia del riesgo cibernético debe ir desde cada empleado individual hasta la suite ejecutiva, así como a los socios y clientes externos de la cadena de suministro.

Miller dice que las empresas deben emprender casos de uso antes de comprometerse con el uso de cualquier dispositivo de IoT, para determinar el potencial de uso indebido. Por ejemplo, los sistemas de monitoreo que se encuentran en los automóviles modernos podrían permitir a los piratas informáticos tomar el control del vehículo de forma remota. "La industria del transporte está considerando esto con mucha seriedad", dice.

Al final, todo se reduce a la vigilancia por parte del usuario. “La higiene cibernética es responsabilidad del individuo”, dice Ponemon. “Eso es crítico. No se trata solo de IoT, se trata de todo ".