Asegurando las cosas
Con la industria de IoT pidiendo estándares e infraestructura comunes, es justo decir que la industria está en su infancia; ciertamente no madura aún del todo.
Pero con la incertidumbre viene la fragmentación y con la fragmentación viene la vulnerabilidad que conduce, en la mayoría de los casos, a los titulares negativos sobre la Internet de las cosas.
El Internet de las cosas ha pasado de un concepto a una palabra de moda a dispositivos tangibles que las empresas y los consumidores pueden aprovechar. Ya se trate de cámaras y sensores conectados a la computación de inteligencia artificial para resolver los pasos en los espacios públicos, o una gama de dispositivos IoT de banda estrecha, como cámaras, rastreadores y sensores para consumidores y empresas, la tendencia solo va en aumento.
Ahora que se ha agregado 5G a la combinación de protocolos de conexión que incluyen Wi-Fi, Bluetooth, 4G y Zigbee para activar estos dispositivos, las verticales de ataque para “hackers” también han crecido.
“La seguridad a menudo es una ocurrencia tardía y, a veces, es casi como si nunca se hubiera pensado en absoluto”, dijo Paul Ducklin, Asesor de Seguridad Senior en Sophos, “Si toma los relojes inteligentes de los niños, por ejemplo, cuesta 20 dólares comprarlos, por lo que puedo imaginar cuánto dinero sobra para seguridad.
“Pero una vez que el producto está en el mercado, es demasiado tarde para agregar seguridad como una ocurrencia tardía y eso es un problema grave. Llamamos la atención sobre esto y la gente pregunta qué pueden hacer. Sugerimos que dejen de usarlo, porque hay un error enorme que significa que cualquiera puede averiguar dónde están sus hijos y el dispositivo no tiene forma de actualizarse “.
“Creo que la falta de competencia es peor que la seguridad como una ocurrencia tardía”, agregó Bernard Parsons, CEO y Fundador de Becrypt. “Muchas compañías que fabrican dispositivos IoT simplemente no tienen los niveles necesarios de competencia en lo que respecta a la seguridad.
“No hay razón para creer que, como eres un fabricante de IoT, vas a tener la experiencia interna para hacer un buen trabajo de arquitectura de seguridad dentro de tu sistema. ¿Cuál es el controlador para que un fabricante pase por el costo y el tiempo adicionales necesarios para implementar la seguridad, incluso si así lo desean?
“Creo que aquí es donde tenemos una situación que se describe mejor como una falla del mercado desde una perspectiva de seguridad. Aquí hay dos problemas, uno es la asimetría de la información, donde, como comprador de componentes de IoT, no puedo distinguir la diferencia entre bueno y malo, por lo que es muy difícil para mí diferenciar entre alguien que está invirtiendo en seguridad y alguien que no t. Eso proporciona una ventaja a la empresa que no está invirtiendo, ya que van al mercado más rápido y serán más baratos.
“El segundo problema son las externalidades negativas, donde los verdaderos perdedores en esto no son el fabricante o incluso el consumidor; ambas partes podrían estar felices porque consiguieron cosas más baratas porque nadie invierte en seguridad. Pero si un refrigerador, por ejemplo, se convierte en parte de una gran red de botnets, y vemos un ataque de denegación de servicio, entonces las personas que pierden son terceros, ya sea Netflix, CNN o Twitter.
“Cuando tienes esas características dentro de un mercado, esto conduce a una falla del mercado, y la única forma en que puedes intervenir y cambiar eso es a través de la regulación”.
Estándares de malabarismo
La regulación de seguridad es ciertamente un punto focal para los gobiernos de todo el mundo, pero para los fabricantes de IoT, como señala Bernard, la inversión en seguridad conlleva mayores costos de componentes; apenas una recompensa por hacer lo correcto por sus usuarios finales.
El director sénior de marketing de productos de Silicon Labs para IoT Security, Gregory Guez, dijo que la motivación para agregar seguridad puede encontrarse fuera de la regulación.
“Estamos en un momento en que habrá un gran cambio con las nuevas reglas de seguridad (SB327), donde el Estado de California exigirá que todos los dispositivos conectados a IoT tengan que venir con características de seguridad razonables. Cosas como asegurarse de que los dispositivos no tengan contraseñas universales, ejecutar un firmware confiable, entraron en acción a principios de año.
“Creo que eso va a cambiar el juego. Vamos a ver que ocurren algunas demandas importantes y las empresas que sienten que pueden hacer un producto sin pensar en la seguridad tendrán que comenzar a tomarlo más en serio desde el comienzo del diseño. Ya no puede ser una ocurrencia tardía.
“El gobierno del Reino Unido está buscando introducir pautas que quieran que los fabricantes suscriban voluntariamente. El Centro Nacional de Ciberseguridad trabajó con el DCMS para desarrollar estos principios de diseño seguro que, de ser adoptados por los fabricantes, harían avanzar bastante las cosas ”, agregó Parsons.
“Hasta la fecha, no ha pasado nada voluntariamente, por lo que ahora pasaremos a una era de regulación y eso es lo que finalmente creará el impulso para que el fabricante invierta en seguridad”.
