abril 15, 2021

75 mil millones de razones para hablar de seguridad cibernética

Los eventos recientes nos han recordado a todos cuánto dependemos de los dispositivos inteligentes conectados para llevar a cabo las actividades diarias, trabajar y estar en contacto con nuestras familias y amigos. Es muy probable que muchas de estas experiencias sigan siendo ejemplos para nosotros en el futuro.

Es un buen momento para volver a visitar el tema de la seguridad cibernética. En particular, tenemos que mirar las previsiones actuales que afirman que para 2025 tendremos 75 mil millones de dispositivos conectados a Internet de las cosas. Los números están más allá de la comprensión. Deberíamos trabajar juntos para buscar mejores estándares con esquemas de certificación apropiados, incluidas disposiciones de seguridad armonizadas que se diseñen directamente en dichos dispositivos antes de Llegan a los mercados.

¿Los números subestiman el crecimiento potencial en cantidad y, sobre todo, el uso de dispositivos conectados?

Los dispositivos capaces de percibir, pensar, conectarse y actuar permitirán que un mundo realice muchas tareas esperadas. La automatización hará que las actividades diarias sean «más inteligentes» de maneras que solo podemos imaginar. La gran cantidad de dispositivos no solo percibirá el mundo, sino que también actuará físicamente en el planeta. A nivel mundial, todos deberíamos estar más seguros y ser más sostenibles para las personas y las empresas.

El uso de nuestros dispositivos con más frecuencia para múltiples cosas también podría hacernos más vulnerables, ya que dependemos del procesamiento y los zettabytes de datos utilizados a través de un aumento en la computación de borde (localmente, en tales dispositivos), junto con una creciente dependencia de la nube. Por lo tanto, debemos intensificar y tomar medidas de seguridad mejoradas como una función clave de estos dispositivos inteligentes.

Solo nos daremos cuenta de todo el potencial de los dispositivos inteligentes y conectados si podemos confiar en ellos para estar seguros y protegidos. Esto es lo que tomará:

Estándares compartidos

Actualmente, servicios como los pagos y la administración electrónica se basan en ecosistemas que siguen estándares de seguridad aceptados e implementados a nivel mundial, complementados por esquemas de certificación confiables y continuamente actualizados y confiables.

IoT aún se encuentra en sus primeras etapas, donde los productos no interactúan fácilmente y faltan estos estándares y certificaciones, pero podemos aprender de los mercados con altos estándares de seguridad. Otro ladrillo en la pared que falta son los estándares que involucran la combinación apropiada de seguridad y protección. La estandarización de IoT necesita aprender de los estándares de salud, automotriz, industrial e infraestructura crítica.

La confianza en el IoT futuro debe basarse en evaluaciones independientes, económicamente aceptables y aplicables a cualquier tipo de IoT vertical. NXP admite aquí un estándar de certificación llamado «Esquema de evaluación de seguridad de la plataforma IoT» (SESIP), fundado en el esquema de certificación de Criterios comunes para componentes altamente seguros pero que cubre la gama completa de dispositivos IoT de gama baja a gama baja consumo a esos potentes gateways informáticos.

Además, los dispositivos IoT tendrán una duración no administrada. La seguridad absoluta no existe; Esto implica que necesitamos estándares que definan formas de restaurar alguna funcionalidad básica en caso de que un sistema se vea comprometido: la resiliencia es la clave, y aquí es donde se encuentran la seguridad. Si se puede recuperar un cierto nivel de control allí, es menos incentivo ser atacado nuevamente.

Los dispositivos IoT serán parte de grandes sistemas complejos; Esto implica que no solo se deben definir los dispositivos, sino también los estándares de los requisitos de seguridad del sistema, globalmente con un enfoque en los requisitos locales. Se necesita el reconocimiento mutuo de las normas de seguridad para garantizar la escalabilidad en la industria.

Por último, pero no menos importante, además de la seguridad, debe considerarse un tercer pilar: la privacidad. Los dispositivos IoT están acumulando grandes cantidades de datos personales que deben protegerse de forma segura.

Por todas estas razones, los gobiernos y la industria deben redoblar su trabajo para desarrollar y adoptar estándares comunes de seguridad y esquemas de certificación para esta próxima fase de crecimiento del IoT. Uno de estos mecanismos para esta colaboración es Trust Charter, que NXP cofundó con Siemens y otras compañías tecnológicas importantes. La Carta es un terreno común para explorar las necesidades de estándares compartidos, una forma de desarrollarlos en colaboración y una plataforma desde la cual las empresas pueden adoptarlos.

Desarrollo anticipatorio

En nuestra era de cambios rápidos y continuos, es inteligente predecir que los dispositivos tendrán que cumplir con múltiples requisitos de seguridad y adoptar otros nuevos a medida que se desarrollan e implementan. Esto desafía a las empresas a considerar hacer dispositivos y soluciones completos y las necesidades cambiantes más direccionables y flexibles.

Por ejemplo, actualmente existen múltiples estándares para las comunicaciones de infraestructura de vehículos (o «V2X»), lo cual es crítico para permitir que los autos inteligentes funcionen como parte de redes integradas, en aprendizaje constante y en tiempo real. Agregue acceso a todas las funciones y servicios menos críticos, como el entretenimiento y el contenido de compras, y es fundamental que los nuevos diseños de vehículos tengan en cuenta la probabilidad de que se puedan aplicar más estándares ahora y que puedan cambiar en el próximo futuro.

Esto significa diseñar para múltiples estándares; piense en las etiquetas de productos en América del Norte que a menudo incluyen descripciones en inglés, español y francés, por lo que los mismos productos pueden comercializarse en estanterías de diferentes países (y ponerse a disposición de diferentes usuarios). También significa enfocarse en la conectividad segura de esos dispositivos, no solo en su seguridad funcional, para que los dispositivos puedan actualizarse (por aire u «OTA») cuando sea necesario.

Nuevamente, para ampliar un poco más la analogía lingüística, muchos países usan diferentes algoritmos para implementar metodologías similares para proteger contra el mismo tipo de riesgos de seguridad (por ejemplo, los ataques pueden identificarse de manera independiente y clasificarse por probabilidad, frecuencia, impacto potencial, etc.). El desarrollo temprano desafía a los desarrolladores a ver y abordar estos requisitos comunes o compartidos.

Seguridad por defecto

En última instancia, la seguridad no es solo un atributo funcional de un producto o red, sino más bien un aspecto del proyecto en sí; la seguridad es algo intrínseco, «integrado» con respecto a «agregado». La seguridad y la protección son propiedad del sistema holístico. Una estrategia clave para abordar el desafío de seguridad emergente de 75 mil millones de dispositivos conectados será continuar fabricando de manera segura de forma predeterminada

Una forma de hacerlo es insertar físicamente un pequeño componente en un dispositivo que proporcione una clave de identificación y un entorno de ejecución seguro. Tal cableado de un extremo es lo que se podría llamar «un apretón de manos seguro» (también conocido como «raíz de confianza») hace que sea increíblemente difícil, si no imposible, piratear o engañar al dispositivo (a menos que un villano tenía el identificador correcto). No es una superposición de software.

Tenemos herramientas poderosas para enfrentar el desafío emergente de ciberseguridad que nos espera: perseguir estándares compartidos, anticipar múltiples requisitos y modificaciones y construir componentes seguros en los dispositivos mismos, una vez juntos, puede permitir a las empresas y, en última instancia, a las personas y a las empresas para beneficiarse de la inmensa productividad y el progreso de la calidad de vida que conducirá al crecimiento continuo de dispositivos IoT inteligentes y conectados.

Y tenemos al menos 75 mil millones de razones para construir un mundo de IoT más seguro.

Lars Reger

Lars Reger

Como CTO, Lars Reger es responsable de toda la cartera de tecnología NXP, incluida la conducción autónoma, IoT industrial y de consumo y seguridad. Antes de unirse a NXP en 2008, Lars ocupó diversos cargos en Siemens, Infineon y Continental.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *