La Défense, Paris
+06 48 48 87 40
Internet, el IoT y la seguridad de @Sigfox

Internet, el IoT y la seguridad de @Sigfox

“Channel NewsAsia cuestiona la seguridad de Internet y el IoT

Actualmente no hay estándares establecidos de seguridad del IoT, y Singapur reconoce que se deben tomar medidas para garantizar estándares mínimos de protección en este espacio, dice CSA.

¿Recuerda la época en que los servicios de banda ancha de StarHub sufrieron dos interrupciones, y la compañía de telecomunicaciones los atribuyó a ataques cibernéticos en los comprometidos dispositivos web de los clientes, como cámaras web y enrutadores? ¿O sabe que los piratas informáticos nos están espiando a través de nuestros monitores para bebés y cámaras domésticas?

Justo en febrero, una empresa austriaca de seguridad cibernética, SEC Consult, advirtió que el vigilabebés Mi-Cam de la empresa MiSafes, con sede en Hong Kong, tiene vulnerabilidades que permitirían a los piratas informáticos espiar el dispositivo, incluidas las secuencias de video. El dispositivo tiene más de 50,000 usuarios. Estas preocupaciones de seguridad de Internet cada vez se hacen más frecuentes a medida que más y más dispositivos se conectan a Internet. Y muchos de ellos son electrodomésticos como frigoríficos, lavadoras y, sí, monitores para bebés que tradicionalmente no estaban relacionados con estar en la World Wide Web.

Para los fabricantes, la seguridad es un costo, dijo Frederick Donck, director de la oficina regional para Europa en Internet Society. Si no tienen una razón convincente para factorizarlo en su proceso, digamos, de la regulación, entonces no lo harían, agregó, arrojando más luz sobre el estado de las cosas. “Estos son tipos que no conocen los problemas de seguridad”, dijo Donck en una entrevista. “Si soy una pequeña compañía que fabrica juguetes para niños en China, ¿por qué me preocuparía asegurarme de cómo están conectados a Internet?” No solo son los creadores de estos dispositivos habilitados para Internet.

También se debe pensar más en cuándo los consumidores descartan estos aparatos, señaló Donk. “¿Qué le sucede a ese juguete o dispositivo que se descarta pero continúa enviando datos?”, dijo el ejecutivo de Internet Society. “La capacidad de desconectarse (la conectividad a Internet de un dispositivo) debe estar habilitada”. El operador de red de Internet de las cosas (IoT), Unabiz, estuvo de acuerdo y dijo que la seguridad debe abordarse en todo el ciclo de producción. “De hecho, la seguridad muchas veces es una idea de último momento (cuando) debe ser por diseño”, dijo.

HACKEAR A UNO, EXPONE A TODOS

Si vemos el problema de la seguridad de la IoT en el contexto de un ecosistema de seguridad cibernética más amplio, entonces el problema se agudiza. Francis Prince Thangasamy, vicepresidente de Servicios de TI y Hospedaje Administrado para Asia Pacífico en CenturyLink, dijo que Singapur es un importante centro de negocios y tecnología en la región, sus sistemas son “objetivos maduros”. Thangasamy dijo: “Las empresas, los servicios y las redes están interconectados con miles de empresas y miles de millones de dispositivos en todo el mundo. Un solo ataque cibernético exitoso en cualquier parte del ecosistema abrirá el acceso a toda la red y a los datos confidenciales dentro y fuera de la organización o país, lo que hace que su administración y seguridad sean complejas “.

Además, el país se encuentra en una región en la que las botnets (redes de sistemas informáticos comprometidos que pueden ser controlados remotamente por piratas informáticos para llevar a cabo ciberataques) abundan. El Informe de Amenazas de CenturyLink 2018 mostró que los 5 principales países de Asia Pacífico con bots son China, India, Japón, Taiwán y Corea del Sur, con China en segundo lugar y la India en el décimo en el ranking mundial.

¿CIUDADES INTELIGENTES? ASEGÚRALAS TAMBIÉN

Esta cuestión de asegurar los dispositivos conectados a Internet adquiere un nivel adicional de importancia y urgencia cuando se considera cómo los gobiernos de todo el mundo se están moviendo hacia el uso de estos para mejorar la planificación urbana y la gestión de sus ciudades y países. Singapur, por ejemplo, ha declarado su intención de adaptar sus farolas a las calles con sensores que podrían ayudar con todo, desde controlar el clima hasta implementar herramientas de reconocimiento facial para rastrear a los conductores errantes o marcar cuando ocurre un accidente. Este proyecto forma parte de su Smart Nation Sensor Platform, uno de los cinco proyectos nacionales estratégicos que sustentan sus ambiciones de Smart Nation.

Cuando se le preguntó cómo piensa el Gobierno proteger estos sistemas a medida que se implementan, la Agencia de Seguridad Cibernética de Singapur (CSA) dijo a Channel NewsAsia que las agencias trabajan estrechamente para garantizar que el diseño y la arquitectura de seguridad de un dispositivo o proyecto sean resistentes.  Dijo que defiende activamente un lema de “seguridad por diseño” en la implementación del proyecto y esto implica un proceso de tres pasos.

El primero es llevar a cabo evaluaciones de riesgos de amenazas para identificar el dispositivo o la red a proteger y cuáles son las posibles consecuencias si la seguridad se ve comprometida. El segundo paso es revisar el diseño del sistema e incorporar consideraciones y requisitos de seguridad, mientras que el último paso es llevar a cabo pruebas de aceptación para asegurarse de que existen medidas de seguridad para abordar los posibles riesgos de seguridad. “Suscribirse a la seguridad por diseño reduce la implementación fragmentaria y la necesidad de una modernización costosa ya menudo ineficaz”, explicó la agencia. Dicho esto, CSA señaló que actualmente no existen estándares de seguridad de IoT establecidos.

Esta falta de estandarización se destaca a través de las respuestas de dos gigantes de la electrónica de consumo bien establecidos y su postura en la seguridad de los dispositivos. El fabricante coreano LG, por ejemplo, dijo que no existen pautas específicas, ni en este ni en otros mercados, para proteger sus dispositivos, como los televisores inteligentes. Señaló que sus televisores inteligentes están certificados por el Programa de Garantía de Ciberseguridad de Underwriters Laboratories, así como Common Criteria, un estándar internacional para la seguridad informática.

Otro jugador importante, Samsung, nos señaló su blog que declaró que ha incorporado su tecnología de seguridad móvil Knox a sus otros dispositivos conectados, como televisores inteligentes y señalizaciones. “La tecnología de Knox incluye un sistema de seguridad de hardware y actualizaciones de firmware para garantizar que los dispositivos estén protegidos”, escribió.

PLAN DE CERTIFICACIÓN PARA DISPOSITIVOS IOT EXPLORADOS

CSA, por su parte, dijo que Singapur “reconoce que deben tomarse medidas” para garantizar que los productos y servicios de IoT cumplan con estándares mínimos de protección. Ya, a nivel nacional, se han publicado varias referencias técnicas relacionadas con esto. Por ejemplo, TR64 fue desarrollado y publicado recientemente por el Comité de Normas de TI, en el ámbito del Consejo de Normas de Singapur, y proporciona directrices para salvaguardar la confidencialidad, la integridad y la disponibilidad de los sistemas de IoT a gran escala. También explorará un esquema de evaluación y certificación para proporcionar un punto de referencia de seguridad de la seguridad para dispositivos IoT, reveló la agencia. Esta fue una sugerencia del Sr. Donck de Internet Society, quien dijo que los fabricantes de IoT deben ser más responsables e invertir en seguridad.

La organización, en su documento de seguridad de IoT para legisladores publicado en abril, recomendó esquemas de certificación de seguridad creíbles como un medio para aumentar los incentivos para invertir en seguridad. “La certificación, mediante la cual una organización señala que un producto, servicio o sistema ha aprobado un conjunto de pruebas de calidad o rendimiento, puede ser una señal de cumplimiento poderosa y visible para saber si un dispositivo de IoT usa mejores prácticas o estándares”, dijo.

El Sr. Donck sugirió un esquema de certificación similar al que los consumidores ven actualmente con lavadoras, televisores y acondicionadores de aire: un indicador visible para mostrar cómo el agua o la energía son eficientes, para que los consumidores puedan tomar una decisión más informada. Al final del día, tener un ecosistema de IoT seguro beneficia a todos, desde el padre que usa un monitor de bebé hasta el gobierno que busca obtener datos de sensores para administrar mejor el país. “La seguridad es uno de los factores clave que impulsa la adopción de IoT”, dijo CSA. “Sin la garantía de seguridad, Singapur no podrá seguir la onda del IoT y beneficiarse de sus posibilidades de largo alcance”.

°°°

La visión completa de UnaBiz sobre la seguridad de IoT:

Se han dicho muchas cosas sobre los desafíos de seguridad en IoT, incluido un aumento de los titulares de prensa sobre ataques de seguridad y vulnerabilidades de seguridad (monitores para bebés, automóviles conectados, ataque de Dynn …).
Es cierto que la seguridad es un desafío para las empresas que utilizan tecnologías IoT. La seguridad debe abordarse desde un punto de vista de extremo a extremo. Como cuestión de hecho, la seguridad es la mayor parte del tiempo una idea de último momento, mientras que la seguridad debe ser por diseño y abordarse durante el diseño de una solución de extremo a extremo a través de un proceso.

Paso 1:
Como empresa, debe pasar por una evaluación de riesgos de la solución E2E. Cuáles son las vulnerabilidades, cuáles son los riesgos de cada vulnerabilidad: sopesan la probabilidad de que suceda y la gravedad del riesgo. Luego, como empresa, puede tomar las decisiones adecuadas para mitigar el riesgo: proteger lo que importa, dónde importa cuando importa. La seguridad en IoT seguirá siendo un equilibrio entre el costo, el esfuerzo y el riesgo. Entonces, al ser consciente de los riesgos, las empresas decidirán qué vulnerabilidad abordar.

Paso 2:
En la etapa de diseño, implemente las contramedidas de seguridad para mitigar el riesgo que las empresas han decidido mitigar. Coloque las mejores prácticas en el desarrollo, equilibre el riesgo, el costo y los esfuerzos, desarrolle características específicas.

Paso 3:
Como la seguridad es relativa, a medida que las técnicas de los ataques evolucionan, es necesario prever un seguimiento y una mejora constantes.

Centrémonos en la tecnología Sigfox.

¿Podemos ejecutar un ataque cibernético pirateando un dispositivo Sigfox?

No. Los dispositivos Sigfox no tienen una dirección IP. No están conectados a Internet. No pueden usarse como un vector de ataque de un sistema global. Lo que sucedió con monitores para bebés (ataque DDoS masivo en servidores Dynn) no pudo, por naturaleza, pasar a través de dispositivos Sigfox.
Los dispositivos Sigfox pueden enviar 12 bytes a la vez y recibir hasta 32 bytes por día >> la descarga de un malware en un dispositivo Sigfox se vuelve imposible.

¿Cuáles son las recomendaciones y el soporte que Sigfox y los operadores están brindando a las empresas que desean implementar una solución de extremo a extremo?
Estamos aplicando las mismas mejores prácticas de seguridad que recomendamos a nuestro cliente:
– Seguridad por defecto (sin dispositivos IP)
– Seguridad por diseño: ejecutar la evaluación de riesgos de nuestro sistema en general, implementando contramedidas de seguridad: proteger lo que importa, dónde importa, cuándo es importante
Protección DDoS
Autenticación / Integridad / Confidencialidad de datos que transitan de un dispositivo a una aplicación
Mejora continua: pruebas anuales de penetración y auditoría de ciberseguridad
Aprovechamiento de los socios de sigfox: sigfox se está asociando con Kudelski Security consulting, experto en conocimientos de seguridad y evaluación de riesgos. Los clientes de Sigfox pueden beneficiarse de esta experiencia.

¿Qué son mitigaciones de riesgo contra las vulnerabilidades que los clientes de Sigfox podrían enfrentar?
Las vulnerabilidades de los datos se refieren a la integridad (los datos enviados son los datos recibidos: detección de mensajes falsificados), la confidencialidad (los datos confidenciales no pueden ser interceptados)
– Por diseño, Sigfox proporciona autenticación de mensaje basada en AES 128, un mecanismo anti-repetición
– Opcionalmente, Sigfox proporciona un mecanismo de cifrado de carga desde el dispositivo a la nube. Los clientes pueden implementar la confidencialidad de los datos cuando lo requiera su aplicación confidencial.
La seguridad física, Sigfox ha creado una red de socios y expertos en seguridad (ST Micro, WiseKey, Trusted Objects), que pueden proporcionar seguridad adicional a prueba de manipulaciones utilizando un elemento seguro en el dispositivo (proteger credenciales).

¿Existe la necesidad de un estándar global para los fabricantes de dispositivos de IoT?
¿Se trata de estándares o se trata de las mejores prácticas de seguridad? Cada aplicación de extremo a extremo es única: diferente sensibilidad a los ataques de seguridad, diferentes tecnologías de conectividad (basadas en IP, no basadas en IP) y la superficie de los ataques que abarcan toda la cadena de valor de extremo a extremo. Por estas razones, creemos que la seguridad no está restringida al dispositivo, sino que debe abordarse a través de las mejores prácticas de forma global. Un estándar para los fabricantes de dispositivos IoT no cumplirá este requisito, ya que no pueden abordar la gran variedad de aplicaciones.”

Fuente: UnaBiz 

Related Posts