Presentan 6 principios estratégicos para proteger a la IoT

El Departamento de Seguridad Nacional de los Estados Unidos publicó esta semana un documento titulado Principios Estratégicos para Asegurar la Internet de las Cosas (IoT), con el objetivo de informar a usuarios, operadores y fabricantes para que tomen decisiones conscientes al trabajar con dispositivos conectados.

“Nuestra dependencia de tecnologías conectadas creció más rápido que las formas de asegurarla”

“A medida que integramos cada vez más conexiones de red en la infraestructura crítica de nuestra nación, procesos importantes que antes se ejecutaban manualmente (y gozaban de
inmunidad contra la actividad cibernética malintencionada) son ahora vulnerables a ciberamenazas. Nuestra creciente dependencia de tecnologías conectadas en red a nivel nacional ha crecido más rápido que las formas de asegurarla”, sentenció el informe.

Su publicación llega en un contexto ideal, en el que la seguridad de la IoT está en discusión a lo largo de la comunidad de expertos, empresas y autoridades, sobre todo después de dos casos emblemáticos: el primero y más reciente lo constituyen los ataques DDoS del 21 de octubre pasado, que dejaron brevemente sin acceso a Internet a los Estados Unidos e interrumpieron ciertas actividades online cotidianas.

“La seguridad de la IoT es ahora un asunto de seguridad nacional”

El segundo es el ciberataque del año pasado que deshabilitó temporalmente el suministro eléctrico en partes de Ucrania. Es ante hechos como estos, entonces, que se debe actuar para delinar planes y proteger a la IoT en relación al contexto.

“Porque nuestra nación depende de redes que funcionen en forma apropiada para realizar actividades que contribuyen al mantenimiento de la vida, la seguridad de la IoT es ahora un asunto de seguridad nacional”, afirmaron los autores del documento.

¿Cuáles son estos principios estratégicos?

El Departamento de Seguridad Nacional determinó que los problemas de seguridad en la IoT se deben a varios motivos:

  1. No siempre queda claro quién es responsable de las decisiones de seguridad: una compañía diseña un dispositivo, otra provee el software, otra opera la red en la que se lo integra y otra pone a disposición el equipo.
  2. No hay normas y estándares aceptados a nivel internacional.
  3. No hay incentivos a los desarrolladores para que aseguren adecuadamente los productos, dado que no necesariamente enfrentan los costos ni las consecuencias de fallar en este sentido.

Entonces, para pensar en forma abarcadora en cómo proteger la Internet de las Cosas, se proponen los siguientes principios:

1. Incorporar la seguridad en la fase de diseño

Las medidas propuestas en este aspecto tienen que ver con el establecimiento de contraseñas por defecto únicas, robustas y difíciles de adivinar, de manera que no estén disponibles en la Web. También se propone usar siempre el sistema operativo más reciente, dentro de lo que sea técnica y económicamente viable, para evitar vulnerabilidades conocidas; y diseñar pensando en posibles fallas e interrupciones, para que los dispositivos fallen “en forma segura”, sin causar una mayor disrupción sistémica.

2. Actualizaciones de seguridad y gestión de vulnerabilidades de avanzada

Este eje hace hincapié en automatizar tanto la corrección de fallas como la liberación de parches y actualizaciones. A la vez, se propone coordinar la publicación de vulnerabilidades entre desarrolladores, fabricantes, proveedores de servicio y los equipos CSIRT y CERT, por ejemplo.

Otro aspecto importante tiene que ver con el ciclo de vida de las actualizaciones: “No se podrá parchear y actualizar a todos los dispositivos IoT en forma indefinida”, por lo que es importante alertar a fabricantes y usuarios sobre los riesgos de usar un dispositivo después de su fecha de usabilidad.

3. Construir sobre prácticas de seguridad probadas

Un punto de partida es considerar las buenas prácticas ya publicadas por algunas industrias, por ejemplo la automotriz. Luego, se propone implementar la defensa en capas y compartir información relacionada a incidentes y vulnerabilidades para que todos los miembros de la cadena sepan cómo afrontarlos.

4. Priorizar las medidas de seguridad según el impacto potencial

Lo principal es identificar el entorno de uso deseado de cada dispositivo, para determinar qué características técnicas debe tener, cómo debe funcionar y qué medidas no deben faltarle. Luego, se propone auditar los equipos para ver qué podría mejorarse y, una vez en uso, se deberían aplicar reglas de autenticación para su conexión a la red.

5. Promover la transparencia a lo largo de la IoT

Las evaluaciones de riesgo deberían abarcar a todos los componentes e incluir a desarrolladores y fabricantes; a la vez, todos deberían poder conocer los materiales y procesos utilizados por los demás actores. Los programas de recompensas por encontrar vulnerabilidades también contribuyen a la generación de confianza y transparencia en la gestión de fallas.

6. Conectar con cuidado y deliberadamente

En este punto es necesario preguntarse: ¿necesita cada dispositivo en red estar conectado en forma continua y automática a Internet? Según el documento, ciertas funciones críticas, sobre todo en el sector industrial, podrían no necesitar de una conexión directa y esto podría reducir los vectores de ataque. Por lo tanto, se propone la implementación de “conexiones intencionales” y selectivas.

“Este documento es un primer paso para fortalecer los esfuerzos en proceso, articulando principios generales de seguridad. Pero seguramente se requerirán próximos pasos“, concluyó el informe.

Autor , ESET

Síguenos