Los fabricantes de automóviles que recientemente mostraron sus modelos más nuevos en el Auto Show de Nueva York son representativos de las oportunidades y los desafíos que enfrentan todos los fabricantes de hardware de Internet de las Cosas. IoT está transformando la industria automotriz, ya que los fabricantes de automóviles están implementando una increíble gama de tecnologías inteligentes conectadas.
Pero además de crear una experiencia de usuario increíble, deben centrarse en la seguridad del usuario. Un reciente informe de McKinsey & Company sobre la ciberseguridad y los automóviles conectados afirma que “los productos solo pueden ser seguros si se diseñan teniendo en cuenta la seguridad”. Esa mentalidad, llamada Secure by Design, debe ser el principio rector para todos los dispositivos de IoT, sin importar su tamaño o aplicación de negocio o consumidor.
“La seguridad de IoT exige la autenticación adecuada del dispositivo y el cifrado de datos para garantizar que todas las conexiones sean confiables y las comunicaciones estén protegidas”, comenta Manuel Pavón, Gerente de Canales para Latinoamérica de DigiCert.
Recientemente, DigiCert realizó un estudio global en una amplia variedad de industrias, con el fin de determinar de qué manera las organizaciones están abordando la ciberseguridad. Los resultados son un llamado de atención para cualquier compañía que intente minimizar el riesgo y maximizar el valor de la tecnología conectada.
“Entre las compañías que tienen más problemas con la seguridad del IoT, el 25 % declaró al menos 34 millones de dólares en pérdidas en incidentes de seguridad relacionados con el IoT en los últimos dos años”, resalta Manuel Pavón.
A medida que los autos se vuelven más complejos, requieren más unidades de control electrónico y líneas de código. La conectividad permite capacidades de auto conducción o asistencia al conductor, y características de seguridad mejoradas. Pero la conectividad también aumenta el riesgo, ya que estos complejos sistemas de seguridad y navegación son más vulnerables a ser hackeados.
«Estamos expandiendo el despliegue de IoT a decenas de miles de millones de cosas conectadas, haciendo crecer así las oportunidades de explotación y ataque. Nuestra situación inevitablemente empeorará si no tomamos las precauciones adecuadas mejorando la seguridad en todos los dispositivos utilizados en IoT, sin importar la industria», señaló Pavón.
La responsabilidad recae en todos los fabricantes, desde aquellos que fabrican componentes individuales hasta aquellos que incorporan múltiples componentes en sus productos, por lo cual deben abordar la seguridad durante el proceso de diseño. Los siguientes consejos pueden ayudar a garantizar las consideraciones de seguridad adecuadas en el diseño de los dispositivos conectados para todas las aplicaciones.
En primer lugar se debería construir modelos de amenazas, evaluar el caso de uso de los dispositivos y servicios durante la fase de diseño del producto, evaluar los diversos riesgos y crear planes de mitigación en el diseño general del producto.
En segundo lugar crear casos de seguridad y abuso, asegurarse de poner al equipo a trabajar haciendo pruebas para validar el modelo de amenaza, poner en práctica una evaluación continua con cada iteración del producto para asegurarse de que el modelo de amenaza siga cumpliendo con sus escenarios de amenaza.
En tercer lugar administrar las claves de manera segura, integrar sus procesos generando y almacenando sus claves privadas de forma segura, ya sea utilizando módulos de seguridad de hardware (HSM) o una de las principales plataformas de IoT basadas en la nube.
Otro consejo útil es poner certificados para usar, habilitar sus dispositivos para usar certificados en lugar de contraseñas para la autenticación, los certificados de infraestructura de clave pública (PKI) desempeñan un papel fundamental en la solución de IoT, ya que validan la identidad de un dispositivo para que solo los dispositivos autorizados, los usuarios y los servidores puedan acceder al dispositivo. Los certificados también se utilizan para cifrar los datos enviados desde y hacia el dispositivo.
Por último automatizar la autenticación a escala, el uso de tecnologías estandarizadas y probadas, como certificados digitales y protocolos de registro de certificados como SCEP, EST y API seguras, permitirá escalar las operaciones de seguridad a medida que aumenten sus volúmenes.
Recientemente Microsoft y DigiCert anunciaron su colaboración para resolver el problema del mañana protegiendo los dispositivos conectados y sus redes en contra de nuevas amenazas de seguridad.