El Internet de las cosas (IoT) es cada vez más esencial para ayudar al desarrollo y la mejora de los productos. Sin embargo, también puede aportar beneficios significativos a la industria manufacturera, agilizando los procesos y acelerando la producción.
En este artículo, analizamos algunos principios de seguridad clave, consideraciones importantes para la industria manufacturera de IoT.
1. ¿Por qué deberías invertir en seguridad para tu producto o ecosistema?
La fabricación es un sector en el que IoT desempeña un papel especialmente importante. IoT es progreso. IoT mira hacia el futuro, impulsando nuevos enfoques en cuanto a la arquitectura y construcción de las soluciones. También ayuda a impulsar la toma de decisiones operativas y estratégicas: como red de dispositivos físicos dotados de sensores que recopilan e intercambian datos, IoT ayuda a los fabricantes a optimizar productos y procesos, operaciones y rendimiento, reducir el tiempo de inactividad y permitir el mantenimiento predictivo.
Como resultado, IoT aporta nuevos flujos y modelos de negocio que permiten a los fabricantes seguir siendo competitivos.
Por lo tanto, los dispositivos no pueden fabricarse sin más y salir al mercado sin la seguridad adecuada. Cada dispositivo representa un punto de entrada para el ataque de posibles piratas informáticos. La "seguridad por diseño" es primordial, comienza en el punto de fabricación, lo que permite a las organizaciones proporcionar actualizaciones de seguridad críticas de forma remota, automática y desde una posición de control.
Algunos de los mayores retos de ciberseguridad para el sector de la fabricación son;
- Ingeniería social
- Intrusión en el sistema
- Ataques a aplicaciones web básicas
Las razones detrás de estos ataques están en gran parte relacionadas con el dinero, sin embargo, el espionaje industrial es también un factor importante.
Cualquier organización de la industria manufacturera, incluidas las redes de suministro que sirven al sector, es vulnerable a los ciberataques.
2. Seguridad de los datos y cadenas de confianza
Más inteligente no significa seguro. IoT necesita una cadena de confianza continua que proporcione niveles adecuados de seguridad sin limitar la capacidad de comunicar datos e información. IoT y los dispositivos y aplicaciones que impulsa dan lugar a una cantidad colosal y continua de datos en constante cambio que se generan como resultado.
Los datos fluyen desde las máquinas y la fábrica, a los dispositivos, a la nube, y posteriormente se producen intercambios de información entre todas las partes interesadas de una cadena de suministro. Cada dispositivo requiere una identidad y la capacidad de transportar datos de forma autónoma a través de una red. Permitir que los dispositivos se conecten a Internet los expone a una serie de riesgos importantes si no se protegen adecuadamente.
Independientemente del hecho de que las cadenas de suministro de fabricación proporcionan a los atacantes numerosas formas de comprometer un dispositivo, la seguridad se añade con frecuencia como una característica en lugar de considerarse un componente vital construido al principio del ciclo de vida de un producto.
La seguridad de IoT es una necesidad para proteger los dispositivos y los datos subsiguientes de verse comprometidos.
3. Cómo pueden las organizaciones crear con éxito productos conectados seguros y protegidos
El pensamiento de "seguridad desde el diseño" ofrece a las organizaciones un rendimiento mucho mayor de sus inversiones, ya que los cambios son mucho más fáciles y rentables de realizar al principio del ciclo de vida del producto, sobre todo porque las funciones de seguridad y privacidad adecuadas rara vez se añaden de forma improvisada.
El "cómo" de este enfoque es mucho más variable y suele basarse en la organización y el entorno operativo. En primer lugar, hay que pensar como un malhechor e identificar los objetivos principales del sistema. A partir de ahí, hay que evaluar la probabilidad y la magnitud de una brecha en esa área de activos y, finalmente, se puede pasar a una evaluación de la tecnología para mitigar el riesgo.
Una de las principales conclusiones es que la seguridad nunca será responsabilidad de una sola persona, ya que nadie comprenderá realmente el alcance total del entorno. Es un juego de equipo y debe jugarse como tal para tener éxito.
El siguiente punto táctico que nos gustaría abordar para lograr la seguridad en sus productos es, como decimos aquí, "subirse a hombros de gigantes". Con esto queremos decir que utilices las herramientas y la información que ya existen y que ya sabes que funcionan.
Los principios y las mejores prácticas de la seguridad de la información han madurado con los años. No debemos ignorar el éxito que hemos tenido hasta la fecha en Internet y reconocer que los principios y las mejores prácticas de la seguridad de la información han madurado.
No se trata solo de las "cosas". Aunque se hable mucho de las "cosas" en la solución, estas son solo un componente del ecosistema y seguiremos teniendo usuarios, servicios y organizaciones que serán actores centrales y esenciales.
Ya existen soluciones de eficacia probada. Aunque es innegable que los dispositivos aportan nuevas consideraciones, existen soluciones y normas que han tenido éxito y pueden aplicarse en entornos de dispositivos que permiten garantizar una identidad distribuida y de confianza. Y estas soluciones tienen la ventaja de haber sido probadas y mejoradas en la actual Internet.
A modo de recapitulación, algunos de los conceptos básicos de seguridad de la información de los que hablaremos para incorporar a su producto IoT incluyen la autenticación, en el sentido de autenticar dispositivos para servicios en la nube, entre usuarios y dispositivos y de cosa a cosa. A continuación está el cifrado, que garantiza la privacidad y el secreto de las comunicaciones entre dos entidades. También es primordial abordar la integridad de los datos y las comunicaciones, de modo que se pueda confiar en que los mensajes no han sido alterados en tránsito.
4. ¿Cómo aborda estas preocupaciones un arquitecto o desarrollador de productos IoT?
Una de las soluciones tecnológicas probadas que tenemos hoy en día para la identidad de dispositivos es la infraestructura de clave pública (PKI). Además de su aplicación en una variedad de protocolos y estándares como TLS, PKI es realmente una navaja suiza de InfoSec y permite activar toda una serie de principios de seguridad de la información, incluidos los tres que acabamos de mencionar.
La PKI es perfecta para mejorar la garantía en torno a la integridad y unicidad de la identidad de los dispositivos. Esto se debe a los criptoprocesadores centrados en la seguridad, como los TPM, que proporcionan una sólida protección basada en hardware de las claves privadas del dispositivo frente a compromisos y exportaciones no autorizadas. Pero también la PKI puede reducir la amenaza de sobreproducción o falsificación con mecanismos que permiten un historial y un seguimiento auditables.
Existen tecnologías y soluciones que permiten limitar la confianza depositada en el entorno de fabricación, al tiempo que se crean productos fiables y se reducen los riesgos de sobreproducción. El enfoque que cubrimos combina hardware TPM con técnicas de inscripción PKI durante el proceso de construcción de dispositivos y plataformas.
Aprovechar estas tecnologías puede ayudarte a llegar a una situación de producto construido en la que tengas garantías sobre la integridad de la protección del hardware, garantías de que las credenciales que se emite al dispositivo están protegidas por el hardware y de que el proceso de inscripción ha verificado estos componentes y supuestos antes de la emisión de una identidad de una jerarquía de confianza.
5. Consideraciones de arquitectura generalizadas
Si podemos imaginar dispositivos procediendo a través de una línea de fabricación, en algún momento, normalmente en la etapa final del proceso de construcción donde los dispositivos entran en una etapa de configuración e inicialización. En esta etapa, es donde prescribimos que se produzca el aprovisionamiento de la identidad del dispositivo. Un sistema de aprovisionamiento en la línea de fabricación interactúa con el dispositivo, potencialmente a través de sondas o conexiones de red, y facilitará al dispositivo la creación de claves, la extracción de un número de identificación del dispositivo y el envío de una solicitud de emisión de identidad a IoT Edge Enroll de GlobalSign.
Iot Edge Enroll emitirá una credencial y la instalará de nuevo en el dispositivo. Después de esta etapa, dispondrá de un dispositivo aprovisionado con una credencial de identidad procedente de un proceso de emisión de confianza, protegido de cualquier riesgo mediante un hardware seguro. La credencial puede utilizarse en la fase operativa del ciclo de vida del dispositivo para la autenticación y otras necesidades de seguridad.
Estas tecnologías tienen una gama de aplicaciones y casos de uso agnósticos verticalmente. Sin embargo, hay algunas que son especialmente adecuadas para la aplicación de PKI e IoT para una identidad sólida de los dispositivos.
Entre ellas se incluyen:
- Dispositivos de red o servidor para la concesión de licencias de funciones.
- Identidad de dispositivos para electrodomésticos con el fin de autenticar y cifrar las comunicaciones proporcionando privacidad.
- Equipos de diagnóstico conectados que ejecutan servidores integrados que necesitan proporcionar una conexión SSL de confianza para los administradores.
- Casos de uso de autos conectados que aprovechan la identidad fuerte del dispositivo para comunicaciones seguras, así como para actualizaciones de firmware fiables y seguras.
6. Ventajas de aprovechar la nube para tu identidad
Muchos de estos conceptos resultan familiares a los consumidores de soluciones SaaS y, en algunos casos, son conceptos relativamente nuevos para los proveedores de tecnología operativa que pueden no tener una experiencia tan amplia o profunda en el consumo de servicios en la nube en sus soluciones.
En primer lugar, al mirar hacia la nube, realmente permite simplificar los requisitos y costos de infraestructura para la instalación y configuración de hardware in situ, así como la capacidad de poner en línea centros de fabricación adicionales con un costo incremental marginal. A esto hay que añadir la elasticidad que ofrecen los modelos SaaS, que permiten a los fabricantes de equipos originales (OEM) vincular mejor los gastos y los ingresos en gastos operativos, así como la capacidad de ampliar el sistema de forma dinámica para satisfacer las necesidades de crecimiento de la empresa. Y, por último, está la funcionalidad añadida que una plataforma puede proporcionar para la auditabilidad, el control de acceso y la elaboración de informes, que a menudo son más difíciles de mantener en un despliegue local multisitio. La combinación de API ligeras de servicios en la nube con modernas soluciones de hardware de conmutación por error de la red permite mitigar los riesgos de inactividad de la fabricación debidos a la conectividad de la red.
7. Consideraciones continuas para la seguridad de la IoT
Al igual que con cualquier evaluación de la IoT, el número de dispositivos, usuarios y sistemas que operan en cada ecosistema se está magnificando y es imperativo comprender el impacto. Con el número de dispositivos IoT desplegados creciendo a un ritmo exponencial, la cuestión de la seguridad debe abordarse a nivel de fabricación. En muchos casos anteriores, los proveedores de productos abordaban los problemas de seguridad ad hoc a medida que los encontraban, recurrían a una empresa de seguridad externa o simplemente confiaban en las medidas de seguridad internas del cliente final.
En consecuencia, los modelos de confianza están evolucionando. Existe una dimensión temporal de las soluciones en la que hay que tener en cuenta los productos y dispositivos desde su construcción, aprovisionamiento y funcionamiento, hasta su puesta a punto.
¿Cuál es la respuesta para habilitar una identidad y seguridad sólidas en tu solución IoT?
Considera la seguridad a lo largo de todo el ciclo de vida del producto, empezando lo antes posible.
Cuando trabajes con proveedores externos de servicios y soluciones, asegúrate de que son capaces de mantener la integridad de los servicios.
Busca y aprovecha las soluciones probadas existentes siempre que sea posible, especialmente en lo que respecta a la seguridad, en lugar de normas y enfoques novedosos o patentados.
Reconoce que la diversidad de estos ecosistemas es enorme y que cada uno tendrá sus propias necesidades clave, por lo que aprovechar soluciones que sean flexibles también es clave.
GlobalSign cuenta con una amplia experiencia en la comprensión de las consideraciones de seguridad del IoT y ha proporcionado una plataforma PKI flexible, escalable y diseñada específicamente para satisfacer las necesidades del IoT. En primer lugar, la escalabilidad para dar cabida a un número considerable de identidades y puntos finales en cada ecosistema de cliente, junto con los requisitos operativos dinámicos y rápidos. Además, permitimos la compatibilidad con las complejidades y matices de la variedad de entornos de dispositivos, así como la posibilidad de variaciones en los modelos de uso y ciclo de vida.
GlobalSign también es capaz de proporcionar la gama de soluciones mencionadas anteriormente en modelos de implementación personalizables y centrados en la empresa para permitir el éxito de la solución.
