Com a popularização da Internet das Coisas (IoT), se discute cada vez mais a segurança dos dispositivos.
À medida que os equipamentos se tornam mais conectados e móveis, incorporar confiança nas transações e processos é uma parte essencial das operações da cadeia de suprimentos.
As cadeias de suprimentos atualmente cobrem centenas de estágios e dezenas de localizações geográficas, tornando muito difícil rastrear eventos ou investigar incidentes.
Além disso, a falta de transparência na cadeia de abastecimento torna extremamente difícil investigar e responsabilizar por quaisquer atividades ilegais que ocorram ao longo da cadeia, manchando a reputação e custando milhões para as empresas envolvidas.
Portanto, dispositivos eletrônicos e sensores habilitados para Internet, com comunicação frequente com servidores back-end para atualizações e outros recursos, são uma solução chave para o processo da cadeia de suprimentos. Eles também devem se autenticar com frequência em outros dispositivos. No entanto, nem todas as práticas recomendadas de segurança de IoT foram desenvolvidas da mesma maneira.
Conforme os casos de uso de Internet das Coisas se desenvolveram, a necessidade de integridade, segurança e criptografia do sistema tornou-se clara.
No Brasil, uma pesquisa da CNDL (Confederação Nacional de Dirigentes Lojistas) e SPC (Serviço de Proteção ao Crédito) em parceria com o Sebrae mostra que a cada dez consumidores vítimas de fraude, sete (o que representa mais ou menos 71%) já pararam de comprar em algum site por suspeitar de sua segurança.
O estudo também mostra que apenas 28% desses consumidores confiam nos sistemas de proteção contra fraudes das empresas e 62% acreditam que os fraudadores estão sempre um passo à frente das medidas de seguridade.
Hoje vemos diferentes níveis de expertise e execução nas empresas em termos de tecnologia e segurança. Por exemplo, muitas associações buscam proteger seu firmware e atualizar dispositivos apenas de Cas consolidadas. Outros podem estar menos preocupados (ou serem mais experientes) e se concentram mais nas diretrizes tradicionais de segurança cibernética corporativa. As práticas de comunicação e identidade criptografadas são amplamente adotadas, mas ainda não são onipresentes na IoT.
Questões envolvendo confiança podem se estender além do que você pensa
Cada vez mais, o principal problema para implantações de equipamento da Internet das Coisas é garantir a confiança em uma cadeia de suprimentos de um ecossistema complexo de fornecedores, componentes, software e serviço. Em um ambiente dinâmico, software e chips podem incorporar vários componentes que estão fora da visibilidade do fabricante principal ou mesmo de seu controle.
Por exemplo, em firmware, o código Open Source é cada vez mais utilizado por suas vantagens de implementação e rápido tempo de lançamento no mercado. No entanto, ele também pode apresentar elementos desconhecidos, como classes diferentes de âncoras de confiança (certificados) ou componentes de autenticação.
Em alguns casos, a manufatura de sistemas de montagem de fabricação no mercado cinza (ou fora do horário) pode entrar nos processos de fabricação devido às variáveis de difícil controle na cadeia de suprimentos. Isso significa que o nível de confiança na própria instalação de fabricação pode ser desconhecido e muitos fabricantes podem não ter visibilidade sobre o que está acontecendo na fábrica ou durante as horas em que a fábrica deve (ou não necessariamente) ser usada.
Para implementar as melhores práticas de seguridade, os fabricantes precisam considerar quais componentes, dispositivos e software estão conectados à linha de fábrica e quem tem acesso. Os fabricantes também devem verificar a segurança que possuem para os processos de montagem, transporte, importação e exportação.
Um procedimento de controle de conformidade e cadeia de suprimentos é fundamental para garantir a fabricação e entrega do dispositivo.
Os problemas podem se estender além do que você pensa
Cada vez mais, o principal problema para implantações de IoT é garantir a confiança em uma cadeia de suprimentos de um ecossistema complexo de fornecedores, componentes, software e serviço. Em um ambiente de fábrica dinâmico, software e chips podem incorporar vários componentes que estão fora da visibilidade do fabricante principal ou mesmo de seu controle.
Por exemplo, em firmware, o código Open Source é cada vez mais utilizado por suas vantagens de implementação e rápido tempo de lançamento no mercado. No entanto, ele também pode apresentar elementos desconhecidos, como classes diferentes de âncoras de confiança (certificados) ou componentes de autenticação.
Em alguns casos, a manufatura de sistemas de montagem de fabricação no mercado cinza (ou fora do horário) pode entrar nos processos de fabricação devido às variáveis de difícil controle na cadeia de suprimentos. Isso significa que o nível de confiança na própria instalação de fabricação pode ser desconhecido e muitos fabricantes podem não ter visibilidade sobre o que está acontecendo na fábrica ou durante as horas em que a fábrica deve (ou não necessariamente) ser usada.
Para implementar as melhores práticas básicas de confiança, os fabricantes precisam considerar quais componentes, dispositivos e software estão conectados à linha de fábrica e quem tem acesso.
Os fabricantes também devem verificar a segurança que possuem para os processos de montagem, transporte, importação e exportação. Um procedimento de controle de conformidade e cadeia de suprimentos é fundamental para garantir a fabricação e entrega do dispositivo.
Um bom planejamento pode evitar grandes problemas no futuro
O que os fabricantes podem fazer para avançar na implementação da seguridade em toda a cadeia de abastecimento? O primeiro passo é entender o que está acontecendo no software. Avalie seus processos para determinar quais tecnologias de código-fonte aberto você está incluindo – intencionalmente ou não. Considere também o software comercial em uso.
A consideração e o escrutínio devem ser usados para software, componentes e serviços compartilhados entre as linhas de produtos dentro de um fabricante. Ao examinar esses tipos de elementos, a confirmação de que eles passaram por revisões de código seguro e auditorias (conforme necessário) pode ajudá-los a ser implantados com segurança em uma rede.
Também é importante colocar um plano em prática bem antes da implantação do dispositivo e do uso pelos clientes. Se algo der errado com o firmware, qual é o seu plano para corrigir o problema? Se algo der errado com um serviço do qual seus dispositivos dependem, como você resolverá o problema? Se o seu dispositivo chegar ao fim da vida útil, ele pode ser usado para causar danos a outros componentes da rede mesmo se a licença for revogada? Desenvolva uma compreensão completa do que significa para a cadeia de abastecimento da sua organização ser comprometida e suas implicações em toda a empresa.
Com base nessas percepções, você pode pensar em como gerenciar e controlar o risco associado a um dispositivo implantado. O tempo é essencial, e o mais importante é que você desenvolva seu plano de remediação bem antes de implantar um dispositivo. Muitas vezes é mais difícil bolar um plano para resolver um problema depois que uma violação de segurança é descoberta. E, infelizmente, com muita frequência, vemos isso acontecendo.
Os certificados digitais podem ser uma parte importante de uma abordagem geral em camadas para a segurança da IoT. Eles podem ser usados para ajudar com autenticação forte, criptografia de dados em trânsito ou em repouso e garantir a integridade da execução e das atualizações do dispositivo.
Ao implantar a segurança com base em certificados, escolha uma plataforma que possa permitir uma abordagem holística para gerenciar os dispositivos E os certificados. Quando suas necessidades mudarem, você deve ser capaz de atualizar e implantar rapidamente seus certificados de um local central, em todo o ambiente – e até os dispositivos.
É claro que a IoT continuará a transformar a indústria, serviços públicos, residências e muitos outros campos. Ao tornar a confiança e a identidade uma parte essencial de sua estratégia de Internet das Coisas, você pode garantir que sua implantação forneça os resultados de negócios que você espera – enquanto minimiza o risco em toda a organização.
Por Dean Coclin, diretor sênior de desenvolvimento de negócios da DigiCert
