La última década ha sido testigo de un desarrollo sin precedentes del panorama de Internet de las cosas (IoT), habilitado por las nuevas tecnologías de red distribuida. McKinsey estima que para 2025, el mundo tendrá 50 mil millones de dispositivos en red, un 400% más que en 2010, y contribuirá con US $ 11 billones (€ 10 billones) a las economías.
Si bien esta proliferación de dispositivos IoT en los últimos años ha creado oportunidades emocionantes para las empresas, los gobiernos y los consumidores individuales, ha creado nuevos riesgos que requieren mitigación. Con un desarrollo e implementación tan rápidos de las tecnologías de IoT, las amenazas y los ataques son una preocupación clara para los individuos y las organizaciones a nivel mundial.
Andrea Gaglione, experta en IoT y líder tecnológica en Brit Insurance, examina los riesgos potenciales de IoT y su colega, El suscriptor cibernético Ben Maidment identifica los pasos que los usuarios, desarrolladores y aseguradores pueden tomar para protegerse de estos.
Cuales son los riesgos?
Crucialmente, la comprensión de los riesgos y las posibles vulnerabilidades cibernéticas asociadas con IoT todavía está evolucionando, y para implementar medidas y soluciones de mitigación, estos riesgos potenciales deben ser identificados. Desafortunadamente, en muchos casos, cada vez es más claro que estos puntos débiles solo se identifican después de una violación o ataque cibernético.
La seguridad y las amenazas cibernéticas crecen exponencialmente de acuerdo con el tamaño de la "superficie de ataque" potencial y los puntos de entrada de la red, algo por lo que los sistemas IoT son particularmente susceptibles. Datos recientes muestran que 26,66 mil millones de dispositivos IoT estaban activos en 2019 y 127 nuevos dispositivos se conectan a Internet cada segundo.
A medida que esto aumenta, el desafío clave es la gestión y protección de todos los datos que los dispositivos IoT capturan, usan y transmiten, especialmente a la luz de las recientes violaciones de datos de alto perfil y las multas punitivas asociadas con la regulación GDPR (Reglas Generales de Protección de Datos) . Una preocupación principal, como con la mayoría de los riesgos cibernéticos, es la pérdida o el compromiso de los datos, especialmente los datos personales y de los clientes. Los ejemplos de dispositivos IoT que recopilan grandes cantidades de datos personales que pueden ser particularmente vulnerables incluyen dispositivos inteligentes que monitorean, recopilan y transmiten datos de salud.
- Interrupción comercial e interrupción
A medida que las cadenas de suministro y los procesos comerciales se vuelven más dependientes de los dispositivos en red para lograr una mayor eficiencia, las empresas corren un mayor riesgo de ataque. La interrupción significativa del negocio, a través de dispositivos que se desconectan por un hack puede resultar en una pérdida significativa de ingresos a corto plazo, así como también en la reputación y confianza a largo plazo.
Además de explotar la vulnerabilidad del dispositivo IoT para ingresar a una red, los malos actores también pueden utilizar una serie de dispositivos IoT no seguros para desviar datos y lanzar ataques de denegación de servicio distribuido (DDoS). En 2016, los malos actores comprometieron más de 25,000 grabadoras de video digital y cámaras de CCTV, desviando sus datos para lanzar un ataque DDoS que derribó los servidores de Dyn, un importante proveedor de DNS de EE. UU., que provocó cortes de Internet en EE. UU. y Europa, lo que provocó la caída de sitios web de alto perfil como Twitter, Netflix, GitHuby Reddit.
Finalmente, un riesgo emergente de IoT (y de hecho más cibernético) es el de ciberfísico, por el cual un ciberataque puede provocar daños físicos. Esto puede abarcar desde dispositivos médicos en red, como marcapasos, hasta autos sin conductor o procesos industriales costosos. Un pirateo malicioso de estos dispositivos, tomar el control de estas actividades podría conducir a un daño costoso y potencialmente físico o peligro para la vida. Por ejemplo, el año pasado el Administración de Drogas y Alimentos de los Estados Unidos emitió una alerta de advertencia de que algunas bombas de insulina son vulnerables a los piratas informáticos, que podrían acceder de forma remota y potencialmente cambiar la configuración de la bomba.
¿Cómo podemos mitigar el riesgo?
- Seguridad y privacidad por diseño
Hasta ahora, para los fabricantes de IoT se ha percibido un compromiso entre la velocidad de lanzamiento de un producto al mercado y la solidez y seguridad del sistema. Como hemos visto con la primera ola de IoT, la seguridad no se consideró un requisito prioritario, sin embargo, hemos visto un creciente enfoque en la privacidad después de las violaciones de datos de alto perfil y la nueva regulación de datos.
En nuestra opinión, la seguridad debe ser primordial en el diseño de nuevos dispositivos IoT, y se deben establecer medidas continuas para mantener y mejorar la seguridad de los dispositivos nuevos y existentes.
- Mejores prácticas de seguridad cibernética
Los usuarios mismos, ya sean individuos, empresas o el sector público tienen la responsabilidad de adoptar las mejores prácticas en lo que respecta a los peligros cibernéticos, y la conciencia y la educación son fundamentales. Las organizaciones necesitan equilibrar el deseo de conectividad y eficiencia que ofrecen las tecnologías de IoT, con los riesgos que crea dicha conectividad, particularmente dada la falta de énfasis en la seguridad en el desarrollo de dichos productos.
De la misma manera que gestionarían un sistema operativo tradicional, las personas deberían desempeñar un papel activo en la configuración de la política de la empresa en IoT y ser responsables y estar al día de las amenazas que enfrentan sus negocios. Muchas de estas medidas se han convertido en una segunda naturaleza en la TI tradicional, pero se están adoptando y considerando lentamente al considerar los dispositivos IoT.
Los pasos simples que los usuarios pueden tomar para reducir el riesgo (y limitar la responsabilidad en caso de un incidente cibernético) incluyen: usar contraseñas seguras y claves de seguridad, actualizadas regularmente; dispositivos y sistemas de monitoreo para detectar y responder a eventos de seguridad, y; Actualización continua de la seguridad de los dispositivos con la descarga de parches de software de los fabricantes.
¿Qué soluciones ofrece el seguro?
Las aseguradoras tienen un papel crucial en la mitigación de estos riesgos mediante la educación de las empresas para minimizar los riesgos y proporcionar asistencia financiera y de otro tipo en caso de que los dispositivos IoT se vean comprometidos y provoquen la interrupción del negocio, daños físicos o el robo de datos.
Las pólizas de seguro cibernético pueden cubrir los costos financieros y de reputación de terceros y terceros si se han robado, dañado o comprometido los datos o los sistemas. La cobertura de primera parte incluye el costo de investigar y recuperarse de un delito cibernético, desde la pérdida de ingresos incurrida por una interrupción del negocio, rehabilitación y gestión de la reputación hasta pagos de extorsión pagados a los piratas informáticos. La cobertura de terceros incluye daños y acuerdos, y el costo de defenderse legalmente contra multas resultantes de una violación.
Las mejores formas de seguro cibernético no son solo un producto, sino un servicio que ayuda a avanzar a las empresas en el camino hacia el cumplimiento y minimizar su exposición al riesgo. Un número cada vez mayor de aseguradoras, incluida Brit, ofrece una serie de servicios previos a incidentes cibernéticos como parte de sus políticas: los clientes pueden tener acceso a portales en línea que incluyen procedimientos y planes que pueden implementarse para reducir riesgos, material de planificación de respuesta a incidentes y verificación listas de preparación.
Los autores son Andrea Gaglione, líder tecnológico y Ben Maidment, suscriptor de la clase cibernética de Brit Insurance.
