En el Informe de seguridad de IoT 2022, los expertos en TI piden una lista de materiales (SBOM) para el software del dispositivo: los controles industriales, la producción y el hogar inteligente a menudo están "insuficientemente" protegidos contra los piratas informáticos. Los expertos exigen pruebas de todos los componentes de software utilizados.
El champú, las galletas, la sopa enlatada y los medicamentos tienen una cosa en común: la lista de todos los ingredientes en el paquete y su trazabilidad desde el fabricante hasta el productor del ingrediente individual. Importantes controles industriales inteligentes, sistemas de producción inteligentes y dispositivos como enrutadores, cámaras de red, impresoras y muchos otros traen su firmware con el sistema operativo y las aplicaciones directamente, sin pruebas precisas de los componentes de software que contienen. Esto a menudo significa inmensos riesgos de ataques por parte de piratas informáticos y ladrones de datos en empresas que utilizan estos controles y dispositivos.
¿Qué hay dentro de los enrutadores, redes y compañía?
Como parte del estudio "IoT Security Report 2022", el 75 por ciento de los 318 especialistas y gerentes de la industria de TI encuestados están a favor de la verificación precisa de todos los componentes de software, la llamada "Lista de materiales de software" (SBOM) para todos los componentes, incluido todo el software incluido de un punto final. “Como parte de nuestras investigaciones durante los últimos años, prácticamente todos los dispositivos conectados a una red tienen defectos ocultos en el firmware y las aplicaciones, en mayor o menor medida, por lo que una descripción precisa de los componentes del software es extremadamente importante para una TI de la empresa para verificar y mantener el nivel de seguridad”, dice Jan Wendenburg, CEO de ONEKEY (antes IoT Inspector). La empresa ha desarrollado un análisis de cumplimiento y seguridad completamente automático para el software de controles, sistemas de producción y dispositivos inteligentes y lo pone a disposición como una plataforma fácil de integrar para empresas y fabricantes de hardware.
Los fabricantes descuidan la seguridad
Por lo tanto, no hay mucha confianza en la protección de los dispositivos IoT por parte de los fabricantes: el 24 por ciento de las 318 personas encuestadas la considera "insuficiente", otro 54 por ciento como mucho "parcialmente suficiente". Por lo tanto, los piratas informáticos han estado vigilando los dispositivos vulnerables durante mucho tiempo, y la tendencia va en aumento. El 63 por ciento de los expertos en TI confirman que los piratas informáticos ya están utilizando dispositivos IoT como puerta de entrada a las redes. En las empresas en particular, la confianza en las medidas de seguridad relacionadas con IoT es baja: solo una cuarta parte de los 318 encuestados ven la seguridad completa garantizada por su propio departamento de TI, mientras que el 49 por ciento la ve solo como "parcialmente suficiente". Y el 37 por ciento de los profesionales de TI encuestados para el Informe de seguridad de IoT de 2022 ya han tenido incidentes relacionados con la seguridad con puntos finales que no son clientes de PC normales.
La fabricación conectada aumenta los riesgos
“El riesgo aumenta aún más a medida que la producción en red continúa expandiéndose. En general, se puede esperar que la cantidad de dispositivos en red se duplique en unos pocos años”, dice Jan Wendenburg de ONEKEY. Además de la plataforma de análisis automático para verificar el firmware del dispositivo, la compañía también opera su propio laboratorio de prueba, en el que se prueba el hardware de los principales fabricantes y se publican regularmente informes de vulnerabilidad, los llamados avisos.
Responsabilidades poco claras en las empresas
Otro riesgo: el control industrial, los sistemas de producción y otros puntos finales de infraestructura inteligente suelen estar en uso durante más de diez años. Sin estrategias de cumplimiento, sin embargo, generalmente no hay lineamientos de actualización en la empresa. Además, a menudo hay una situación muy poco clara con respecto a la responsabilidad: entre los 318 representantes de empresas encuestados, una gran variedad de personas y departamentos son responsables de la seguridad de IoT. El espectro va desde CTO (16 por ciento) a CIO (21 por ciento) a Gerente de Riesgo y Cumplimiento (22 por ciento) a Gerente de Compras de TI (26 por ciento). En el 21 por ciento de las empresas, los consultores externos incluso asumen la compra de dispositivos y sistemas IoT.
Por otro lado, solo el 23 por ciento lleva a cabo la verificación de seguridad más simple: un análisis y prueba del firmware incluido en busca de brechas de seguridad. "Eso es negligente. Un examen del software del dispositivo lleva unos minutos, el resultado proporciona información clara sobre los riesgos y su clasificación en niveles de riesgo. Este proceso debe ser parte del programa obligatorio antes y durante el uso de puntos finales, desde el enrutador hasta la máquina de producción”, resume Jan Wendenburg de ONEKEY.
Más en Onekey.com[UNA LLAVE]