ciberseguridad_iot

Cómo generamos confianza en la Internet de las Cosas

Compártelo:

“La era de la Internet de las Cosas” era el título de la presentación que realicé en el 2008 en una jornada sobre “Soluciones Logísticas: RFID – Retos y Tendencias”. Han pasado muchos años y lo que en aquellos tiempos sonaba casi a ciencia ficción es ya una realidad en muchos casos.

Aun así me sorprende ver que tantos años después seguimos hablando de los mismos temas que nos preocupaban en el comienzo de la Internet de las Cosas, teniendo en cuenta que tecnológicamente ha habido muchos avances. Aspectos ligados a arquitecturas de referencia, plataformas de interoperabilidad, identificación única de objetos, confianza, privacidad y seguridad siguen siendo objeto de discusión. 

Los objetos en la Internet of Things (IoT) deben tener la capacidad de comunicarse para intercambiar datos con otros objetos o sistemas, almacenarlos, procesarlos, tomar decisiones e incluso ejecutarlas.  Esto implica autonomía y distribución en la toma de decisiones que permite conceptualizar sistemas radicalmente diferentes. Que puedan comunicarse conlleva que los objetos se conecten entre sí llegando incluso hasta billones de dispositivos. Dada la amplia variedad de aplicaciones y servicios que podemos encontrarnos según las verticales de las que hablemos: Industria 4.0., Smart Cities, Smart Transport, Smart Logistics, etc, no puede ni debe haber una única solución de conectividad que trate de responder a todas ellas. Tendrá que existir una diversidad de soluciones de conectividad (bandas de frecuencia y tecnologías) cada una con sus ventajas y desventajas ajustándose a las necesidades de las diferentes aplicaciones.

Por otro lado, lograr un único mercado para la IoT implica ser capaces de manejar un gran número de dispositivos conectados, identificar de una forma segura cada uno de ellos para que se diferencien de otros dispositivos de la red, y puedan ser descubiertos para incorporarlos en los sistemas IoT. Esta identificación segura está ligada al fomento de la confianza en la IoT para acelerar la utilización de los dispositivos y servicios IoT.

¿Cómo construimos esa confianza?

La privacidad y la seguridad, una identificación y autenticación de confianza de usuarios y dispositivos, el cumplimiento de las reglas de protección de datos, la anonimización de los metadatos y una infraestructura segura son aspectos clave pero quizás no suficientes. Este es el motivo por el que en Europa también se está discutiendo el posible establecimiento de un “label” de confianza similar al utilizado en el ámbito de la energía.

Hay tres posturas enfrentadas: esperar y ver qué pasa, el diseño de un sistema de labelling en IoT, y esbozar algunos criterios de buenas prácticas en la seguridad IoT con la idea de que pueda convertirse en un estándar de excelencia. Los partidarios del “esperar y ver qué pasa” argumentan que la IoT debería evolucionar de la misma forma que Internet para no limitar las posibles innovaciones. A la vista de los actuales problemas de ciberseguridad, como el ataque DDOS a DYN en octubre desde millones de dispositivos conectados con su impacto en servicios ofrecidos por múltiples empresas, quizás sea mejor que pensemos en los aspectos de seguridad desde el propio diseño de los sistemas: safety & security by design.

¿Quién es responsable de garantizar la “safety” de un producto o servicio IoT? o, ¿a quién se le reclama la responsabilidad en caso de que la tecnología se comporte de un modo no seguro causando daño? Desafortunadamente, estas preguntas no tienen una respuesta clara todavía. Posiblemente se irán obteniendo a medida que la IoT vaya desarrollándose y viéndose su potencial. En cualquiera de los casos necesitaremos un mayor entendimiento de los aspectos novedosos que presenten los productos y servicios IoT. En el largo plazo, hablaremos sobre la necesidad de una respuesta legislativa y/o regulatoria. En el corto nos aseguraremos de que la respuesta que demos no limite las posibilidades que la tecnología pueda ofrecer.

En la IoT conectamos dispositivos, infraestructuras, plataformas, aplicaciones y servicios diversos en un entorno digital y de ahí la importancia de la estandarización en IoT.  Esta estandarización necesita de la consolidación de arquitecturas de referencia y de plataformas de interoperabilidad que faciliten el diseño, el desarrollo y eldespliegue de ecosistemas IoT.

Algunas de las arquitecturas de referencia: HLA definida por la AIOTI, a la definida por el ITU-T, ONEM2M, RAMI en Alemania, o a la del IIC. ¿Cuál será la más utilizada? Dependerá de muchos factores: sectoriales, nacionales, continentales (Europa, USA,…). Posiblemente no haya ninguna ganadora y por los esfuerzos de mapeo que se están realizando entre ellas, aunque algunas desaparezcan, muchas de ellas tendrán que coexistir en un mismo ecosistema.

Contamos con cientos de plataformas de interoperabilidad, tanto propietarias como abiertas. Por el número de consultas que recibimos de las empresas en cuanto a qué plataforma recomendaríamos observamos que este aspecto es clave y complejo.

Conocemos muchas de ellas. Algunas porque hemos participado en su desarrollo como es el caso de SOFIA y su evolución a SMOOL, o BETAAS. Otras debido a las solicitudes de empresas que hemos recibido para que valoremos algunos de sus componentes, como FI-WARE.

¿Cuál de ellas ganará? En realidad ninguna y muchas de ellas. A la hora de elegir debemos pensar en qué sector nos encontramos y qué requisitos tenemos. No es lo mismo una plataforma para la Industria 4.0 que para una Smart City.

Van a coexistir varias plataformas interoperando en un ecosistema IoT, por lo que debemos estar preparados desde un principio para garantizar esa interoperabilidad.

Sobre Ana Ayerbe Fernández-Cuesta

Dirige el Área de Negocio IT Competitiveness en TECNALIA en el que cuenta con un equipo de personas que ayudan a las empresas en sus procesos de desarrollo de Software desde el punto de vista de la Ciberseguridad, la utilización de Tecnologías Cloud, y la Ingeniería y Calidad de Software. Entusiasta de las nuevas tecnologías, como la Internet of Things, y las posibilidades que ofrecen y comprometida con garantizar la privacidad y la seguridad en su desarrollo y utilización.

Colabora habitualmente con la Comisión Europea y la ANEP como evaluadora de propuestas y revisora de proyectos, habiendo sido miembro del “Advisory Group on Secure Societies” en H2020. Es Ingeniera en Informática por la Universidad de Deusto y  MSc en “Robótica y Automatización” por la Escuela Técnica Superior de Ingenieros Industriales y de Telecomunicaciones de Bilbao.

4 Comentarios

  1. Muy necesaria la seguridad en el IOT. Interesado en saber si hay nuevos avances contra el DDOS.

    Por otra parte, el causante del problema no parece haber sido Dyn, sino la legión de cámaras IP y dispositivos conectados con un firmware vulnerable que son candidatos a ser lanzados contra cualquier servidor. También interesado en propuestas para mejorar la seguridad del firmware (¿no utilizar password de fábricante por defecto, otros medios de autentificación…?)

    Gracias,

    Reply
    • Hola Ivan,
      Te paso el link a un post que escribí la semana pasada precisamente sobre ese ataque: http://www.cyberssbytecnalia.com/content/cyberattacks-age-internet-things-iot
      En cuanto a lo que comentas de avances contra el DDOS, lo que te puedo comentar es que algunas empresas ofrecen un servicios de intermediación que consiste en ponerse delante de una página de eCommerce, por poner un ejemplo, de tal forma que el DNS e IP de esa página se dirige de forma transparente hacía el de esa empresa dejando llegar a la página de eCommerce sólo las solicitudes buenas. Las empresas que ofrecen estos servicios disponen de grandes bandos de ancha y al ofrecer esos servicios a muchas empresas, van teniendo históricos de IPs desde las que han llegado falsas solicitudes filtrándolas automáticamente.
      Desde el punto de vista tecnológico debemos seguir trabajando al menos en el “Safety & Security by design”.

      Reply

Dejar un comentario

* Campos obligatorios