Los dispositivos no seguros de Internet de las cosas (IoT) «parecen piojos», dice Earl Perkins, vicepresidente de investigación del equipo de seguridad y privacidad de Gartner. Los culpables, dijo, son las personas en tecnología operativa (OT).
«La gente en el AT ha encontrado una [cheaper] cómo reemplazar los sistemas heredados para recopilar datos sobre el rendimiento de las máquinas industriales y sus entornos ”, dijo Perkins el lunes en la Cumbre Gartner sobre Seguridad y Gestión de Riesgos en Sydney.
«Todo el mundo cree que es una gran idea conectar las cosas. La gente de la industria está muy contenta con eso, porque son manos libres y dicen, bueno, puedo ejecutar mi red SCADA, ya sabes, una así. ellos controlan la red eléctrica, puedo hacerlo desde casa los fines de semana ”, dijo.
Hay un problema obvio con esto. ¿Qué sucede cuando alguien más entra por la puerta de la red?
«Creo que el término técnico para eso sería ‘un mal día'», dijo Perkins.
Uno debería esperar tal problema, pero ya había algunos problemas inesperados.
«Tienes universidades atacadas por ellos propias máquinas expendedorasDijo Perkins.
Anteriormente bromeé sobre el potencial de un SCADAgeddon, cuando todos los sistemas críticos de control industrial de una nación serían pirateados a la vez, o incluso cuando todos los electrodomésticos se estropearían como parte de un Refrigergeddon.
Ahora realmente sucede, aunque estos gabinetes maliciosos están llenos de chips de pollo y barras de chocolate.
«IoT hace que esto sea más probable, no menos probable, porque prolifera de una manera no administrada», dijo Perkins.
Pero volvamos a los piojos cibernéticos …
«La innovación está empezando a ir más allá de nuestra capacidad para gestionar la complejidad que crea … Es fantástico poder innovar de esta manera y recopilar datos como nunca antes lo habíamos hecho o incluso hacer un cambio como no lo hicimos. -Nunca antes. . Pero siempre hay una desventaja «, dijo Perkins a ZDNet.
“La desventaja es que creas una superficie tan compleja de dispositivos y relaciones, intercambios de datos entre dispositivos, entre aplicaciones, entre personas y todas esas cosas, que ahora impones los límites de lo que los seres humanos pueden hacer. para asegurarlos ”.
La situación no se ve favorecida por la falta de inversión en seguridad de IoT.
«Todavía no hay mucha seguridad de IoT», dijo Perkins en la conferencia, y Gartner predice que el mercado seguirá siendo pequeño durante los próximos años. «No importa cuánto resolvamos con los números, no pudimos encontrar mil millones de dólares para 2020».
Puede parecer mucho, pero Gartner también predice que para 2020 tendremos 20.400 millones de dispositivos IoT conectados. Cinco centavos por dispositivo no le brindan mucha seguridad.
«El producto más vendido en seguridad de IoT en la actualidad es el descubrimiento, la creación de perfiles y el seguimiento. Número uno. ¿Y lo más irónico de él? No se trata de seguridad. Se trata simplemente de encontrar cosas «, dijo Perkins.
«Después de 2020, nuestros números empezaron a hacer cosas realmente extrañas y empezaron a verse un poco mal».
Una diapositiva hacia el final de la presentación de Perkins enumeró algunas de las muchas cosas que debemos corregir sobre la seguridad de IoT.
A nivel de dispositivo: robo de identidad de dispositivo, piratería de dispositivo, falsificación de dispositivo, historial, manipulación, interrupción y daño físico. A nivel de plataforma: piratear la propia plataforma, espiar y manipular datos y sabotear tanto la automatización como los dispositivos. Y a nivel de proceso empresarial: problemas relacionados con la interrupción del negocio, despilfarro financiero, espionaje y fraude.
«No conseguiremos todo en la primera ronda. Aún aprenderemos a medida que avanzamos. La gente es así. Algo sale mal, lloramos por eso y luego vamos a arreglarlo. Luego algo más se rompe, lloramos por y lo arreglamos, no. «Vamos a tener que hacer esto con IoT ahora. La ventana se ha cerrado. Realmente esperábamos poder, pero se ha ido», dijo Perkins.
Hasta entonces, prepárate para Cyber Chocolatocalipsis impulsado por máquinas expendedoras.