GSMA IoT Security Guidelines and Self-Assessment. Cómo evitar ser la próxima noticia de hacking IoT

Published by José Rodríguez Pérez IoT General

Telefónica, a través del área de IoT y con la colaboración de ElevenPaths, está participando en el programa Connected Living de la GSMA, con el objetivo de impulsar nuestra estrategia en seguridad en IoT.

Los grandes retos de la Seguridad IoT

Los principales retos de seguridad IoT que nos encontramos y a los que intentamos dar respuesta son cuatro:

  1. Heterogeneidad. Hay multitud de dispositivos de muchísimos fabricantes, diferentes tipos de redes, múltiples protocolos de comunicación IoT, diversos mecanismos de autorización y autenticación y gran variedad de plataformas cloud. Por tanto, no existe un conjunto de medidas aplicables a todos los escenarios. Cada solución requiere un conjunto de medidas específicas.
  2. Recursos del dispositivo. En despliegues masivos de IoT, los dispositivos suelen ser especialmente limitados en recursos técnicos para no encarecer la solución. Es realmente complicado encontrar un equilibrio donde un dispositivo con capacidades avanzadas de seguridad no dispare el coste de fabricación.
  3. Identidad del dispositivo. Antes de gestionar un dispositivo es necesario asociarle una identidad que pueda emplearse para establecer un canal seguro de comunicación. Además, es necesario asegurar que no es posible suplantar la identidad del elemento en cuestión. Llevar a cabo una asignación correcta de la identidad desde la fase de diseño es clave para su seguridad.
  4. Operación del dispositivo. Es un desafío diseñar el modo de gestionar los dispositivos de un despliegue IoT. Esto requiere diseñar cómo es posible actualizar su software y evitar vulnerabilidades, modificar su configuración, enviar comandos, monitorizar su integridad y detectar si están comprometidos así como desactivarlos o borrar la información sensible.

Los operadores, como proveedores de conectividad, empleamos algunos de los activos de red para mejorar la seguridad de las soluciones IoT:

  • VPNs y APN privados permiten aislar los dispositivos de Internet y asegurar el canal de comunicación entre la terminación de la red y el hosting Plataforma de la IoT.
  • Monitorización de Comunicaciones con el objetivo detectar patrones sospechosos como destinos inesperados, volúmenes de datos de extraños, horarios de comunicación no programados o ubicaciones deseadas. Lo más importante es que estas métricas se pueden obtener sin ningún esfuerzo de integración para el proveedor de la solución.
  • Autenticación de red.  Esta técnica se utiliza con éxito en otros negocios como los pagos de facturación del operador y la autenticación en red y puede ser una buena alternativa cuando la autenticación mutua basada en certificado no es adecuada debido a las limitaciones de dispositivo.

Recomendaciones de seguridad IoT

Dentro del grupo de IoT Security and Connection Efficiency, a principios de este año en Telefónica colaboramos en la elaboración las guías  IoT Security Guidelines.

Estas guías de seguridad de la GSMA contienen buenas prácticas y recomendaciones en seguridad para Internet de las Cosas. Cada una está enfocada a una capa del stack tecnológico IoT. Para elaborar estas guías se ha contado con actores de todos los ámbitos del ecosistema IoT: compañías de servicios, operadoras, fabricantes de dispositivos, módulos de comunicación y procesadores. Estas cuatro guías son:

El primero es un documento introductorio, mientras que los otros tres se enfocan en cada una de los niveles del ecosistema IoT. Cada área tiene desafíos diferentes que hay que afrontar de manera específica, con el objetivo de garantizar su seguridad.

Procedimiento de self-assessment

A partir de estas recomendaciones, el grupo de trabajo liderado por Telefónica junto con Telit e Intel ha generado la guía de autoevaluación IoT Security Self Assessment que ha sido recientemente publicada.  El objetivo de este documento es proporcionar a los diferentes actores del ecosistema de IoT una lista de controles concretos que tener en cuenta a la hora de diseñar y evaluar la seguridad de una solución IoT.

La guía de autoevaluación IoT Security Self Assessment está estructurada en tres apartados principales que cubren la seguridad IoT extremo a extremo: procesos en la organización, plataformas de servicio y dispositivos.  Las preguntas de cada una de estas secciones están referenciadas a las recomendaciones contenidas en los diferentes documentos de las guías IoT Security Guidelines de la GSMA.  

Adicionalmente, se incluye un documento que explica el proceso mediante el cual las compañías interesadas pueden enviar su autoevaluación a la GSMA y compartirla de forma segura. Así demuestran que las medidas de seguridad que tienen implementadas para proteger sus productos y servicios contra riesgos de ciberseguridad son las adecuadas mejorando su reputación como proveedores de servicio IoT ante terceros.

POST IN ENGLISH

José Rodríguez Pérez
IoT security manager at Telefónica