Gradiant aposta pola seguridade IoT dende o deseño para crear un ciberespazo mellor protexido
martes, 22 de novembro do 2016
- Incidencia dos ciberataques masivos levados a cabo en Estados Unidos o pasado mes de outubro
O
Centro
Tecnolóxico Gradiant vén facer un repaso polos principais riscos
potenciais de ciberseguridade aos que nos enfrontamos e nos
enfrontaremos a curto e medio prazo, riscos que, sinala, van máis
alá de simples incidencias ou problemas de doada solución. Segundo
fai saber o centro, nun escenario con milleiros e máis milleiros de
dispositivos conectados, “moitos dos cales realizan funcións
críticas ou extremadamente importantes para as vidas dos cidadáns”,
un ataque masivo coordinado “podería ter consecuencias
catastróficas”. Neste senso, Gradiant lembra que na actualidade
existe unha cantidade importante de analistas que vinculan os ataques
a dispositivos IoT (Internet das Cousas) con “terríbeis
consecuencias potenciais no mundo físico”. Tendo en conta estes
perigos e co gallo de achegar tecnoloxías que contribúan a un
ciberespazo mellor protexido á par que máis accesíbel e universal,
Gradiant estase a converter no gran referente tecnolóxico estatal en
materia de seguridade: unha fonte inesgotábel de recursos avanzados.
Cousas
como a adquisición recente da tecnoloxía SHADOW por parte de
ElevenPaths (Telefónica) non fan máis que referendar o devandito.
Para
expoñer nos seus detalles este escenario de risco potencial, o
centro tecnolóxico galego lembra casos como os recentes ataques de
denegación de servizo (DDoS) a gran escala que se produciron o
pasado mes de outubro: por unha banda o dirixido á páxina do
investigador Brian Krebs e, despois, varias
ondas de ataques a DYM, que provocaron o “enorme apagamento” de
servizos tan populares como Twitter, PayPal, Etsy, Github, Spotify,
Shopify, Netflix e incluso PlayStation Network. Estes ataques,
que foron obxecto xa de varias investigacións e análises por parte
de expertos convocados polo Congreso dos Estados Unidos, serviron
entre outras cousas para lembrar ás administracións, ás empresas e
aos usuarios TIC en xeral que xa non está en xogo unicamente a
seguridade da nosa identidade ou de certos datos persoais, en
palabras de Gradiant “están en xogo todos os datos de consumo e
comportamento”.
Amais
de todo o mencionado, o centro galego fai fincapé nunha realidade
actual incontestábel: arestora as medidas de seguridade de
fabricantes, integradores e usuarios “reveláronse insuficientes,
cando non escasamente axeitadas en moitos casos”. Para Gradiant, as
causas “son múltiples”, e debidas principalmente a varios
factores: por unha banda para os fabricantes o ciclo de deseño,
produción e avaliación dun produto é cada vez máis breve, o que
en moitas ocasións ocasionou problemas de calidade e seguridade;
pola outra, “existe unha grave carencia de especialistas
correctamente formados en seguridade para redes e dispositivos IoT,
tecnoloxías que se enfrontan, ademais, a problemas de estándares e
compatibilidade que provocan que medidas de seguridade aplicábeis a
uns aparellos non sirvan para outros”.
Para
Gradiant, faise máis necesario ca nunca “apostar pola innovación
en IoT dende un punto de vista holístico, xa desde a fase de deseño
dun produto, servizo ou solución”. Cómpre, ademais, traballarmos
para garantir a seguridade dos dispositivos IoT. En palabras de Juan
González, responsábel de Seguridade e Privacidade de Gradiant, “no
desenvolvemento de dispositivos deben primar prácticas coñecidas
como Security by Design”. Ou sexa, os requisitos de
seguridade deben formar parte do desenvolvemento desde a fase de
deseño. Segundo engade, “neste apartado de traballo deberán
establecerse os controis de seguridade que permitan a prevención, a
detección, a resposta e, en caso de fallo, a mitigación das
consecuencias; por exemplo para evitar ataques de DDoS poderíase
limitar, desde o deseño, o ancho de banda máximo que pode chegar a
consumir un dispositivo”.
Intelixencia
para innovar a Seguridade IoT
O
centro galego tamén lembra que “é fundamental” adoptar boas
prácticas que permitan previr, detectar e responder de maneira
continua a potenciais ciberameazas. Este labor exhaustivo de
seguimento é aplicábel a múltiples exemplos de malware, por
exemplo a ameazas como o botnet Mirai, cuxo código (o código
preciso para levalo a cabo) ceibouse varias semanas antes. “É
necesario o desenvolvemento de ferramentas automatizadas que permitan
extraer datos das fontes axeitadas, como foros sobre hacking,
procesar eses datos e xerar intelixencia que permita detectar
ciberameazas”, engade o centro tecnolóxico, que explica que “para
desenvolver estas ferramentas será imprescindíbel incidir en
tecnoloxías clave, como as de análises de datos ou o Procesado de
Linguaxe Natural (PLN), o Machine Learning ou o Deep
Learning”.
Gradiant,
referente
Como
recordaremos, Gradiant está presente en foros e organismos de
influencia no ámbito da seguridade e a ciberseguridade a nivel
internacional, como ECSO (European Cyber Security Organisation) en
calidade de membro fundador; ou RENIC (Rede de Excelencia Nacional de
Innovación en Ciber Seguridade).
O
percorrido do centro tecnolóxico galego en seguridade está avalado
por poñer o desenvolvemento dun gran número de solucións seguras,
aplicando os principios de Security & Privacy by Design.
Solucións como as baseadas no procesado de datos en dominio cifrado
(que permiten realizar análise mentres preservan a privacidade e
identidade dos usuarios) que garanten o procesado de datos
confidenciais de maneira confiábel. Ou, tamén, solucións baseadas
en cifrado homomórfico e módulos de seguride hardware (HSMs), que
permiten realizar operacións na nube con datos cifrados.
Asemade,
Gradiant tamén aplicou a paradigma do IoT (Internet das Cousas)
seguro en escenarios reais, nos que a seguridade xoga un papel
decisivo. Nesta liña, desenvolve tecnoloxías biométricas baseadas
en recoñecemento facial, de sinatura ou de voz. Ademais, o centro
traballa en tecnoloxías embarcadas en drons e UAV para evitar, por
exemplo, o hackeo dos sinais GPS que guían os vehículos
autónomos ou tripulados de maneira remota. Por outra banda, Gradiant
tamén recorda que o procesado e a análise intelixente de vídeo que
desenvolve permiten “automatizar e simplificar o seguimento e
vixilancia en contornas complexas (por exemplo, vídeo vixilancia ou
vídeo capturado en tempo real por drons ou UAV).