Novo relatório do Ponemon Institute revela a IoT como o driver que mais cresce para a infraestrutura de chaves públicas, mas a falta de práticas de segurança as deixa despreparadas
Atualmente a IoT – Internet og Things (Internet das Coisas, em tradução livre para o português) é uma das tendências tecnológicas de crescimento mais rápido, mas as empresas estão ficando vulneráveis a ataques cibernéticos perigosos ao não priorizar a segurança da Infraestrutura de Chaves Públicas (ICP), de acordo com uma nova pesquisa da nCipher Security, uma empresa da Entrust Datacard, que também traz dados do cenário brasileiro.
O Estudo Global das Tendências de ICP e IoT 2019, realizado pela empresa de pesquisa Ponemon Institute e patrocinado pela nCipher Security, baseia-se no feedback de mais de 1.800 profissionais de segurança da informação em 14 países/regiões. O estudo constatou que a IoT é a tendência de crescimento mais rápido impulsionando a adoção de aplicações ICP, com um crescimento de 20% nos últimos cinco anos.
Os entrevistados citaram preocupações relacionadas a diversas ameaças à segurança da IoT, incluindo alterar a função de dispositivos da IoT por meio de malware ou outros ataques (68%) e a retirada do controle de dispositivos por um usuário não autorizado (54%). Entretanto, os entrevistados classificaram o fornecimento de patches e atualizações para dispositivos de IoT, o recurso que protege contra as principais ameaça, por último em uma lista dos cinco recursos de segurança de IoT mais importantes.
O estudo também descobriu que, nos próximos dois anos, uma média de 42% dos dispositivos IoT dependerá principalmente de certificados digitais para identificação e autenticação. Mas a encriptação para dispositivos IoT e para plataformas e repositórios de dados IoT, só representam de 28% a 25%, respectivamente, de acordo com o Estudo Global de Tendências de Encriptação 2019 da nCipher.
“A escala da vulnerabilidade de IoT é impressionante – a IDC divulgou recentemente que haverá 41,6 bilhões de dispositivos IoT conectados até 2025, gerando 79,4 zettabytes de dados”, disse John Grimm, diretor sênior de estratégia e desenvolvimento de negócios da nCipher Security. “Não há sentido em coletar e analisar dados gerados pela IoT e tomar decisões de negócios com base neles, se não pudermos confiar na segurança dos dispositivos ou dos seus dados. Construir confiança começa pela priorização de práticas de segurança que combatam as principais ameaças à IoT e a garantia de autenticidade e integridade em todo o ecossistema da IoT”.
A ICP desempenha um papel estratégico, mas as organizações estão se deixando vulneráveis e despreparadas
A ICP está no centro da infraestrutura de TI de muitas organizações, garantindo a segurança de iniciativas digitais críticas, como nuvem, implementação de dispositivos móveis e IoT.
A maioria dos entrevistados usa a ICP intensivamente em suas organizações para certificados SSL/ TLS (79%), redes privadas e VPNs (69%) e aplicativos e serviços baseados em nuvem pública (55%). Ainda que mais da metade (56%) acredite que a que a ICP é incapaz de suportar novos aplicativos. Além disso, muitos entrevistados veem barreiras técnicas e organizacionais para o uso da ICP, incluindo a incapacidade de alterar aplicações legadas (46%), habilidades insuficientes (45%) e recursos (38%).
As melhores práticas de segurança da ICP corporativa têm um pouco de tudo
Quase um terço (30%) das organizações, uma parcela especialmente dissonante, considerando as implicações, não está usando nenhuma técnica de revogação de certificado. Mais de dois terços (68%) citam “nenhuma propriedade clara” como seus principais desafios de ICP.
Por outro lado, algumas empresas estão aplicando mais rigor à segurança da ICP em algumas áreas. A parcela de entrevistados usando “somente senha” para administradores da Autoridade Certificadora caiu 6% a partir de 2018 para 24% este ano. E 42% dos entrevistados disseram que estão usando módulos de segurança de hardware (HSMs) para gerenciar chaves privadas.
As demais conclusões do relatório incluem:
- O uso do HSM como base de confiança de IoT aumentou significativamente ao longo de 2018 (de 10% para 22%).
- Apesar do número crescente de opções para adoção da ICP (nuvem, gerenciada e hospedada), as ACs (Autoridades Certificadoras) corporativas internas permanecem as mais populares e cresceram 19% ao longo dos últimos cinco anos, para 63% – com 80% das empresas de serviços financeiros dando preferência a esta opção.
- Quarenta e quatro por cento dos entrevistados acreditam que a adoção da ICP para dispositivos IoT consistirá em uma combinação de implementações baseadas na nuvem e baseadas na empresa.
- Os recursos da ICP mais importantes para IoT em 2019 são escalabilidade para milhões de certificados (46%) e revogação de certificados online (37%).
“O uso da ICP está evoluindo à medida que as empresas lidam com a transformação digital em seus negócios. Além da IoT, mais de 40% dos entrevistados também citaram a nuvem e as iniciativas móveis como impulsionadores do uso da ICP”, disse Dr. Larry Ponemon, diretor executivo e fundador do Ponemon Institute. “Claramente, o rápido crescimento da IoT está tendo um enorme impacto no uso da ICP, à medida que as organizações percebem que a ICP fornece tecnologia de autenticação essencial para dispositivos conectados. Para que as empresas aproveitem ao máximo suas iniciativas digitais, devem continuar a melhorar a maturidade de segurança de suas ICPs”
IoT e ICP no Brasil
Principais ameaças à IoT
- 66% afirmam alterar a função do dispositivo
- 58% dizem controlar o dispositivo remotamente
- 40% dizem usar o dispositivo como um ponto de entrada na rede
As três principais tendências mais importantes que impulsionam a implantação de aplicativos usando ICP
- 58% dizem que o consumidor móvel
- 47% dizem serviços baseados em nuvem
- 36% dizem IoT
Os três principais desafios para permitir que os aplicativos usem ICPs
- 55% declaram não haver PKI pré-existente
- 51% dizem que a PKI existente é incapaz de suportar novas aplicações
- 46% afirmam recursos insuficientes
A lista dos 5 mais importantes recursos de segurança da IoT HOJE
- Monitorando o comportamento do dispositivo
- Entrega de patches e atualizações
- Autenticação do dispositivo
- Descoberta de dispositivos
- Proteção da confidencialidade e integridade dos dados coletados do dispositivo
Os 5 principais recursos de segurança da Internet das coisas PRÓXIMOS 12 MESES
- Entrega de patches e atualizações no dispositivo
- Autenticação do dispositivo
- Proteção da confidencialidade e integridade dos dados coletados do dispositivo
- Monitorando o comportamento do dispositivo
- Descoberta de dispositivos
- O Brasil favorece os serviços públicos de CA (42%) mais do que qualquer outra região, exceto Alemanha e a uma taxa 11% superior à média global de 31%
- O Brasil opera sem revogação de certificado mais do que qualquer outra região
- O país coloca a maior importância de qualquer região global na escalabilidade quando avaliar recursos importantes de ICP para implantações de IoT
No Brasil, apenas 36% dos entrevistados apostam na IoT como principal estímulo para o desenvolvimento de aplicativos que utilizem a ICP. Apesar do percentual mais baixo, também por aqui, a Internet das Coisas aparece em terceiro na lista, precedida por Consumer Mobile (58%) e serviços baseados em nuvem (47%).
O que muda em relação ao cenário global é a percepção sobre os desafios para o desenvolvimento de novas soluções. Enquanto a maioria aponta a incapacidade da ICP receber novas aplicações, no Brasil, o principal obstáculo para 55% dos entrevistados é a inexistência de uma ICP capaz de suportar estes aplicativos. A lista de desafios para os profissionais de TI no Brasil se completa com a incapacidade da ICP suportar novas aplicações (51%) e a falta de recursos (46%).
Ainda assim, as empresas estão focando seus esforços no desenvolvimento de soluções baseadas em IoT, tanto que já identificam quais suas principais preocupações com segurança hoje e nos próximos doze meses. De acordo com a pesquisa, as principais preocupações com a segurança são o monitoramento dos equipamentos e a entrega de patches e atualizações; autenticação do equipamento; a descoberta do equipamento; a proteção da confidencialidade e integridade dos dados coletados nestes equipamentos; e o monitoramento do ambiente do equipamento
As preocupações e os desafios citados no Brasil não são muito diferentes dos apontados nos outros países, o que mostra que estamos todos no mesmo nível de maturidade. O principal desafio colocado aqui é como as ICPs vão se preparar para este novo ambiente, e quanto tempo isso vai levar.
Faça o download do novo Estudo Global de Tendências de ICP e IoT 2019
Para acessar o relatório em vídeo (inglês), acesse: https://youtu.be/M6dMfUzgDQU
Para informações em português, acesse: https://pt.ncipher.com/2019/pki-iot-trends-study