IOT i protecció de dades

El terme internet de les coses, IdC (en anglès, Internet of Things, IoT) fa referència a la interconnexió de dispositius electrònics: electrodomèstics, llums, cotxes, dispositius industrials, dispositius mèdics, etc. Aquesta interconnexió incrementa la funcionalitat. El concepte d’smart home i smart city té l’IoT com un dels seus pilars. Les aplicacions són molt variades: controlar els dispositius d’una casa a través del mòbil, control del trànsit en temps real, etc.

S’estima que actualment hi ha sobre els 11.000 milions de dispositius IoT i que el 2025 seran uns 21.000 milions. S’espera que l’arribada del 5G sigui un revulsiu per l’IoT.

Limitacions i riscos

Si  bé  els  riscos  de  seguretat  són  una  constant  en  totes  les tecnologies, l’IoT té algunes limitacions a l’hora de gestionar-los:

• Dispositius petits i amb bateria que no poden consumir massa recursos en aspectes de seguretat.

• En gran part, dispositius sense sistema de monitorització i amb interacció limitada amb les persones. És difícil detectar canvis de comportament.

Els riscos són molt variats i depenen en gran mesura de l’aplicació concreta. Els classifiquem en dues grans categories:

• Disrupció o alteració del servei. El dispositiu no compleix amb la seva funció.

• Protecció de dades. Els dispositius recullen, processen i comuniquen informació personal.

L’OWASP dona una llista de vulnerabilitats comunes en l’IoT:

• Contrasenyes dèbils o fixades al programari.
• Serveis de xarxa vulnerables al dispositiu IoT.
• Vulnerabilitats als sistemes de control del dispositiu IoT.
• Manca d’un sistema per actualitzar el dispositiu.
• Emmagatzematge i transferència de dades insegura.
• Configuració per defecte insegura.

Cas : Mirai Botnet

Una xarxa de zombis (botnet) és una xarxa de dispositius que han estat atacats i que ara estan sota el control dels atacants. Els dispositius  IoT,  pel  fet  de  tenir  connexió  força  permanent a  la xarxa, en són objectius potencials. A banda, les limitacions mencionades anteriorment en dificulten la detecció.

El 2016 va aparèixer la xarxa Mirai, que controlava més de 100.000 routers domèstics (utilitzant contrasenyes per defecte) i que s’ha utilitzat per fer atacs a gran escala contra grans empreses d’internet. En anys posteriors la botnet s’ha diversificat, tant en la manera de prendre el control de nous dispositius com en la tipologia d’atacs (minar bitcoins, etc.). S’estima que actualment té diversos milions de dispositius sota control.

Recomanacions

Per les seves característiques, la tasca de mantenir la seguretat dels dispositius IoT correspon principalment al fabricant. Dit això, els consumidors també hi tenen el seu paper:

• Ser conscients de la necessitat de seguretat en els dispositius IoT i tenir-ho en compte a l’hora d’adquirir-los.
• Seguir les recomanacions del fabricant quant a manteniment i actualitzacions de programari.

A LleidaPro som consultors experts en protecció de dades. T’ajudem?

Font: Autoritat Catalana de Protecció de dades