DigiCert, Inc., proveedor de soluciones TLS/SSL y PKI, lanzó sus predicciones de seguridad para 2020. Estas se centraron en la transformación digital y se dividen en tres subcategorías: Internet de las cosas (IoT), cifrado y privacidad.
A continuación, varios expertos de DigiCert, incluidos Tim Hollebeek, estratega técnico de la industria, Mike Nelson, vicepresidente de IoT Security y Dean Coclin, director Senior de Desarrollo de Negocios de DigiCert, contribuyeron al pronóstico de predicciones de este año.
IoT y seguridad
Según los expertos mencionados anteriormente, las empresas pedirán garantías a sus fabricantes de dispositivos IoT acerca de la seguridad de los dispositivos. El rápido crecimiento de los dispositivos de conectividad, telesalud e IoT integrados en los pacientes conducirá a un fuerte impulso para una mejor seguridad en los dispositivos médicos.
Asimismo, más fabricantes aprenderán cómo la infraestructura de clave pública escalable (PKI) puede proteger los dispositivos IoT. La adopción de PKI aumentará para la autenticación, el cifrado y la integridad del dispositivo conectado. Después que el PKI informal decepcione a las empresas, recurrirán a los principales expertos / CA externos para que lo proporcionen.
“Los piratas informáticos continuarán encontrando vulnerabilidades en los dispositivos de IoT del consumidor. Ya que la seguridad no es lo más importante cuando se desarrollan estos dispositivos. En contraste, la seguridad industrial de IoT ha mejorado, especialmente para sistemas críticos como automotrices, SCADA y atención médica”, señaló Dean Coclin.
Regulación
Los dispositivos IoT se enfrentarán a un número creciente de regulaciones globales en 2020. Los consumidores ayudarán a impulsar esto exigiendo protecciones de seguridad más estrictas. Como, por ejemplo, el etiquetado de dispositivos, algo que ya se requiere en el Reino Unido. En un esfuerzo por evitar la regulación gubernamental, las industrias se unirán en muchos mercados, incluidos Alemania, Reino Unido, Corea del Sur, Japón y EE. UU. Para desarrollar estándares que aseguren a los dispositivos IoT dentro de su industria.
Actualmente, mercados como Japón, Reino Unido y Estados Unidos están avanzando en la regulación de IoT.
Escalabilidad y seguridad basada en certificados
Muchas de las empresas que intentan ejecutar su propia PKI o pequeñas CA (Autoridad certificadora) privadas, que admiten implementaciones globales de IoT se encontrarán con problemas de escalabilidad. Esto hará que los fabricantes recurran a CA públicas probadas en un intento de resolver el desafío. Las CA públicas responderán creando o adquiriendo soluciones IoT más sólidas o de confianza privada para satisfacer la creciente demanda de seguridad de IoT.
En cuanto a los certificados de Seguridad de la capa de transporte (TLS), los períodos de validez más cortos significan que las organizaciones comenzarán a adoptar la automatización para facilitar la administración de certificados.
“Los consumidores tendrán que aumentar su conciencia de seguridad. A medida que los actores de amenazas aprovechen los certificados TLS validados por dominio gratuitos para mostrar el candado en sus sitios web. Ya no es suficiente ‘buscar la cerradura’, uno debe mirar ‘más allá de la cerradura’”, sostuvo Dean Coclin.
Cifrado
La computación cuántica, que utiliza bits cuánticos (o qubits) frente a los bits utilizados por las computadoras tradicionales, puede completar cálculos complejos simultáneamente en lugar de secuencialmente, acelerando los resultados. Las ciencias médicas, la física de partículas y el aprendizaje automático se encuentran entre las posibles aplicaciones. Esa potencia informática avanzada podría resultar irresistible para los ciberdelincuentes. Una encuesta de los responsables de la toma de decisiones de TI encontró que 55% considera que la computación cuántica es una amenaza hoy en día. 71% cree que será una en el futuro. Mientras que, 15% cree que 2020 es el año en que la computación cuántica avanzará hasta el punto en que pueda descifrar los algoritmos criptográficos existentes.
La industria debe fortalecer los algoritmos de cifrado para mantenerse al día. Los certificados digitales híbridos también serán más atractivos. En algún momento entre 2022 y 2024, el Instituto Nacional de Estándares y Tecnología (NIST) habrá estandarizado un algoritmo de criptografía post-cuántica (PQC) que puede enfrentar el desafío. El logro dará inicio a un esfuerzo global para desplegarlo. Las empresas que hayan inventariado sus sistemas criptográficos y hayan enfatizado la agilidad criptográfica tendrán más facilidad para implementarlo; otros, no tanto.
“Una computadora cuántica para resolver un problema económicamente importante el próximo año. Esto iniciará una nueva era de inversión en la aceleración del desarrollo de la computación cuántica basada en la demostración de beneficios prácticos. La adopción de la criptografía post-cuántica deberá mantenerse al día”, aseguró Tim Hollebeek.
Intimidad
Este año en Estados Unidos se conoció la adopción de la Ley de Privacidad del Consumidor de California (CCPA). A su vez que se observó el fracaso de la Ley de Privacidad de Nueva York (NYPA) para votar durante la reciente sesión del estado.
Por otro lado, la Ley General de Protección de Datos (GDPR) se implementó en mayo de 2018. Para dar a las personas “más control sobre sus datos personales y asegurarse de que las empresas prioricen la privacidad de los datos”. Entre otras cosas, CCPA otorga a los californianos el derecho de saber qué datos personales se recopilan y si se venden o comparten con otros. Las empresas deben divulgar esa información a los consumidores o enfrentar multas si no lo hacen.
Existe una creciente preocupación entre los consumidores a nivel mundial sobre cómo las empresas manejan sus datos personales. Algunos creen que la solución definitiva es una ley de privacidad nacional, similar al GDPR, pero la probabilidad de que se apruebe es baja en la administración actual. Otros países están analizando sus propias leyes de privacidad más allá del RGPD.
Así se prevé que un número creciente de estados y países de todo el mundo llenarán el vacío adoptando sus propias leyes de privacidad de datos. Desafortunadamente, la naturaleza de mosaico de la adopción de la ley de privacidad en 2020 hará que el cumplimiento sea muy difícil para las empresas con ubicaciones en más de un país, o incluso más de un estado, y para aquellos que venden productos en línea a consumidores de todo el mundo.