La internet dels cossos com a evolució de la internet de les coses

En aquest blog hem publicat diverses entrades i referències sobre la seguretat en la internet de les coses. El Termcat defineix aquest concepte com la “xarxa formada per un conjunt d’objectes connectats a internet que es poden comunicar entre si i també amb humans, i així transmetre i tractar dades amb intervenció humana o sense”. Una part d’aquests objectes i dispositius connectats té com a funció captar i processar dades o informació relacionades amb el cos humà i fer-ne el seguiment. D’aquests objectes o dispositius se’n parla com la internet dels cossos (internet of the bodiesIoB–  en anglès).  

La majoria d’aquests dispositius estan relacionats amb la salut. En un extrem hi hauria els dispositius relacionats amb activitats mèdiques, ja sigui d’una manera temporal (per exemple, pastilles que capten i transmeten informació de l’interior del cos) o permanent (com les darreres generacions de marcapassos). En un altre extrem hi trobaríem la tecnologia portable (wearables, en anglès), cada vegada més present en la nostra vida diària, com ara els rellotges o polseres intel·ligents que registren l’activitat física o la freqüència cardíaca, llits que mesuren la respiració, balances que registren el pes, el greix o l’aigua del cos, entre d’altres valors, o roba que permet regular la temperatura corporal. [1]

A la tardor del 2020 Rand Corporation va publicar una investigació sobre les oportunitats, els riscos i la governança d’aquests dispositius. D’una banda, es preguntava quins eren els beneficis, els riscos per a la seguretat i la privacitat i les implicacions ètiques de la internet dels cossos. De l’altra, es preguntava què s’estava fent, als Estats Units, per regular la internet dels cossos i les dades recollides per aquests dispositius. A l’últim, intentava respondre la pregunta de què es podia fer per compensar els riscos i els beneficis de la internet dels cossos.

Pel que fa als riscos en l’àmbit de la privacitat, hi ha dubtes sobre qui pot arribat a tenir accés a les dades i quin ús en podria arribar a fer. Quant als riscos per a la seguretat, serien equivalents als d’altres dispositius de la internet de les coses, com ara la vulnerabilitat que suposa que persones no autoritzades accedeixin al dispositiu, malgrat que en els dispositius sobre el cos humà els perills potencials o els danys i efectes si es materialitzés alguna de les vulnerabilitats serien molt més elevats.

El ràpid creixement i desenvolupament d’aquestes noves tecnologies ha fet que no hi hagi gaire normativa al respecte o que encara estigui per concretar com s’hi pot aplicar o adaptar la regulació existent. A més, també cal una gran sensibilització i un gran treball per part dels desenvolupadors i dels fabricants perquè minimitzin o eliminin les possibles vulnerabilitats dels aparells.

Per a més informació:

The Internet of Bodies Will Change Everything, for Better or Worse. – https://www.rand.org/blog/articles/2020/10/the-internet-of-bodies-will-change-everything-for-better-or-worse.html

The Internet of Bodies. Opportunities, Risks, and Governance https://www.rand.org/pubs/research_reports/RR3226.html

[1] Una altra classificació dels dispositius de la internet de les coses és la que els presenta en tres generacions: la primera la formarien els dispositius externs al cos; la segona, els integrats al cos, i la tercera, els fusionats al cos.

_____

Esta entrada en español / This post in English / Post en français

Internet de les coses: quan els electrodomèstics es converteixen en objectiu dels ciberatacs

Amb un mínim de 20 mil milions de dispositius que es preveu que estiguin connectats a internet l’any 2020, la internet de les coses ha arribat per quedar-se. Tot i que té molts efectes positius innegables, les amenaces i els riscos relacionats són múltiples i evolucionen molt ràpidament.

Per aquest motiu, l’ENISA (agència europea per a la seguretat de la xarxa i la informació) i l’Europol han unit esforços per fer front a aquests desafiaments de seguretat juntament amb membres del sector privat, la comunitat de seguretat i policia, l’Equip de resposta a incidents d’informàtica (CSIRT), la ciutadania i el món acadèmic.

La internet de les coses és un ecosistema ampli i divers en què els dispositius i serveis interconnectats recopilen, intercanvien i processen dades per adaptar-se dinàmicament a un context. Això fa que les nostres càmeres, televisors, rentadores i sistemes de calefacció siguin “intel·ligents” i creïn noves oportunitats per a la nostra manera de treballar, interactuar i comunicar, i que els dispositius reaccionin i s’adaptin a nosaltres.

És important entendre la necessitat d’assegurar aquests dispositius connectats i desenvolupar i implementar mesures de seguretat adequades per protegir la internet de les coses contra les amenaces cibernètiques. Més enllà de les mesures tècniques, l’adopció de la internet de les coses ha plantejat molts reptes jurídics i normatius, que són nous i d’un abast ampli i complex. Per fer front a aquests reptes, és fonamental la cooperació entre diferents sectors i diferents actors.

El treball de l’Europol, juntament amb la voluntat de tots els actors internacionals pertinents d’assegurar que els nombrosos beneficis de la internet de les coses es puguin realitzar plenament, aborden conjuntament els reptes de la seguretat i la lluita contra l’ús il·legal d’aquests dispositius, fent que el ciberespai sigui un lloc més segur per a tot:

  • La necessitat d’una major cooperació i participació de múltiples grups d’interès per abordar la interoperabilitat, així com els problemes de seguretat, especialment amb el desenvolupament emergent de la indústria 4.0, els vehicles autònoms i l’arribada de la 5G.
  • Com que el dispositiu final pot arribar a ser tècnicament difícil i costós d’aconseguir, l’enfocament ha de ser, per tant, assegurar l’arquitectura i la infraestructura subjacent, creant confiança i seguretat en diferents xarxes i dominis.
  • Hi ha la necessitat de crear incentius més forts per abordar els problemes de seguretat relacionats amb la internet de les coses. Això requereix aconseguir un equilibri òptim entre l’oportunitat i el risc en un mercat on predomina la gran escalabilitat i el temps de mercat, posicionant la seguretat com un avantatge comercial diferenciador.
  • Per investigar eficientment i eficaçment l’abús criminal de la internet de les coses, la dissuasió és una altra dimensió que requereix una forta cooperació entre l’aplicació de la llei, la comunitat CSIRT, la comunitat de seguretat i el poder judicial.
  • Això crea una necessitat urgent d’aplicar la llei per desenvolupar les habilitats tècniques i l’experiència necessària per combatre amb èxit la lluita contra el cibercrim relacionat amb la internet de les coses.
  • Aquests esforços s’han de complementar augmentant la consciència dels usuaris finals sobre els riscos de seguretat dels dispositius.
  • Aprofitant les iniciatives i els marcs existents, es requereix un enfocament multidisciplinari que combini i complementi les accions en l’àmbit legislatiu, regulador i polític, i el nivell tècnic per assegurar l’ecosistema de la internet de les coses.

Apunt relacionat: Quines són les principals amenaces i tendències de la delinqüència a internet?

Esta entrada en español / This post in English / Post en français

 

Els desafiaments de seguretat de la Internet de les Coses

El nostre món ja està hiperconnectat. Les estimacions actuals són que hi ha al voltant de 10 mil milions de dispositius electrònics amb accés a Internet i que, com a mínim, es duplicarà el nombre d’usuaris el 2020. A més dels nombrosos avantatges i oportunitats, també s’ha creat la capacitat emergent dels dispositius connectats per impactar en el món físic, amb un nou conjunt de vulnerabilitats i possibilitats d’explotació per part dels delinqüents.

Per fer front a aquestes vulnerabilitats, afrontar-les de manera efectiva i comprendre el gran potencial que ofereix, ENISA i Europol van reunir el passat octubre prop de 300 experts del sector privat, de la comunitat de seguretat, de l’aplicació de la llei, de la comunitat europea d’equips de resposta a incidents informàtics (CSIRT) i de l’àmbit acadèmic.

Entre les conclusions de les jornades cal destacar:

  • La seguretat no hauria de ser una reflexió posterior en dissenyar sistemes, i els sistemes Internet de les Coses –IoT, d’Internet of Things– no en són una excepció.
  • La implementació de seguretat no ha de ser complicada.
  • Les forces policials han d’estar en condicions d’anar més enllà de la resposta de defensa i incidència mitjançant la possibilitat d’investigar i perseguir els delinqüents que abusen dels dispositius connectats.
  • Cal parlar de forenses digitals pel que fa a la IoT i la importància de la protecció de dades i privadesa, tenint en compte la importància i les diferents categories de dades recopilades per la IoT.
  • La IoT té un gran potencial i ofereix grans oportunitats per millorar la nostra manera d’interactuar.
  • El 2019 i més enllà, cal promoure solucions de seguretat holístiques, pragmàtiques, pràctiques i econòmicament viables, i cal tenir en compte tot l’ecosistema de la IoT.

La IoT té molts avantatges a nivell policial com a nova eina per lluitar contra el crim. La policia ja està utilitzant dispositius connectats com ara càmeres intel·ligents per a grans esdeveniments i per combatre robatoris, sensors en armes de foc per fer un seguiment de quan i amb quina freqüència s’utilitzen, etc. És important que l’aplicació de la llei també inverteixi en la seguretat dels seus dispositius connectats amb la IoT, per protegir la privadesa dels ciutadans per als quals treballa.

Les escenes de delictes estan canviant a causa de la IoT: les dades de les portes, càmeres, termòstats, frigorífics, etc. poden proporcionar evidències útils i crucials. Les tècniques i la formació forenses necessàries hauran de ser utilitzades per salvaguardar aquestes dades. Les grans dades recopilades pels dispositius IoT, per exemple, per al reconeixement facial de les imatges de la càmera després d’un incident important esdevindran part integrant d’una investigació criminal, però també requereixen els mitjans necessaris per protegir la privadesa dels ciutadans.

http://notesdeseguretat.blog.gencat.cat/2017/11/27/internet-de-les-coses-quan-els-electrodomestics-es-converteixen-en-objectiu-dels-ciberatacs/

_____

Esta entrada en español / This post in English / Post en français

Quines són les principals amenaces i tendències de la delinqüència a internet?

El Centre Criptològic Nacional espanyol (CCN) va publicar a començaments de juny, a través del CCN-CERT, l’edició 2017 del seu Informe sobre ciberamenaces i tendències. Aquest organisme forma part del Centre Nacional d’Intel·ligència i és l’encarregat de gestionar els ciberincidents que afectin sistemes del sector públic, empreses i organitzacions d’interès estratègic i qualsevol sistema classificat.

L’informe evidencia la complexitat de la delinqüència a internet: els autors tenen perfils i motivacions diverses, en funció de les quals ataquen el sector públic, les organitzacions privades o la ciutadania, amb unes tècniques i uns objectius diferents en cada cas. Per exemple, les organitzacions criminals que cerquen un benefici econòmic ataquen per robar, publicar o vendre informació, manipular la informació, interrompre sistemes o prendre’n el control. Per part seva, els cibervàndals o script kiddies[1] només volen evidenciar vulnerabilitats, divertir-se o prendre’s els atacs com a reptes, i les seves accions pretenen robar informació o interrompre sistemes. Els altres actors identificats són estats, organitzacions privades, ciberterroristes, cibergihadistes, ciberactivistes, actors interns o ciberinvestigadors.

Bona part dels atacs se centren en el software o programari, però també els usuaris s’identifiquen com a vulnerabilitat, posant èmfasi en la utilització de dispositius mòbils i de l’enginyeria social (de la qual es va parlar en una  entrada anterior). També mereix una atenció especial l’emergència de la internet de les coses (IoT per les sigles de l’anglès internet of things), ja que molts dels fabricants d’aquests dispositius connectats no implementen mesures de seguretat i s’hi detecten grans mancances que els fan molt vulnerables a atacs que poden facilitar que els controlin de  manera remota tercers no autoritzats.

Per a l’any 2017, es preveuen amenaces més sofisticades i dirigides a objectius concrets (en lloc d’atacs indiscriminats). Més enllà d’aquesta previsió, s’esmenten una vintena de tendències, tant pel que fa a les amenaces com a la resposta a aquestes amenaces, entre les quals destaquen:

  • Nous tipus d’atacs complexos
  • Infeccions efímeres, sense la voluntat de persistir en el temps, però que causen un gran dany mentre són actives
  • Dispositius mòbils com a objectiu del ciberespionatge
  • Atacs contra sistemes de control industrial, focalitzats en infraestructures crítiques
  • Seguretat feble de la internet de les coses
  • Aprenentatge automàtic com a catalitzador d’atacs d’enginyeria social
  • Atac a la privacitat com a eina del ciberactivisme

Es pot consultar un resum executiu de l’informe al web del CCN.

[1] Definits com “aquells que, amb coneixements limitats i fent ús d’eines construïdes per tercers, duen a terme accions com a desafiament, sense ser, moltes vegades, plenament conscients de les seves conseqüències”.

_____

Esta entrada en español / This post in English / Post en français

 

 

 

El Consell Europeu adopta conclusions sobre el futur digital d’Europa

El mes de desembre del 2020, el Consell Europeu va aprovar unes conclusions en què reconeix l’ús més elevat de productes de consum i dispositius industrials connectats a internet i els riscos que això comporta per a la privacitat, la seguretat de la informació i la ciberseguretat.

Considera que els dispositius connectats, entre els quals s’inclouen les màquines, els sensors i les xarxes que componen l’internet de les coses, desenvoluparan un paper fonamental en la configuració del futur digital d’Europa.

Les conclusions defineixen les prioritats per abordar aquesta qüestió crucial i fomentar la competitivitat mundial de la indústria europea de l’internet  de les coses garantint el màxim nivell de resiliència, seguretat i protecció.

Les conclusions fan èmfasi en la importància d’avaluar si es requereix una legislació horitzontal a llarg termini per abordar totes les qüestions relacionades amb la ciberseguretat dels dispositius connectats, com la disponibilitat, la integritat i la confidencialitat, cosa que suposaria també especificar les condicions necessàries per comercialitzar-los.

Entre altres conclusions destaquen les següents:

  • La Unió Europea i els seus estats membres han de garantir la sobirania digital i l’autonomia estratègica, preservant alhora una economia oberta.
  • A més de garantir un nivell alt de seguretat dels dispositius connectats, també és important sensibilitzar més els consumidors sobre els riscos que aquests dispositius poden generar en la privacitat i la seguretat.
  • Subratlla que cal establir normes, criteris o especificacions tècniques en matèria de ciberseguretat per als dispositius connectats i recomana reforçar la tasca de les organitzacions europees de normalització en aquest àmbit.
  • La ciberseguretat i la privacitat s’han de considerar requisits essencials en la innovació de productes, així com en els processos de producció i desenvolupament, inclosa la fase de disseny, i s’han de garantir al llarg de tot el cicle de vida del producte i en tota la cadena de subministrament.

Finalment, la certificació de ciberseguretat, que es defineix en el Reglament sobre la ciberseguretat, serà essencial per augmentar el nivell de seguretat del mercat únic digital. ENISA, l’Agència de l’UE per a la Ciberseguretat, ja està treballant en esquemes de certificació de la ciberseguretat, i en les conclusions es convida a la Comissió que consideri sol·licitar propostes d’esquemes de certificació de la ciberseguretat per als dispositius connectats i els serveis connexos.

_____

Esta entrada en español / This post in English / Post en français

2017, l’any en què el cibercrim ha premut l’accelerador

Des de finals del 2016 i durant bona part del 2017, s’han viscut a escala mundial un seguit d’atacs cibernètics sense precedents pel seu impacte i per la taxa de propagació. Estan causant una gran preocupació pública, i això que només representen una petita mostra de la gran varietat d’amenaces cibernètiques que existeixen actualment.

L’Avaluació de l’amenaça de crims organitzats per internet (IOCTA) que porta a terme l’Europol anualment identifica les principals amenaces cibercriminals i ofereix recomanacions clau per afrontar aquests reptes.

L’Avaluació de l’any 2017 −que es va fer pública a la sessió anual de la Conferència del Cibercrim Europol-INTERPOL que va tenir lloc a la Haia del 27 al 29 de setembre d’enguany− presenta un estudi a fons dels esdeveniments clau, els canvis i les amenaces emergents el darrer any en el cibercrim. Es basa en les contribucions dels estats membres de la UE, del personal expert de l’Europol i de socis de la indústria privada, del sector financer i acadèmic. L’informe posa en relleu els esdeveniments més importants en diverses àrees del cibercrim:

  • El ransomware (programari maliciós de rescat) ha eclipsat la majoria d’altres ciberamenaces amb campanyes globals que afecten indiscriminadament les víctimes en múltiples sectors industrials i privats.
  • Es van produir els primers atacs seriosos per botnets (xarxa de zombis) que utilitzaven dispositius d’internet de les coses (IoT).
  • Les filtracions de dades continuen donant lloc a la divulgació de gran quantitat d’informació, amb més de 2.000 milions de registres relacionats amb els ciutadans de la UE que van sortir a la llum pública durant un període de 12 mesos.
  • La internet fosca continua sent un habilitador transversal clau per a diverses àrees de delinqüència. Proporciona accés, entre d’altres, a l’oferta de fàrmacs i a noves substàncies psicoactives; al subministrament d’armes de foc que s’han utilitzat en actes terroristes; a les dades de pagament per cometre diversos tipus de frau, i a documents fraudulents per facilitar el frau, el tràfic d’éssers humans i la immigració il·legal.
  • Els infractors segueixen abusant de la internet fosca i d’altres plataformes en línia per compartir i distribuir material d’abús sexual infantil i participar-hi amb víctimes potencials, sovint intentant coaccionar o extorsionar sexualment menors vulnerables.
  • El frau en el pagament afecta gairebé totes les indústries, amb un impacte més gran en els sectors minorista, aeronàutic i d’allotjament.
  • Els atacs directes a les xarxes bancàries per manipular saldos de targetes, prendre el control de caixers automàtics o transferir fons directament, coneguts com a “compromisos del procés de pagament”, representen una de les greus amenaces emergents en aquesta àrea.

Malgrat les amenaces i desafiaments creixents, l’any passat es van produir alguns èxits operatius importants, com ara el desmantellament de dos dels grans mercats de la intranet fosca, AlphaBay i Hansa; la neutralització de la xarxa Avalanche o l’acció global als aeroports.

La IOCTA vol formular recomanacions per a l’aplicació de la llei i planificar en conseqüència, responent de forma efectiva i concertada a la delinqüència cibernètica.

  • L’aplicació de la llei ha de continuar centrant-se en els actors que desenvolupen i proporcionen les eines i serveis d’atacs cibercriminals responsables de ransomware, troians bancaris i altres programaris maliciosos, i proveïdors d’eines d’atac DDOS, serveis antiretrovirals i botnets.
  • La comunitat internacional ha de seguir fomentant relacions de confiança amb socis públics i privats, comunitats CERT, etc., perquè estiguin adequadament preparats per donar una resposta ràpida i coordinada en el cas d’un atac cibernètic global.
  • Els estats membres de la UE haurien de continuar donant suport i expandir el seu compromís amb l’Europol en el desenvolupament de campanyes paneuropees de prevenció i sensibilització.
  • Mentre s’investiga l’explotació sexual infantil en línia, els estats membres de la UE han de garantir prou recursos per lluitar contra aquest delicte.
  • L’amenaça creixent del delicte cibernètic requereix una legislació dedicada que permeti la presència i l’acció de l’aplicació de la llei en un entorn en línia. La manca d’aquesta legislació està conduint a la pèrdua de lideratges investigadors.

Entrades del blog sobre els IOCTA d’anys anteriors:

_____

Esta entrada en español / This post in English / Post en français