Novo relatório do Ponemon Institute revela a IoT como o driver de maior potencial de crescimento do mercado de PKI

Novo relatório do Ponemon Institute contratado pela nCipher revela a IoT como o driver com mais potencial de crescimento para o mercado mundial de PKI.  Segundo o estudo, no Brasil, o principal obstáculo a ser enfrentado é a inexistência de uma Infraestrutura de Chaves Públicas capaz de suportar estes aplicativos. 

Este estudo do Ponemon Institute e nCipher está sendo divulgado mundialmente hoje – 3 de outubro. No Brasil com exclusividade no Crypto ID.

Conversamos com José Rivera, diretor de vendas da nCipher Security para a América Latina sobre o estudo que está sendo apresentado hoje mundialmente e, no Brasil, com exclusividade no Crypto ID.

A nCipher é uma empresa do mercado de módulos de segurança de hardware HSM – hardware security module, que pertence a Entrust Datacard. Suas soluções criptográficas protegem tecnologias emergentes como Cloud Computing, IoT, Blockchain e pagamentos digitais para cumprir os novos requerimentos de conformidade para aplicações comerciais críticas.

O Estudo Global das Tendências da PKI e IoT feito em 2019, que apresentamos a seguir, captura o estado atual da maturidade do mercado, os desafios e a influência da Internet das Coisas na indústria mundial de PKI – Public Key Infrastructure.

José Rivera

Em entrevista exclusiva para o Crypto ID, José Rivera nos falou sobre o incremento de aproximadamente 40% a 50% nas vendas de HSMs – hardware security module, para guarda de chaves criptográficas – certificados digitais – para aplicações IoT no mercado mundial, e destacou como os principais segmentos: indústrias, mercado financeiro e organizações de saúde.

Segundo Rivera, nos EUA, a indústria que mais se destaca é a automobilística em função da diversidade de fornecedores. Esse segmento utiliza a tecnologia IoT em muitos componentes como nos sistema de controle de freios, em GPS e diversos outros sistemas eletrônicos que são embarcados nos automóveis.

Os certificados digitais são utilizados para evitar o acesso de terceiros com a intenção de interferir no funcionamento dos dispositivos, assim como, para proteger as informações pessoais dos usuários e evitar a entrada de virus e malwares.

O mundo conta hoje com mais dispositivos online do que pessoas. O IDC divulgou recentemente que haverá 41,6 bilhões de dispositivos IoT conectados até 2025, gerando 79,4 zettabytes de dados. Mas não é preciso ir tão longe, a maioria das pessoas já teve contato com dispositivos conectados – desde  relógios, GPSs, carros, máquinas, dispositivos médicos, computadores e smartphones.

“Qualquer objeto que se imagine pode, teoricamente, entrar para o mundo IoT. Isso significa que os problemas de segurança tendem a se tornar cada vez mais comuns neste ecossistema em expansão. Isso porque, atualmente, os dispositivos conectados já são os principais usuários da Internet e precisam de identidades digitais para uma operação segura”, afirma Rivera.

“Obviamente, isso traz uma série de desafios para o mercado corporativo, que precisa estar preparado para tal.  A maior preocupação está na segurança e na privacidade dos sensores usados em IoT e nos dados que eles armazenam. Além disso, há também a integração de dispositivos para transferência de dados, o que também representa risco. Com bilhões de dispositivos conectados entre si, como garantir que estas informações estarão seguras? Essa questão já está no radar dos departamentos de tecnologia das empresas” complementa Rivera.

O Estudo Global das Tendências de PKI e IoT 2019, realizado pela empresa de pesquisa Ponemon Institute e patrocinado pela nCipher Security, baseia-se no feedback de mais de 1.800 profissionais de segurança da informação em 14 países/regiões.

O estudo constatou que a IoT é a tendência de crescimento mais rápido impulsionando a adoção de aplicações PKIs, com um crescimento de 20% nos últimos cinco anos.

Os entrevistados citaram preocupações relacionadas a diversas ameaças à segurança da IoT, incluindo, por exemplo, alterar a função de dispositivos da IoT por meio de malware ou outros ataques (68%) e a retirada do controle de dispositivos por um usuário não autorizado (54%). Entretanto, os entrevistados classificaram o fornecimento de patches e atualizações para dispositivos de IoT, o recurso que protege contra as principais ameaça, por último em uma lista dos cinco recursos de segurança de IoT mais importantes.

O estudo também revelou que, nos próximos dois anos, uma média de 42% dos dispositivos IoT dependerá principalmente de certificados digitais para identificação e autenticação. Mas a encriptação para dispositivos IoT e para plataformas e repositórios de dados IoT, representam de 28% a 25%, respectivamente.

“A escala da vulnerabilidade de IoT é impressionante – O IDC divulgou recentemente que haverá 41,6 bilhões de dispositivos IoT conectados até 2025, gerando 79,4 zettabytes de dados”, disse John Grimm, diretor sênior de estratégia e desenvolvimento de negócios da nCipher Security. “Não há sentido em coletar e analisar dados gerados pela IoT e tomar decisões de negócios com base neles, se não pudermos confiar na segurança dos dispositivos ou dos seus dados. Construir confiança começa pela priorização de práticas de segurança que combatam as principais ameaças à IoT e a garantia de autenticidade e integridade em todo o ecossistema da IoT”.

A PKI desempenha um papel estratégico, mas as organizações estão vulneráveis ​​e despreparadas

A PKI está no centro da infraestrutura de TI de muitas organizações, garantindo a segurança de iniciativas digitais críticas, como Cloud Computing, implementação de dispositivos móveis e IoT.

A maioria dos entrevistados usa a PKI intensivamente em suas organizações para certificados TLS/SSL (79%), redes privadas e VPNs (69%) e aplicativos e serviços baseados em nuvem pública (55%), ainda que mais da metade (56%) acredite que a PKI é incapaz de suportar novos aplicativos. Adicionalmente,  muitos entrevistados vem barreiras técnicas e organizacionais para o uso da PKI, incluindo a incapacidade de alterar aplicações legadas (46%), habilidades insuficientes (45%) e recursos (38%).

As melhores práticas de segurança da PKI corporativa têm um pouco de tudo

Quase um terço (30%) das organizações, uma parcela especialmente dissonante, considerando as implicações, não está usando nenhuma técnica de revogação de certificado. Mais de dois terços (68%) citam “nenhuma propriedade clara” como seus principais desafios de PKI.

Por outro lado, algumas empresas estão aplicando mais rigor à segurança da PKI em determinadas áreas.

A parcela de entrevistados que está utilizando “somente uma senha” para administradores da Autoridade Certificadora caiu 6% a partir de 2018, ficando em 24% este ano.

E 42% dos entrevistados disseram que estão usando módulos de segurança de hardware (HSMs) para gerenciar chaves privadas.

As demais conclusões do relatório incluem:

• O uso do HSM como base de confiança de IoT aumentou significativamente ao longo de 2018 (de 10% para 22%).
• Apesar do número crescente de opções para adoção da ICP (nuvem, gerenciada e hospedada), as ACs (Autoridades Certificadoras) corporativas internas permanecem as mais populares e cresceram 19% ao longo dos últimos cinco anos, para 63% – com 80% das empresas de serviços financeiros dando preferência a esta opção.
• 44% dos entrevistados acreditam que a adoção da PKI para dispositivos IoT consistirá em uma combinação mista de implementações baseadas em nuvem e na empresa.
• Os recursos da PKI mais importantes para IoT em 2019 são escalabilidade para milhões de certificados (46%) e revogação de certificados online (37%).

“O uso da PKI está evoluindo à medida que as empresas lidam com a transformação digital em seus negócios. Além da IoT, mais de 40% dos entrevistados também citaram a nuvem e as iniciativas móveis como impulsionadores do uso da PKI”, disse Dr. Larry Ponemon, diretor executivo e fundador do Ponemon Institute.

“Claramente, o rápido crescimento da IoT está tendo um enorme impacto no uso da PKI, à medida que as organizações percebem que a PKI fornece tecnologia de autenticação essencial para os dispositivos conectados. Para que as empresas aproveitem ao máximo suas iniciativas digitais, devem continuar a melhorar a maturidade de segurança de suas PKIs”

IoT e PKI no Brasil

Principais ameaças à IoT

• 66% afirmam alterar a função do dispositivo
• 58% dizem controlar o dispositivo remotamente
• 40% dizem usar o dispositivo como um ponto de entrada na rede

As três principais tendências mais importantes que impulsionam a implantação de aplicativos usando PKI

• 58% para o consumidor móvel
• 47% para serviços baseados em nuvem
• 36% para IoT

Os três principais desafios para permitir que os aplicativos usem PKIs

• 55% declaram não haver PKI pré-existente
• 51% dizem que a PKI existente é incapaz de suportar novas aplicações
• 46% afirmam que os recursos são insuficientes

A lista dos 5 mais importantes recursos de segurança da IoT HOJE

1. Monitoramento do comportamento do dispositivo
2. Entrega de patches e atualizações
3. Autenticação do dispositivo
4. Descoberta de dispositivo
5. Proteção da confidencialidade e integridade dos dados coletados do dispositivo

Os 5 principais recursos de segurança da Internet das coisas PRÓXIMOS 12 MESES

1. Entrega de patches e atualizações no dispositivo
2. Autenticação do dispositivo
3. Proteção da confidencialidade e integridade dos dados coletados do dispositivo
4. Monitoramento do comportamento do dispositivo
5. Descoberta de dispositivos

• O Brasil favorece os serviços públicos de AC (42%) mais do que em qualquer outra região, exceto na Alemanha que tem uma taxa 11% superior à média global de 31%
• O Brasil opera sem revogação de certificado mais do que qualquer outra região
• O Brasil considera a escalabilidade é o ponto de maior importância quando avalia recursos importantes de PKI para implantações de IoT, que em qualquer região global

No Brasil, apenas 36% dos entrevistados apostam na IoT como principal estímulo para o desenvolvimento de aplicativos que utilizem a PKI. Apesar do percentual mais baixo, também por aqui, a Internet das Coisas aparece em terceiro lugar na lista, precedida por Consumer Mobile (58%) e serviços baseados em nuvem (47%).

O que muda em relação ao cenário global é a percepção sobre os desafios para o desenvolvimento de novas soluções.

Enquanto a maioria aponta a incapacidade da PKI para receber novas aplicações, no Brasil, o principal obstáculo para 55% dos entrevistados é a inexistência de uma PKI capaz de suportar estes aplicativos.

A lista de desafios para os profissionais de TI no Brasil se completa com a incapacidade da PKI suportar novas aplicações (51%) e a falta de recursos (46%).

Ainda assim, as empresas estão focando seus esforços no desenvolvimento de soluções baseadas em IoT, tanto que já identificam quais suas principais preocupações com segurança hoje e nos próximos 12 meses.

De acordo com a pesquisa, as principais preocupações com a segurança são: o monitoramento dos equipamentos e a entrega de patches e atualizações; autenticação do equipamento; a descoberta do equipamento; a proteção da confidencialidade e integridade dos dados coletados nestes equipamentos.

As preocupações e os desafios citados no Brasil não são muito diferentes dos apontados nos outros países, o que mostra que estamos todos no mesmo nível de maturidade.

O principal desafio colocado aqui é como as PKIs vão se preparar para este novo ambiente, e quanto tempo isso vai levar.

Durante a entrevista com José Rivera falamos sobre a atuação da nCipher no Brasil e também sobre o  acordo de cooperação entre o ITI e O INMETRO assinado dia 24 de setembro de 2019 para a criação da AC INMETRO que será uma AC para emissão de certificados digitais ICP-Brasil para objetos metrológicos IoT.

Segundo Rivera a nCipher opera no Brasil por meio de parceiros de negócios e considera o País um mercado promissor que pode gerar investimentos em tecnologia de até U$ 250 bi até 2025. A empresa se instalou em São Paulo para acompanhar esse mercado mais de perto.

“O Brasil é um país que desponta no desenvolvimento tecnológico e com grande potencial no segmento de identidade digital  e internet das coisas, por isso, estamos em processo de homologação junto ao ITI – Instituto Nacional da Tecnologia da Informação, para que nossos equipamentos atendam aos requisitos técnicos da ICP-Brasil entre eles o protocolo KMIP – Key Management Interoperability Protocol.

Sobre a Autoridade Certificadora do INMETRO Rivera viu com entusiasmo a iniciativa do governo brasileiro e declarou, “Temos muitas ACs que compram nossos equipamentos no mundo todo e por isso conhecemos muito o mercado mundial de PKI, mas pelo que temos conhecimento, a AC do INMETRO , será a primeira AC no mundo dedicada para emissão exclusiva de certificados digitais para IoT”, complementa o executivo.

Faça o download do novo Estudo Global de Tendências de ICP e IoT 2019.

Metodologia do Estudo Global de Tendências da PKI e IoT 2019

O Estudo Global das Tendências da PKI e IoT de 2019 captura o estado atual da maturidade da PKI, os desafios da PKI e a influência da IoT nas tendências da PKI. O relatório resume os resultados do 5o. ano de pesquisa realizada com 1.884 profissionais de segurança de TI nos 14 países/regiões a seguir: Austrália, Brasil, França, Alemanha, Hong Kong e Taiwan, Índia, Japão, México, Oriente Médio (Arábia Saudita e Emirados Árabes Unidos), Federação Russa, Coréia do Sul, Sudeste Asiático (Indonésia, Malásia, Filipinas, Tailândia e Vietnã), Reino Unido e Estados Unidos.

Sobre a nCipher Security

A nCipher Security, uma empresa da Entrust Datacard, líder no mercado de módulos de segurança de hardware (hardware security module, HSM) de uso geral, capacita organizações líderes mundiais oferecendo confiança, integridade e controle às suas aplicações e informações de negócios essenciais. O ambiente digital em rápido movimento de hoje melhora a satisfação dos clientes, oferece vantagem competitiva, aumenta a eficiência operacional e multiplica os riscos de segurança. Nossas soluções criptográficas protegem tecnologias emergentes como a nuvem, IoT, blockchain e pagamentos digitais e ajudam a cumprir os novos requerimentos de conformidade. Fazemos isso utilizando a mesma tecnologia comprovada da qual as organizações globais dependem atualmente para se protegerem contra ameaças a seus dados confidenciais, comunicações de rede e infraestrutura empresarial. Nós oferecemos confiança às suas aplicações comerciais críticas, garantimos a integridade dos seus dados e conferimos total controle a você, hoje, amanhã e em todos os momentos. www.ncipher.com

*Jose G Rivera é diretor de vendas da nCipher Security para a América Latina – Com mais de 25 anos de experiência na área de Segurança de Computadores, Jose possui Mestrado na Universidade de Massachusetts, onde viveu por mais de 15 anos. Ele trabalhou como engenheiro em várias áreas de segurança cibernética e iniciou sua carreira na IBM, seguido pela RSA, Check Point, Fortinet, até chegar à nCipher, onde iniciou sua carreira na área comercial e, especificamente, proteção de dados, utilizando as melhores práticas de implementação ligadas à encriptação.