Ha habido, y seguirá habiendo, un gran debate en los círculos TIC sobre cómo gestionar la explosión (¿o deberíamos decir el tsunami?) de los dispositivos que están formando la Internet de los objetos (IoT).
Por Lionel Snell, Editor, NetEvents
Ha habido, y seguirá habiendo, un gran debate en los círculos TIC sobre cómo gestionar la explosión (¿o deberíamos decir el tsunami?) de los dispositivos que están formando la Internet de los objetos (IoT). No es de extrañar, ya que esta explosión en particular apenas es controlada por la industria de TI – gran parte de ella está llegando al campo desde otros sectores empresariales.
Las anteriores explosiones de gran impacto (ordenadores personales, redes, teléfonos inteligentes, la nube, etc.) han sido creadas e impulsadas por el departamento de TI. La industria era responsable de persuadir a la gente para que comprara estos productos y responsable de construirlos y entregarlos. Pero en el caso de la IoT, la industria ofrece tanto un servicio como un producto, y hay toda una población de dispositivos esperando a ser equipados con chips y conectados a la IoT. Venda un PC o un teléfono inteligente y estará vendiendo un paquete completo que cumple con una gran cantidad de regulaciones y estándares, pero venda conectividad 5G y puede que no esté seguro si es para un dispositivo médico, para rastrear contenedores, para un medidor de servicios públicos, un controlador de drones o lo que sea.
Así que la industria de TI se siente ansiosa por abrir de par en par la Internet a una vasta población de recién llegados. Kevin Restivo, Director de Investigación de IDC, European Enterprise Mobility, dirigió una sesión de la conferencia en NetEvents EMEA IT Spotlight titulada “Están por todos lados! Gestionando de la increíble explosión de los dispositivos de IoT y IIoT”. Su presentación introductoria se resume en la siguiente figura: «Enmarcando el mercado – eso es lo que hacemos en IDC– Evaluamos, pronosticamos mercados, describimos los impulsores e inhibidores. En IDC creemos que la IoT es uno de los mercados de más rápido crecimiento o colección de tecnologías relacionadas con el espectro de las TIC».
«En primer lugar, ¿qué quiere decir IDC con el Internet de las cosas? … Se trata de una red de puntos finales identificables de forma única… que se conectan de forma autónoma y bidireccional mediante conectividad IP. El ecosistema es realmente una mezcla compleja de tecnologías y servicios… servidor, almacenamiento, análisis, servicios de TI, seguridad y una gama de otras tecnologías… esencialmente una amplia gama del espectro de las TIC».
Esta diversidad hace que sea más difícil precisar los elementos del gasto, explicó. Hasta ahora, alrededor de un tercio se ha dedicado a los dispositivos de IoT y cantidades similares a los programas informáticos y los servicios. Pero en las previsiones futuras esperaba mucho más gasto en análisis, ya que las empresas empiezan a extraer valor de su IoT y a optimizar sus procesos.
En cuanto a los controladores: obviamente la explosión de dispositivos es un factor importante, pero la complejidad puede sonar más como un inhibidor, hasta que se considere la amplia gama de sistemas y protocolos involucrados: «Esa complejidad está impulsando muchos gastos». El tercer conductor, Enterprise Readiness, refleja esa población casi ilimitada de dispositivos y sistemas que ya existen y están esperando para conectarse.
En cuanto a los inhibidores, liderados por los temores de seguridad, explicó: «La falta de coordinación entre las operaciones y la TI es un gran obstáculo para la implementación. Es necesaria una estrecha colaboración entre los departamentos de TI y de operaciones, pero aún así no se produce. Todo el mundo quiere proteger sus feudos o simplemente no puede o no quiere cooperar…. La TI a menudo se queda atrás durante la planificación y el presupuesto del proyecto y el pilotaje. Esta falta de coordinación puede frenar realmente el despliegue con éxito de las iniciativas de IoT».
Después de ese breve esbozo, Kevin, pidió al panel sus opiniones sobre los conductores y los inhibidores, pero rápidamente se hizo necesario dividir la IoT en categorías amplias. Peter Galvin, Chief Strategy and Marketing Officer, nCipher Security, comparó el creciente segmento de consumidores, con muy poca atención a la seguridad, con la IoT Industrial (IIoT), que es «un poco más reflexiva», así como con el ya muy regulado segmento médico, utilizado tanto por consumidores como por profesionales sanitarios.
Kevin sugirió dejar de lado el mercado de consumo para esta sesión y centrarse en los negocios, el gobierno y la industria. Jan Guldentops, Director de BA Test Labs, señaló que todavía existe una gran diferencia entre los sensores de aparcamiento -que envían pequeñas cantidades de datos no críticos- y los sistemas industriales con cientos de sensores que controlan equipos por valor de millones de dólares: «Es como una nube otra vez».
Sobre la cuestión de la seguridad, Philip Griffiths, Jefe de Asociaciones de EMEA, NetFoundry, dijo que la seguridad es el mayor inhibidor, pero que algunas organizaciones están buscando activamente soluciones: «Estoy trabajando en un compromiso en un momento en el que una empresa de Fortune 10 está desarrollando una solución de IoT. No están involucrando a TI porque quieren moverse lo más rápido posible. Pero el socio con el que trabajamos, que es un ISV, se acercó a nosotros y nos dijo: «Tenemos que asegurarnos de que la solución sea muy segura para que, cuando llegue el departamento de TI, podamos decir: «esto es más seguro que su red corporativa, así que no hay nada de qué preocuparse». Al mismo tiempo, no queremos tener que gestionar 50.000 VPNs, así que vamos a utilizar su solución[de NetFoundry] porque automatiza esa conectividad segura».
En cuanto a los beneficios empresariales como conductores, el profesor Martin Curley, director de la Academia Digital y de la Innovación Abierta del Health Service Executive, dijo que deberíamos esperar una consumerización de la atención sanitaria a una escala que esté a la altura de la reciente consumerización de las tecnologías de la información. Refiriéndose a un libro con el gran título The Patient Will See You Now, sugirió: «tendremos pacientes que se presentarán rutinariamente a su cardiólogo o nefrólogo con mucha mejor información que la que tienen los propios consultores. El reloj Apple Watch con su ECG ya es un dispositivo regulado por la FDA. Puede detectar fibrilación auricular. Podría salvarnos la vida».
Explicó que «signos vitales» es el término para los predictores clave que las enfermeras usan para determinar si un paciente se está deteriorando y, en un sistema manual tradicional basado en notas escritas a mano, más del 50% de esas puntuaciones pueden estar equivocadas. Mientras que SyncroPhi había desarrollado una solución para conectar, recoger y mostrar automáticamente estos signos vitales. Él vio tantas oportunidades diversas en el cuidado de la salud: «Otra compañía está desarrollando tecnología para rastrear el equipo en el pabellón. Una de las cuestiones clave es que hay tanto tiempo que las enfermeras y los médicos pasan buscando equipo que alguien más lo ha tomado prestado prestado. Han desarrollado una solución inteligente que permite rastrear dónde se encuentra el equipo en los pabellones. Probablemente pueda darle otros 10 ejemplos…. Creo que el mayor mercado sin explotar va a ser el de la sanidad».
Peter Galvin presentó otros ejemplos, en particular la automatización industrial: «cosechadoras de trigo gigantes en el medio oeste, no hay nadie en ellas. Todas están controladas por control remoto. Se les considera un dispositivo IoT y dan datos de telemetría y también datos sobre cómo es el suelo? ¿Cómo es el contenido?» También citó a una compañía minera australiana que automatizaba sitios mineros extremadamente remotos e inaccesibles.
Jan Guldentops citó las ciudades inteligentes: cómo esas cámaras de tráfico impopulares, acostumbradas a los conductores de vehículos ligeros, también recogen datos de tráfico vitales, al igual que los sistemas de aparcamiento automatizado. Philip Griffiths dudaba de que las ciudades inteligentes fueran un mercado tan caliente, porque no ofrecen las claras oportunidades de ingresos prometidas por una planta de fabricación industrial en la que, por ejemplo, miles de cámaras pueden controlar los defectos en tiempo real y ahorrar una fortuna. Guldentops respondió que eso podría ser cierto en el modelo de los Estados Unidos, mientras que en Europa hay dinero gubernamental disponible para mejorar las ciudades.
Griffiths hizo un comentario interesante sobre cómo se vende mejor la IoT: no se trata tanto de una venta de productos como de reunir a un ecosistema de proveedores de tecnología para entregar una pila completa llave en mano para que la empresa final la pague como un servicio, en lugar de montarla ella misma: «es fundamental para la IoT porque, de lo contrario, es demasiado complejo para unirnos como un solo negocio». Y Galvin se refirió al valor absoluto de la recopilación y cotejo de datos que deben analizarse para la investigación científica que podría tener aplicaciones importantes en el futuro.
Michael Kagan, Director de Tecnología de Mellanox Technologies, dio un ejemplo bastante espeluznante de la importancia de las políticas bien pensadas: «Si estoy construyendo el algoritmo para un coche de autoconducción tengo que tener en cuenta el hecho de que si tengo dos ciclistas delante de mí y un accidente es inevitable, ¿cómo elijo a cuál golpear? Una de las opciones puede ser, le daremos al que lleva casco porque tiene más posibilidades de sobrevivir. Una vez que se conozca este algoritmo, nadie va a usar cascos porque te va a atropellar el coche si te pones un casco…. Una vez que tomemos la decisión, tenemos que averiguar las implicaciones».
Guldentops argumentó que la seguridad no estaba realmente frenando la IoT, simplemente porque no había suficientes personas que la consideraran. Por ejemplo: «Una cierta marca de radares de tráfico ejecuta un sistema operativo Debian 6 que no ha sido parcheado desde que pienso en 2010. Me lleva unos tres minutos y medio convertirme en root de ese sistema…. Hablé con los chicos y me dijeron que no podíamos parchearlo porque necesitábamos validar el sistema y que cada cambio que hacíamos en el radar de tráfico ya no era válido. Pero todavía hay alrededor de 400 cámaras ANPR en Bélgica que lo están usando».
Griffiths advirtió sobre los riesgos de la fusión de las redes de TI con las redes industriales: «La mayoría de los ataques que hemos visto han sido algún tipo de campaña de phishing que se ha convertido en malware, pasando lateralmente de la red de TI a la red de OT porque alguien no pensó lo suficiente en la seguridad, y luego volando una instalación de acero de mil millones de dólares o algo así como sucedió en Alemania hace unos años…. Si creamos una conectividad segura con perímetros definidos por software, sin confianza, todas estas cosas, entonces se pueden obtener los beneficios de ambos mundos».
Martin Curley temía que todos necesitáramos una gran catástrofe para despertar a la industria y a sus clientes: «Similar al Boeing 737 Max con su sensor de ángulo de ataque, es un dispositivo de internet de cosas. Para la industria de la IoT, este es un camino hacia el momento de Damasco, en el que la resistencia del software y la validación del software tienen que hacerse de una manera mucho más completa».
Ya tenemos estas catástrofes, especialmente en los sistemas sanitarios comprometidos y Curley estuvo de acuerdo en que había una grave escasez de recursos: «Apenas hay personal suficiente para que los sistemas funcionen, sin pensar en la seguridad».
Para Guldentops, las recompensas por errores fueron una de las mejores innovaciones dentro de la industria de la seguridad en los últimos dos años: «puedes conseguir una comunidad de personas a las que les gusta entrar en tu sistema pero no romperlo, que lo hacen como un reto intelectual. Así, pueden reportar sus problemas, ganarse la vida con ello. Es algo que deberíamos empezar a usar en la IoT. Si eres una empresa que desarrolla un dispositivo y quieres ponerlo en el mercado, contrata a una de esas empresas de recompensas de bichos y consigue que algunas personas jueguen con él, lo rompan…. sabrás que hay un problema de seguridad en él antes de que lo extiendas a 10.000 personas».
El inconveniente de esta idea, especialmente en la IoT médica e industrial, es que es el problema del legado. Como los dispositivos ya están instalados, las recompensas de errores no van a proporcionar una solución sencilla, ya que no se pueden parchear, o es ineficiente parchearlos, o es demasiado costoso.
Para hacer frente a este problema heredado, Griffiths sugirió superponer el sistema heredado con una solución segura de greenfield. Tomando como ejemplo los radares de velocidad de Guldentops: «¿Cómo ponemos NetFoundry ahí para que alguien no pueda entrar? Todavía tienen ese defecto subyacente, pero al menos ponle una capa a una solución más segura para que le sea mucho más difícil a alguien tener acceso a esa y a la contraseña de root».
Michael Kagan completó la sesión proponiendo la necesidad de identificar y entender las interfaces y no mezclar demasiadas cosas: Con la segregación de la infraestructura, la informática y las aplicaciones, permite actualizar estos dos niveles de forma totalmente independiente….». No ate demasiado las cosas, así que puede actualizarlas y gestionarlas y aprovisionarlas de forma independiente».
La transcripción de toda la discusión está disponible en: https://www.netevents.org/wp-content/uploads/2019/01/Debate-V-IoT-IDC-draft.pdf
