IoT e PKI, parceria necessária, anda insuficiente 

A Internet das Coisas está impulsionando as iniciativas relacionadas à Infraestrutura de Chaves Públicas (ou PKI, na sigla em inglês).  Embora os principais casos de uso para PKI ainda sejam voltados para protocolos de comunicação criptografada entre sites, como TLS/SSL, proteção de VPNs e redes privadas e assinatura digital, a IoT, ao lado do atual cenário regulatório, está impondo novos desafios à cibersegurança e assim abrindo novas oportunidades de aplicação de tecnologias PKI.

Segundo o Estudo Global de Tendências de PKI e IoT de 2022, realizado pelo Ponemon Institute com patrocínio da Entrust,  há um crescente reconhecimento de que a PKI é uma importantes tecnologia para ajudar na autenticação de dispositivos IoT.  A parcela entrevistada pelo estudo que afirmou que IoT é a tendência mais importante que direciona a implantação de aplicações PKI tem permaneceu praticamente inalterada (na faixa dos 47%) desde 2020.

Nos próximos dois anos, em média, 44% dos dispositivos IoT em uso dependerão de certificados digitais para identificação e autenticação, de acordo com o estudo. Acompanhando essa onda, 35% dos entrevistados acreditem que, com os avanços das implantações IoT, será preciso combinar as soluções PKI para credenciamento de dispositivos IoT na nuvem e nas empresas. No entanto, essa ideia apresentou uma desaceleração em relação à parcela de 42% dos entrevistados em 2021.

Capacidade de crescimento para atender a milhões de certificados gerenciados continua sendo o recurso de PKI mais importante para implantações IoT, embora tenha perdido importância em relação a anos anteriores – citada oir 53% dos entrevistados em 2018 e por 39% em 2020. De outro lado, capacidade de assinar firmware de dispositivos IoT aumentou de 27% dos entrevistados em 2021 para 33% em 2022.

Desafios para adoção de PKI

Segundo o estudo, não apenas a IoT, mas a segurança cibernética de modo geral, está sendo avaliada em vários níveis, inclusive fora das quatro paredes das organizações. E essa pode ser uma exigência difícil de cumprir, especialmente sem as habilidades e recursos adequados para fazê-lo. E esse deve se tornar um desafio ainda mais desafiador com ameaças futuras em um mundo pós-quântico.

Não foi à toa que recursos insuficientes, ausência de competências e falta de definições claras de responsabilidade foram os três principais desafios para adoção de tecnologias PKI apontados no estudo. O primeiro item, recursos insuficientes, apresentou um aumento das citações na última edição, passando de 51% dos entrevistados em 2021 para 64% em 2022. Os outros dois desafios foram citados em 52% das respostas.

Outro destaque da pesquisa foi a falta de visibilidade dos aplicativos que dependerão de soluções PKI – essa dificuldade foi mencionada por 34% dos entrevistados em 2021 e ganhou mais atenção na pesquisa deste ano, em 48% das respostas. Da mesma forma, outro desafio que apresentou um salto (de 28% em 2021 para 35% em 2022) tem a ver com requisitos para implantação e gerenciamento de tecnologias PKI – que estão se mostrando muito fragmentados ou inconsistentes.

Quando se trata de implementações de PKI já existentes, o principal desafio continua sendo a capacidade de suportar novos aplicativos – citado por 41% este ano – e também a falta de visibilidade dos recursos de segurança, para 29%. Segundo o estudo, o fato de não dispor da tecnologia certa para proteger novos casos de uso da PKI ou de nem saber se a PKI é capaz de se proteger é preocupante, ainda que não seja surpreendente, considerando que apenas 38% das organizações contam com um especialista em PKI entre suas equipes.

“Os três principais desafios para implantar e gerenciar PKI permaneceram consistentes ao longo das edições dessa pesquisa. Olhando para algumas das tendências ao longo do tempo, podemos ver um cenário que continua reconhecendo a importância da PKI, mas os casos de uso e seus requisitos de conformidade em constante evolução fazem com que as empresa corram, mas continuem paradas. A ausência de pessoal qualificado e experiente está claramente sendo cada vez mais sentida, assim como a falta de definições claras de responsabilidades em estruturas de negócios isoladas em muitos casos”, explica Larry Ponemon, presidente e fundador do Ponemon Institute.

Esse estudo do Instituto Ponemon se baseou em pesquisas com mais de 2,5 mil profissionais de TI e cibersegurança nos seguintes países e regiões: Alemanha, Austrália, Brasil, Coréia, Espanha, Estados Unidos, França, Holanda, Hong Kong, Japão, México, Oriente Médio, Reino Unido, Sudeste Asiático e Suécia.