La ley de mejora de la ciberseguridad de IoT:¿Qué significa y cómo nos preparamos para ella?

El objetivo de la Ley de mejora de la ciberseguridad de IoT de 2017 es "proporcionar estándares operativos mínimos de ciberseguridad para los dispositivos conectados a Internet comprados por agencias federales y para otros fines".

Según la legislación propuesta, los proveedores deberán cumplir una serie de requisitos antes de poder contratar agencias gubernamentales, que incluyen:

• Los dispositivos deben estar libres de vulnerabilidades y defectos conocidos
• Los dispositivos deben poder recibir actualizaciones de software periódicas
• Los dispositivos no deben incluir credenciales fijas o codificadas que se utilicen para la administración remota, la entrega de actualizaciones o la comunicación

Sin embargo, considerando las implicaciones económicas y de seguridad de las redes de IoT de propiedad privada, es muy probable que regulaciones como estas puedan expandirse más allá de los contratos gubernamentales. Ted Koppel advirtió que un ataque de IoT a la red eléctrica de EE. UU. Podría causar una interrupción masiva, y cuando investigadores en Israel simularon un ataque a "bombillas inteligentes" para controlar las luces en una manzana de oficinas, demostró que esto no es un mero alarmismo. .

Para las empresas, estos ataques pueden representar amenazas existenciales:el proveedor de DNS Dyn experimentó un ataque DDoS que puede haber costado el 8% de su negocio. Entonces, aunque ciertamente podemos esperar más regulaciones y estándares de la industria, las organizaciones deben tomar sus propios pasos proactivos para proteger sus sistemas.

Pasos que toda empresa debe seguir

Debe quedar claro que los enfoques estándar para proteger una red (parches, firewalls, detección de software espía, educación de los empleados, etc.) no serán suficientes para detener las amenazas de IoT. La combinación de infraestructura de software y dispositivos implementados de forma remota agrega nuevas dimensiones a la seguridad que requieren una nueva forma de pensar al respecto.

Sin embargo, hay algunas medidas que las empresas deben tomar para asegurarse de que no solo pueden prevenir ataques, sino también cumplir con la legislación emergente:

• Cifre las claves en cada dispositivo individual para tener más control sobre la red, ya que cada dispositivo individual puede ser monitoreado y administrado (a diferencia de una puerta de enlace que controla un área / región específica)
• Utilice solo derivados de claves de cifrado para funciones específicas
• Rote las claves con regularidad para que, incluso si un dispositivo está comprometido, un pirata informático pueda utilizarlo durante un período breve de tiempo
• Centralice la visibilidad y el control del sistema para que pueda poner en cuarentena y deshabilitar los dispositivos sospechosos directamente
• Aprovechar la seguridad basada en hardware o la protección producida por un dispositivo físico en lugar del software que está instalado en un sistema informático, una táctica que el analista Patrick Moorhead ha afirmado que es más segura que el software porque no se puede modificar y puede evitar que el malware se infiltre en el sistema operativo y la capa de virtualización

Según IDC , Se espera que la inversión en IoT totalice 1,4 billones de dólares (1,17 billones de euros) para 2021. Los sistemas de IoT ya han puesto en línea alrededor de veinticinco mil millones de dispositivos y, según Hewlett Packard estudio, del 70 al 80% puede carecer de cifrado y protección con contraseña suficiente.

Estos son los principales objetivos de algunos de los peores tipos de ciberataques imaginables, y las empresas deben tomar medidas ahora para asegurarse de que están protegidas. Sin embargo, con el enfoque correcto, las empresas pueden construir redes de IoT que sean altamente seguras, asegurando que el tremendo potencial económico que ofrece IoT se materialice.

El autor de este blog es Amir Haleem, director ejecutivo de Helium