¿Las últimas regulaciones de seguridad de IoT tienen suficiente alcance?

Ha habido una avalancha de regulaciones en todo el mundo a medida que los gobiernos buscan abordar la seguridad de IoT. Es un paso positivo, que indica que el mercado está madurando, pero regular el espacio de IoT no está exento de desafíos. Estos movimientos inevitablemente se han encontrado con la resistencia de quienes sugieren que podrían crear montañas de desechos de IoT, y otros que dicen que podrían obstaculizar la innovación.

En consecuencia, cada legislación es ligeramente diferente. Pero la forma en que estas regulaciones darán forma a la evolución de la regulación por venir, por lo que es importante que consideremos las medidas que se están tomando, dónde se destacan y dónde se quedan cortas, dice Ken Munro, socio de Pen Test Partners.

1. La Ley de mejora de la ciberseguridad de IoT de 2017 (EE. UU.): Con el objetivo de controlar la IoT dentro del gobierno de EE. UU., La Ley de mejora de la ciberseguridad de la IoT podría tener profundas implicaciones para el desarrollo de la IoT. Los dispositivos no deben presentar fallas de seguridad conocidas en la base de datos del NIST, deben admitir actualizaciones, deben usar credenciales fijas o codificadas para administración remota, actualizaciones y comunicación, y las vulnerabilidades deben ser reveladas y reparadas. Sin embargo, limitar las fallas a NIST podría hacer que se pasen por alto problemas comunes que no se enumeran, como la inyección de SQL en las aplicaciones de los clientes. Tampoco reconoce que muchos protocolos de RF están diseñados para no usar ninguna credencial, por lo que estos dispositivos deberían descartarse o actualizarse para admitir un protocolo inalámbrico más estricto. La ley aún no se ha aprobado y otras sobre la mesa incluyen la Ley de IoT inteligente, la Ley DIGIT, la Ley de seguridad de IoT, la Ley del escudo cibernético y la Ley de TIPS del consumidor de IoT.
2. Ley de ciberseguridad (UE): A partir de mayo de 2018, la legislación hará que la Agencia de la Unión Europea para la Seguridad de las Redes y la Información (ENISA) se convierta en la agencia de ciberseguridad y en un marco de certificación creado para certificar automóviles conectados y productos inteligentes en todos los estados miembros de la UE. La Ley de Ciberseguridad solo será obligatoria para la Infraestructura Nacional Crítica. Los fabricantes pueden solicitar que sus dispositivos de IoT se clasifiquen bajo un esquema de certificación como "básico", "sustancial" o "alto", pero el sistema es voluntario. En un intento por atraerlos, aquellos que opten por el nivel "básico" pueden "realizar ellos mismos las pruebas de conformidad". La documentación establece que ENISA tendrá el poder de “emitir advertencias dirigidas a proveedores y fabricantes para mejorar la seguridad”, pero no se menciona cómo se hará cumplir. Sí prevé las quejas, lo que permite a los cabilderos e investigadores de seguridad denunciar y divulgar de manera responsable en todo el sindicato.
3. SB-327 (EE. UU.): Aprobado en agosto de 2018, SB-327 convierte a California en el primer estado de EE. UU. En regular la tecnología inteligente. Exige algunos estándares de seguridad básicos para los dispositivos de los consumidores y entrará en vigor a partir de enero de 2020. Sin embargo, la redacción es vaga y se refiere a la seguridad "apropiada" que está "diseñada para proteger". La mayoría de los dispositivos podrían afirmar que tenían la intención de proteger el dispositivo / los datos eludiendo así los requisitos. Hace que las contraseñas únicas sean obligatorias, pero no aborda el problema de si existe una buena fuente de entropía en el dispositivo. Los minoristas también se liberan del anzuelo, lo que podría hacer que los mercados se llenen de tecnología no compatible antes de 2020. No existe ningún requisito establecido para que estos dispositivos admitan actualizaciones.
4. Código de prácticas para la seguridad de IoT del consumidor (Reino Unido): Basado en el borrador de propuesta de Secure by Design lanzado en marzo, la CoP emitida por Digital, Culture, Media and Sport (DCMS) ahora incorpora el Reglamento General de Protección de Datos (GDPR). Si bien es de amplio alcance y proporciona pautas para fabricantes, desarrolladores de aplicaciones móviles, proveedores de servicios y minoristas, es voluntario. La CoP establece que no se deben utilizar contraseñas predeterminadas, que las credenciales y los datos confidenciales de seguridad deben almacenarse de forma segura y el software debe mantenerse actualizado. Sin embargo, aunque recomienda utilizar una política de divulgación de vulnerabilidades, no requiere que los proveedores emitan una solución. No obstante, es un paso adelante muy positivo para la seguridad de IoT del consumidor.

Lo que está claro es que las autoridades están a favor de un enfoque suave y suave que plantea la pregunta:¿se observarán estos estándares de manera voluntaria? Los proveedores de IoT están bajo una intensa presión para llevar sus productos al mercado. Para que adopten cualquier forma de regulación por su propia cuenta, sería necesario que hubiera una ventaja significativa para ellos ... o repercusiones.

Es aquí donde el propio mercado podría ejercer más presión. Otorgue a los consumidores el derecho a devolver productos inteligentes vulnerables a cambio de crédito al consagrarlo en la legislación sobre normas comerciales. Anime al sector minorista a comprometerse a no almacenar dispositivos vulnerables. Los fabricantes tendrían más incentivos para capitular, suscribirse a esquemas de clasificación y someter sus dispositivos a pruebas.

En este momento, es demasiado pronto para saber qué tan efectiva será la autorregulación. Necesitamos dejar que la legislación se establezca y darle a la industria la oportunidad de adaptarse a lo que podría ser un momento crucial para el IoT. Solo entonces podremos evaluar dónde necesitamos aplicar más medidas punitivas.

El autor de este blog es Ken Munro, socio de Pen Test Partners. Él informa regularmente a los departamentos gubernamentales del Reino Unido y EE. UU. Y participa en varios consejos de consumidores de la UE sobre la regulación de IoT.