La regulación de seguridad de IoT del Reino Unido alienta a los consumidores a ser más conscientes

El gobierno del Reino Unido está avanzando con sus planes de crear una regulación para los dispositivos de IoT. La medida sigue una amplia tendencia global para tratar de bloquear el floreciente pero inseguro mundo de IoT, dice Mike Nelson, vicepresidente de seguridad de IoT en DigiCert . .

Durante demasiado tiempo, los dispositivos de Internet de las cosas (IoT) se han lanzado al mercado repletos de vulnerabilidades que amenazan con nuevos y extraños tipos de catástrofes para los usuarios. Desde ataques que aprovechan la funcionalidad misma de un dispositivo de IoT, como un automóvil pirateable o una muñeca que se puede convertir en un dispositivo de vigilancia remota, hasta eventos como los ataques de Mirai que amenazaron la infraestructura de Internet a gran escala. Es por esas razones que el gobierno del Reino Unido ha dado un paso al frente.

Las regulaciones tienen como objetivo basarse en el Código de prácticas de 2018 - Secure by Design - que ofreció una serie de pautas a los fabricantes de dispositivos de IoT, así como a los consumidores, sobre cómo construir y usar de forma segura dispositivos de IoT. Incluyen sugerencias para almacenar de forma segura las credenciales y otros datos de seguridad, minimizando las superficies expuestas al ataque, asegurando la integridad y la actualización continua del software en los dispositivos de IoT y garantizando una comunicación segura desde y hacia los dispositivos.

El código de práctica agregó que se estaba implementando con la esperanza de que la gente cumpliera y, si no lo hicieran, el gobierno comenzaría a hacer que esas pautas fueran obligatorias. Parece que finalmente sucedió y los reguladores ahora harán que al menos tres de esas pautas sean obligatorias.

Tres pautas

En primer lugar, las contraseñas de IoT deben ser únicas y no se pueden restablecer a los valores predeterminados de fábrica, lo que permite que un atacante simplemente busque esa contraseña.

En segundo lugar, los fabricantes deben tener un contacto anunciado públicamente para las divulgaciones de vulnerabilidades, lo que permite informar y corregir los errores a tiempo.

En tercer lugar, los fabricantes deben indicar claramente el período mínimo de tiempo durante el cual el dispositivo recibirá actualizaciones de seguridad, de modo que los consumidores puedan planificar su baja o tomar otras decisiones de seguridad sobre esa base.

Los dispositivos que cumplan podrán llevar con orgullo un sello que significa un respaldo del gobierno a la seguridad de este producto en particular. Puede parecer un movimiento simple, pero es uno que cambia profundamente la relación entre la seguridad de IoT y el consumidor.

La seguridad de IoT se deja a los fabricantes

Si bien la seguridad de IoT hasta ahora se ha dejado en manos de los fabricantes y luego quizás de los equipos de seguridad empresarial para que la arreglen después del hecho, el esquema de certificación de Secure by Design finalmente pone esas decisiones de seguridad en manos del consumidor. Ahora, pueden tomar esas decisiones antes de introducir dispositivos vulnerables y débilmente protegidos en una red que de otro modo sería segura.

Ahora que los consumidores pueden tener en cuenta la seguridad al comprar dispositivos de IoT, puede convertirse en un diferenciador competitivo. Los fabricantes hasta ahora han creado dispositivos inseguros en gran parte porque les resultaba más barato hacerlo. No había demanda en el mercado para fabricar dispositivos seguros y no había mucho que les hiciera rentable hacerlo.

Etiquetar dispositivos e introducir la seguridad como un diferenciador competitivo para los consumidores obligará a los fabricantes a pensar en cómo pueden perder menos y ganar más pensando en la seguridad desde la etapa de diseño en adelante. Una vez que a los consumidores les importa, los fabricantes también empezarán a preocuparse.

Cálculo realizado demasiado tarde

Es un cálculo simple que se ha realizado demasiado tarde. Durante demasiado tiempo, se ha dejado a los fabricantes la responsabilidad de asegurar sus productos de IoT, sin una zanahoria ni un palo para impulsarlos. No resolverá todos los problemas de seguridad, pero es una respuesta encomiable a un problema que ha perseguido a este campo durante mucho tiempo. Los gobiernos de todo el mundo están empezando a hacer palos, pero lo inteligente de Secure by Design y su esquema de certificación es que también viene con una zanahoria.

El autor es Mike Nelson, vicepresidente de seguridad de IoT, DigiCert

Sobre el autor

Mike Nelson es vicepresidente de seguridad de IoT en DigiCert, un proveedor global de seguridad digital. En este puesto, Mike supervisa el desarrollo de mercado estratégico de la empresa para las diversas industrias de infraestructura crítica que aseguran redes altamente sensibles y dispositivos de Internet de las cosas (IoT), incluida la atención médica, el transporte, las operaciones industriales y las implementaciones de redes inteligentes y ciudades inteligentes. Mike consulta con frecuencia con organizaciones, contribuye con informes de los medios, participa en organismos de estándares de la industria y habla en conferencias de la industria sobre cómo se puede usar la tecnología para mejorar la seguridad cibernética de los sistemas críticos y las personas que dependen de ellos.

Mike ha desarrollado su carrera profesional en TI para el cuidado de la salud, incluido el tiempo en el Departamento de Salud y Servicios Humanos de EE. UU., GE Healthcare y Leavitt Partners - una firma de consultoría de atención médica boutique. La pasión de Mike por la industria proviene de su experiencia personal como diabético tipo 1 y su uso de la tecnología conectada en su tratamiento.