El estándar ETSI IoT:¿Están los reguladores haciendo lo suficiente para proteger los dispositivos IoT?

El anuncio de un nuevo estándar para la seguridad de Internet de las cosas (IoT) por parte de ETSI comité técnico en junio de 2020 fue muy bienvenido en la industria de la seguridad de la información. ETSI EN 303 645 establece una línea de base de seguridad para los productos conectados a Internet y establece 13 disposiciones que describen los pasos que los fabricantes pueden tomar para proteger los dispositivos y garantizar el cumplimiento. Alan Grau , vicepresidente de IoT y soluciones integradas, Sectigo informes.

La nueva regulación sigue una tendencia creciente de legisladores y reguladores que se están dando cuenta de la cuestión urgente de la seguridad cibernética en la Internet de las cosas. A raíz del SB-327 de California, que entró en vigor a principios de 2020, y el marco del “Borrador de código de prácticas:asegurar la Internet de las cosas para los consumidores” de Australia, quedó claro que los gobiernos y los organismos internacionales estaban comenzando a abordar el desafío de frente.

Cuando el Reino Unido anunció su nuevo marco de IoT en enero de 2020, la medida impulsó el argumento de que la seguridad de IoT había sido insuficiente durante años, y los reguladores estaban listos para modificar eso.

Sin embargo, la pregunta sigue siendo:¿estas legislaciones y estándares están haciendo lo suficiente para abordar la seguridad de los dispositivos de IoT?

El papel de la legislación en la protección de la IoT

Durante muchos años, los dispositivos funcionarían en redes cerradas y patentadas, aseguradas con un perímetro defendible. Con la llegada de Internet, estos sistemas se vincularon cada vez más entre sí a través de TCP / IP. Los beneficios de esto se han discutido mucho, con los dispositivos de IoT como una pieza central de la vida de los consumidores, así como de las redes de las empresas. Y su crecimiento sigue siendo imparable:la casa de analistas IDC predice que para 2025, habrá 41,6 mil millones de dispositivos IoT conectados en uso.

Sin embargo, el consenso legislativo no ha podido seguir el ritmo de este crecimiento. A medida que el mercado se ha expandido, los nuevos proveedores y fabricantes a menudo han superado a los competidores en precios, para crear una oferta de mercado accesible y popular. La reducción de costos puede llevar las soluciones al mercado rápidamente, pero muy pocos están invirtiendo el tiempo suficiente y el enfoque organizacional para incorporar los niveles adecuados de autenticación y seguridad.

En ausencia de un marco legislativo de IoT efectivo, los fabricantes han pasado décadas produciendo dispositivos con poca o ninguna seguridad incorporada, con credenciales a menudo solo estáticas como barrera para los ciberdelincuentes. A menos que la seguridad se convierta en un mandato, los fabricantes continuarán tomando atajos a expensas de la seguridad. Solo la legislación y la gobernanza minuciosa pueden garantizar que la seguridad de IoT se implemente por diseño, en el punto de fabricación y durante todo el ciclo de vida del dispositivo.

Los pequeños avances hacia la seguridad

Por un lado, es genial ver los pasos progresivos realizados para proteger los dispositivos de IoT. Por otro lado, está claro que aún quedan más cambios por hacer y es necesario alcanzar un consenso más amplio.

En Estados Unidos, por ejemplo, SB-327 estableció un marco claro para que los fabricantes utilicen herramientas de autenticación y seguridad de próxima generación. Fue un paso importante y diseñado para atacar botnets que habían revelado serias deficiencias en las prácticas de seguridad anteriores. Desafortunadamente, fue una legislación aislada, específica del estado de California y no vinculante a nivel nacional.

Mirando a través de la lente de ETSI EN 303 645, se puede llegar a una conclusión similar. Este es el resultado de la colaboración entre figuras de la industria, académicos y gobiernos y, sin embargo, el nuevo estándar no es exigible ni vinculante legalmente.

Si bien presenta un objetivo único para que los fabricantes y las partes interesadas de IoT avancen, todavía habrá algunos en la industria que tienden a implementar procesos de seguridad laxos, porque es más barato y, a menudo, simplemente porque pueden, sin tener que rendir cuentas.

Es importante crear estándares con visión de futuro que aborden el desafío de la seguridad en todo el IoT, pero esto debe complementarse con una agenda legislativa, una que garantice que los fabricantes cumplan con un marco de seguridad cibernética al crear dispositivos.

Por qué lo mejor es lo integrado

Está claro que los gobiernos y los organismos de la industria deben ser más activos en la creación de un consenso de seguridad de IoT, pero existe cierta discusión sobre cuáles son las mejores prácticas para proteger estos dispositivos. Algo que ahora se conoce comúnmente es la importancia de la seguridad incorporada y la autenticación PKI en el punto de fabricación. Con cadenas de suministro cada vez más complicadas, el énfasis está en el OEM para garantizar que el dispositivo sea seguro en el momento de su creación.

Para autenticar y cifrar el dispositivo, la PKI debe estar incorporada para que no pueda ser manipulada más a lo largo de la cadena de suministro por parte de agentes malintencionados. Solo si el chipset está autenticado y protegido por certificados desde la etapa de fabricación de la fundición, permanecerá seguro durante todo el ciclo de vida del dispositivo.

Cadenas de suministro globales:¿es hora de los estándares globales?

IoT está brindando una conectividad incomparable entre dispositivos, personas y empresas, pero también presenta riesgos para las redes domésticas y comerciales. El enorme crecimiento de la industria ha complicado el proceso de fabricación, por lo que ahora los dispositivos se crean a través de cadenas de suministro de enorme complejidad y a través de fronteras internacionales.

Para abordar este problemático desafío, es hora de que las legislaturas trabajen juntas para crear un consenso global que proteja los dispositivos en cada etapa de su ciclo de vida. Solo así se mantendrán seguras las cadenas de suministro y los productos finales, y se mantendrán a raya los riesgos para la propiedad, la vida y la seguridad de los datos.

El autor es Alan Grau, vicepresidente de IoT y soluciones integradas de Sectigo.