La ley de seguridad de IoT exige estándares

Para muchos equipos de desarrollo de IoT, la seguridad sigue siendo un elemento de la lista de deseos que se considera que no vale el costo y el esfuerzo necesarios para la implementación en un producto de consumo. Los consumidores no parecen dispuestos a pagar más por funciones mejoradas de ciberseguridad o por evitar productos que carecen de dichas funciones. Sin embargo, las actividades legislativas están comenzando a hacer de la seguridad un requisito legal para los diseños de IoT de los consumidores.

Hablando en la Cumbre de Seguridad de IoT de IoT World Today, la directora del programa del Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU., Katerina Megas, señaló que la legislación que exige que los dispositivos de IoT incorporen seguridad ya está en los libros en algunos estados, y se está agregando a también la ley federal. En enero de 2020, señaló Megas, tanto California como Oregón promulgaron leyes que requieren que los fabricantes de dispositivos conectados en sus estados equipen sus dispositivos con "características de seguridad razonables". Además, varios estados adicionales, incluidos Illinois, Massachusetts, Nueva York y Virginia, tienen una legislación similar pendiente o en consideración.

Megas también señaló que el gobierno de los EE. UU. Está comenzando a crear una legislación que exige la seguridad de IoT. La Cámara de Representantes de EE. UU., Por ejemplo, presentó HR 1668 - Ley de mejora de la seguridad cibernética de Internet de las cosas de 2020 en marzo. La ley exige la creación de "estándares y pautas para el gobierno federal sobre el uso y la gestión adecuados por parte de las agencias de los dispositivos de Internet de las cosas que son propiedad o están controlados por una agencia y conectados a sistemas de información que son propiedad o están controlados por una agencia, incluida la seguridad mínima de la información". requisitos para gestionar los riesgos de ciberseguridad asociados con dichos dispositivos ". Fue aprobada tanto por la Cámara como por el Senado y se convirtió en ley el 4 de diciembre; los estándares y directrices deben publicarse en un plazo de 90 días.

Las leyes que exigen que las funciones de seguridad se implementen en los dispositivos de IoT están comenzando a promulgarse.

Si bien H.R.1668 solo se aplica a los sistemas de IoT que usa el gobierno de EE. UU., marca el comienzo de los mandatos de ciberseguridad que finalmente se aplicarán en todo EE. UU. para sistemas industriales y de consumo también. En 2019, el Congreso estableció la Comisión Cyberspace Solarium para desarrollar un enfoque estratégico para que EE. UU. Se defienda en el ciberespacio. El primer informe de esa comisión contenía más de 80 recomendaciones, incluidas más de 50 propuestas legislativas para ayudar a implementar la estrategia de defensa estratificada de la comisión. Muchas de estas propuestas no solo afectan los sistemas del gobierno, también se aplican a los sistemas industriales y de consumo.

Tres propuestas específicas merecen una gran atención por parte de los equipos de desarrollo de IoT. Uno pide que EE. UU. Apruebe una ley de seguridad de IoT que exija "medidas de seguridad razonables" en consonancia con las recomendaciones del NIST, como NISTIR 8259 - Actividades fundamentales de ciberseguridad para fabricantes de dispositivos de IoT. Otra propuesta pide el establecimiento de una Autoridad Nacional de Certificación y Etiquetado de Ciberseguridad, que verificará el cumplimiento de los requisitos de los dispositivos IoT. Además, esta propuesta exige que esa autoridad amplíe su alcance más allá de los sistemas de IoT federales e industriales para abarcar la electrónica personal y de consumo.

La tercera propuesta que merece atención tiene el potencial de anular cualquier objeción económica a la implementación de la seguridad de IoT en el diseño que pueda permanecer. Esta propuesta requiere el establecimiento de responsabilidad para los ensambladores de bienes finales. Si se implementa, los fabricantes de dispositivos IoT a la venta serán responsables de los daños si sus dispositivos no protegen contra vulnerabilidades conocidas. En otras palabras, la seguridad de IoT se convertirá en una característica "imprescindible", ya sea que incite a los consumidores a gastar más o no. El riesgo de no implementar la seguridad será simplemente demasiado alto.

Las “características de seguridad razonables” que exige toda esta legislación todavía están, por el momento, definidas de manera muy vaga. En las leyes de California y Oregón, según Megas, la definición de "razonable" simplemente exige medidas que sean apropiadas para la función del dispositivo y la información que maneja, y buscan prevenir el acceso, divulgación, uso, modificación o destrucción no autorizados de Esa información. No se definen medidas específicas.

Tampoco es probable que lo sean. Como señaló Megas en la presentación, una filosofía rectora del NIST al recomendar medidas de ciberseguridad es que una talla no sirve para todos. Por lo tanto, no se están codificando medidas específicas en estas leyes. En cambio, los esfuerzos están adoptando un enfoque basado en resultados. Las leyes que se avecinan y que requerirán diseños de IoT para implementar la ciberseguridad no especificarán cómo se hará esto. Esa determinación seguirá estando en los equipos de desarrollo. Pero la necesidad de seguridad de IoT y la funcionalidad de su implementación están en camino de evolucionar desde el sentido común hasta los requisitos legales.

>> Este artículo se publicó originalmente el nuestro sitio hermano, EDN.