La semana pasada, un grupo bipartidista del Caucus de Ciberseguridad del Senado de Estados Unidos propuso una nueva pieza legislativa denominada "Ley de Mejora de la Ciberseguridad del Internet de las Cosas de 2017". Aunque el proyecto de ley aún no ha sido ratificado, se centra más intensamente en la seguridad de los miles de millones de dispositivos que recibirán conectividad a la red y a Internet en los próximos años.
CSS está firmemente a favor de esta legislación. Aunque nos complace ver que se destinan estrategias y dinero a aumentar la seguridad deIoT en determinados segmentos de la industria, como la automoción, la medicina y el Internet industrial, en la mayoría de los casos las prácticas de seguridad débiles superan a las fuertes. Hay demasiados casos en IoT en los que los vendedores no están motivados para dedicar tiempo o dinero extra a hacer los dispositivos más seguros, y en los que los consumidores no ven el valor de pagar por la seguridad adicional. La red de bots Marai es un excelente ejemplo de las ramificaciones de este problema. Y cuando la dinámica normal del libre mercado no conduce a la adopción de medidas de seguridad adecuadas, la legislación puede convertirse en la única opción en determinados segmentos del mercado.
Para quienes no hayan leído la legislación, he aquí algunos datos rápidos, basados en mi lectura del proyecto de ley:
¿Qué dispositivos cubre?
Este proyecto de ley sólo afecta a los dispositivos conectados a Internet adquiridos por organismos federales. Sin embargo, es probable que también tenga algún impacto colateral en los dispositivos de los consumidores y del sector privado, ya que muchos dispositivos serían adquiridos por organizaciones tanto del sector público como del privado. Además, este tipo de legislación federal puede servir de modelo para futuras normativas en ámbitos más específicos.
¿Qué requisitos se exigen a los dispositivos de IoT ?
Las principales disposiciones del proyecto de ley son bastante sencillas:
- Los dispositivos no deben contener vulnerabilidades o defectos de seguridad conocidos.
- Los dispositivos deben poder actualizarse de forma segura, en el momento oportuno, con parches autorizados por el proveedor. Esto, por supuesto, es una necesidad para cumplir con el punto #1, ya que se descubren nuevas vulnerabilidades. La autorización de las actualizaciones y los parches es un área en la que los implementadores de IoT se han quedado cortos en el pasado.
- Los dispositivos deben utilizar únicamente protocolos y tecnologías estándar del sector para el cifrado, la autenticación y las comunicaciones.
- Los dispositivos no deben contener credenciales administrativas codificadas. Esto debería ser una obviedad, pero probablemente ha sido la principal causa de las "historias de terror" de IoT hasta la fecha.
¿Tienen que cumplir estos requisitos todos los dispositivos?
No. El proyecto de ley tiene en cuenta los dispositivos con una funcionalidad "muy limitada", e incluso permite comprar dispositivos que no cumplan la normativa, siempre que se establezcan controles de seguridad adicionales que alcancen un nivel de seguridad similar.
El proyecto de ley también establece los inicios de un ecosistema de seguridad en torno a los dispositivos IoT , con disposiciones como:
- Determinar las funciones de los contratistasexternos que pueden auditar los dispositivos según las normas,
- Protecciones para los investigadores de seguridad de sombrero blanco que intentan encontrar puntos débiles en los dispositivos y notificárselo a los vendedores,
- Directrices para los vendedores sobre la divulgación oportuna y la aplicación de parches a las vulnerabilidades cuando se descubran.
Todas estas disposiciones son sensatas y, en muchos aspectos, reflejan la forma en que se han gestionado durante bastante tiempo los análisis y parches de seguridad más convencionales de software . Por ahora, este proyecto de ley no es más que un pequeño, pero buen primer paso. Y cualquier cosa que atraiga más atención hacia la mejora de la seguridad de IoT es positiva.
