La normativa cambiará la forma en que se diseñan, despliegan y gestionan los dispositivos, y es uno de los factores en los que se basa nuestro marco de gestión de la seguridad IoT y sus medidas de defensa, detección y reacción. Está impulsando una mayor atención a la seguridad del IoT para los fabricantes de equipos originales, los proveedores de soluciones y las empresas y, con esto en mente, nos complace presentar a David Rogers, director general de Copper Horse, como redactor invitado. Ha tenido una gran influencia en el proceso de normalización y regulación en el Reino Unido, pero se verán procesos casi idénticos en la UE y los EE. UU.
El inicio de la regulación de la seguridad del IoT
La seguridad del Internet de las Cosas (IoT) lleva algún tiempo en la mente de los responsables gubernamentales de todo el mundo. La vulnerabilidad del IoT se identificó en la Estrategia Nacional de Ciberseguridad del Reino Unido en 2016, en la que se afirmaba que «el Internet de las Cosas crea nuevas oportunidades de explotación y aumenta el impacto potencial de los ataques que pueden causar daños físicos, lesiones a las personas y, en el peor de los casos, la muerte». El Reino Unido cumplió su estrategia con un Código de Prácticas para la Seguridad de IoT del Consumidor publicado en 2018. Este contenía 13 directrices centradas en los resultados que abordaban cuestiones de diseño de seguridad de productos y mejores prácticas para fabricantes y proveedores de soluciones de IoT. Estos se llevaron luego al Instituto Europeo de Normas de Telecomunicaciones (ETSI) y, junto con los miembros de la industria y el gobierno, se llevaron adelante y se estandarizaron, convirtiéndose finalmente en una Norma Europea, ETSI EN 303 645. Esta norma se acompañó de una especificación de evaluación de la conformidad, ETSI TS 103 701.
Este trabajo ha sido ampliamente adoptado en todo el mundo, de Finlandia a Singapur, de Australia a la India. Por supuesto, esto es muy positivo para la ciberseguridad en general: una base común sobre la que trabajar y, sobre todo, un entendimiento común de lo que es bueno. Así se evita una fragmentación innecesaria que, a su vez, genera costes económicos e inseguridad, ya que los fabricantes aplican requisitos diferentes en todo el mundo. Hay otras normas que se han desarrollado posteriormente, como la familia NIST 8259 de EE.UU. y las de países específicos de todo el mundo. En general, abordan los mismos aspectos y existe un claro espíritu de armonización.
El sitio de mapeo de la seguridad del IoT de Copper Horse, desarrollado por encargo del Gobierno británico, traza estos diferentes requisitos y normas emergentes para ayudar a comprender dónde existe fragmentación y dónde hay alineación común. La información está disponible como open data para que las empresas puedan descargarla y utilizarla en sus propios procesos de desarrollo de productos.
Cumplimiento y «certificación»
Con las normas vienen el cumplimiento y la conformidad. Los indicadores actuales del Reino Unido, Europa y Estados Unidos indican que se utilizarán mecanismos de autodeclaración, es decir, que se espera que los productos cumplan las normas definidas. Algunos laboratorios de pruebas de Europa, como TÜV SÜD, ya ofrecen pruebas de conformidad con la norma europea, con la esperanza de que también se adopte en toda Europa a través de la nueva Ley de Ciberresiliencia (CRA). Aunque estas pruebas pueden dar lugar a un certificado, es importante explicar lo que eso significa. Los 13 requisitos de la norma ETSI EN 303 645 están orientados a la «seguridad desde el diseño». Esto significa que el enfoque de la seguridad de un producto es lo principal, no, por ejemplo, la ausencia de vulnerabilidades específicas y, desde luego, no una declaración de que el producto es seguro al 100%. Esto refleja el hecho de que el espacio siempre está en movimiento. Sin embargo, podemos decir cosas que no recomendamos en el producto (las contraseñas por defecto son el ejemplo más claro), o buenas prácticas como que una empresa adopte procesos de divulgación de vulnerabilidades para permitir una ruta clara de notificación y resolución de las brechas de seguridad descubiertas y comunicadas a los fabricantes del IoT. También queremos que un producto tenga la capacidad de recibir actualizaciones de seguridad, que se comunique de forma segura y que todas las claves y datos relacionados se procesen y almacenen de forma segura con bases de seguridad respaldadas por hardware.
Etiquetado
Algunos países han estudiado sistemas de etiquetado. En el Reino Unido se estudió esta posibilidad y se sometió a consulta pública, lo que llevó a no implantar un sistema de etiquetado. Algunos defienden el etiquetado digital o «en vivo», sobre todo en Estados Unidos. Puede adoptar la forma de un código QR vinculado al producto, pero en última instancia se trata de una base de datos en línea con información sobre el estado de seguridad de un producto en cualquier momento. Parece un paso adelante muy progresista y abre muchas posibilidades interesantes de cara al futuro en cuanto a la forma de comprobar el estado actual de los productos: por ejemplo, cuál es el nivel actual de actualización de seguridad y si el dispositivo actual está parcheado en ese estado. Esto alejará al mundo del etiquetado y la certificación estáticos de los productos.
Legislación y Regulación
El Reino Unido aprobó la Ley de Seguridad de Productos y Telecomunicaciones (PSTI) en diciembre de 2022, y en abril de 2023 se publicaron nuevos proyectos de reglamentos para la sección relativa a la seguridad de los productos. Este trabajo ha servido de referencia y se ha adoptado en otros ámbitos, como el programa de seguridad del Reglamento de Vehículos Eléctricos (Puntos de Carga Inteligentes) de 2021, que entró en vigor en diciembre de 2022. Tanto los vehículos eléctricos inteligentes como los PSTI (Product Security and Telecommunications Infrastructure) estarán regulados por la Oficina de Seguridad de los Productos (OPSS). Además, el Código de Prácticas de la Ley de Seguridad de las Telecomunicaciones del Reino Unido de 2021 hace referencia a los requisitos descritos en la Ley PSTI, lo que demuestra un enfoque conjunto de la ciberseguridad general y las relaciones simbióticas de seguridad que existen. En el futuro, estos requisitos básicos comunes podrían extenderse fácilmente a otros sectores, que sufren problemas comunes.
Como ya se ha indicado, es probable que numerosos países y regiones exijan que los productos conectados se fabriquen y utilicen de forma segura, por lo que el reloj corre en contra de los fabricantes. Reino Unido ha declarado que va a regular a partir del 29 de abril de 2024, por lo que los productos de consumo conectados, como routers, cámaras web, frigoríficos y, sí, tostadoras, tendrán que ser producidos de una manera compatible en esa fecha o se les impedirá ser vendidos en el país. Hay una cuenta atrás en línea en: https://www.iotsecurity.uk/.
La seguridad IoT mejorada se convertirá en un requisito legal para los dispositivos IoT utilizados por los consumidores y en un requisito de contratación para las empresas. Para ayudar a las empresas a hacer esta transición, Wireless Logic ha publicado un Marco de Gestión de Seguridad IoT. Nuestro marco aborda la seguridad a través de una óptica de conectividad IoT aunque no se limita a eso y complementa otros estándares (ETSI EN 303 645) y marcos (NIST, IoTSF) líderes. Es nuestra forma de hablar sobre la seguridad IoT y ayuda a nuestros clientes a cumplir la normativa, implementar cambios en las personas y los procesos (formación y políticas) y evaluar su capacidad de riesgo en función de la sensibilidad de los datos y la economía de su solución. También posiciona los productos y servicios Wireless Logic relevantes que proporcionan beneficios de seguridad adicionales a nivel de dispositivo, red y aplicaciones.
Visite nuestra sección de seguridad IoT para obtener más información sobre nuestras disposiciones de seguridad Defender, Detectar y Reaccionar y sobre cómo es necesario un enfoque de 360 grados para minimizar los riesgos seguridad en el IoT.
