El anuncio de un nuevo estándar para la seguridad de Internet de las cosas (IoT) por parte del ETSI El comité técnico en junio de 2020 fue muy bienvenido en la industria de infosec. ETSI EN 303 645 establece una línea de base de seguridad para productos conectados a Internet, y establece 13 disposiciones que describen los pasos que los fabricantes pueden tomar para asegurar los dispositivos y garantizar el cumplimiento. Alan Grau, vicepresidente de IoT y soluciones integradas, Sectigo informes.

La nueva regulación sigue una tendencia creciente de legisladores y reguladores que se despiertan ante el problema urgente de la seguridad cibernética en Internet de las cosas. Tras el SB-327 de California, que entró en vigencia a principios de 2020, y el marco del “Proyecto de Código de Prácticas: Asegurando el Internet de las Cosas para los Consumidores” de Australia en 2019, quedó claro que los gobiernos y los organismos internacionales estaban comenzando a abordar el desafío de frente.

Cuando el Reino Unido anunció su nuevo marco de IoT en enero de 2020, la medida amplió el argumento de que la seguridad de IoT había sido insuficiente durante años, y los reguladores estaban listos para modificar eso.

Sin embargo, la pregunta sigue siendo: ¿estas legislaciones y estándares están haciendo lo suficiente para abordar la seguridad de los dispositivos IoT?

El papel de la legislación en asegurar el IoT

Durante muchos años, los dispositivos funcionarían en redes privadas cerradas, aseguradas con un perímetro defendible. Con el advenimiento de Internet, estos sistemas se unieron cada vez más entre sí a través de TCP / IP. Los beneficios de esto se han discutido mucho, ya que los dispositivos IoT son una parte central de la vida de los consumidores y de las redes de las empresas. Y su crecimiento sigue siendo imparable: casa de analistas IDC predice que para 2025, habrá 41,6 mil millones de dispositivos IoT conectados en uso.

Sin embargo, el consenso legislativo no ha podido mantenerse al día con este crecimiento. A medida que el mercado se ha expandido, los nuevos proveedores y fabricantes a menudo han socavado a los competidores en precios, para crear una oferta de mercado popular y accesible. Reducir costos puede llevar soluciones al mercado rápidamente, pero muy pocos están invirtiendo suficiente tiempo y enfoque organizacional para incorporar niveles apropiados de autenticación y seguridad.

En ausencia de un marco legislativo de IoT efectivo, los fabricantes han pasado décadas produciendo dispositivos con poca o ninguna seguridad incorporada, a menudo solo con credenciales estáticas como barrera para los ciberdelincuentes. A menos que la seguridad sea obligatoria, los fabricantes continuarán cortando esquinas a expensas de la seguridad. Solo la legislación y la gobernanza exhaustiva pueden garantizar que la seguridad de IoT se implemente por diseño, en el punto de fabricación y durante todo el ciclo de vida del dispositivo.

Los pequeños pasos hacia la seguridad.

Por un lado, es genial ver pasos progresivos para asegurar dispositivos IoT. Por otro lado, está claro que todavía hay más cambios por hacer, y se necesita llegar a un consenso más amplio.

Mirando a los Estados Unidos, por ejemplo, SB-327 estableció un marco claro para que los fabricantes utilicen herramientas de seguridad y autenticación de próxima generación. Fue un paso importante, y uno diseñado para apuntar a las botnets que habían revelado serias deficiencias en las prácticas de seguridad anteriores. Lamentablemente, era una legislación aislada, específica del estado de California y no vinculante a nivel nacional.

Alan Grau

Mirando a través de la lente de ETSI EN 303 645, se puede llegar a una conclusión similar. Esto es el resultado de la colaboración entre figuras de la industria, académicos y gobiernos y, sin embargo, el nuevo estándar no es aplicable y legalmente vinculante.

Si bien presenta un objetivo único para que los fabricantes y las partes interesadas de IoT avancen, todavía habrá algunos en la industria que tienden a implementar procesos de seguridad laxos, porque es más barato y, a menudo, simplemente porque pueden hacerlo, sin ser responsables.

Es importante crear estándares con visión de futuro que aborden el desafío de la seguridad en todo el IoT, pero esto debe complementarse con una agenda legislativa, que garantice que los fabricantes cumplan con un marco de seguridad cibernética al crear dispositivos.

Por qué es mejor incorporar

Está claro que los gobiernos y los organismos de la industria deben ser más activos en la creación de un consenso de seguridad de IoT, pero hay una discusión sobre cuáles son las mejores prácticas para asegurar estos dispositivos. Algo que ahora se conoce comúnmente es la importancia de la seguridad incorporada y la autenticación PKI en el punto de fabricación. Con cadenas de suministro cada vez más complicadas, el énfasis está en el OEM para garantizar que el dispositivo esté seguro en el momento en que se crea.

Para autenticar y encriptar el dispositivo, PKI necesita ser incorporado para que no pueda ser manipulado a lo largo de la cadena de suministro por actores maliciosos. Solo si el chipset está autenticado y protegido por certificados de la etapa de fabricación de la fundición, permanecerá seguro durante todo el ciclo de vida del dispositivo.

Cadenas de suministro globales: ¿es hora de estándares mundiales?

IoT brinda una conectividad incomparable entre dispositivos, personas y empresas, pero también conlleva riesgos para las redes domésticas y comerciales. El enorme crecimiento de la industria ha complicado el proceso de fabricación, por lo que ahora los dispositivos se crean a través de cadenas de suministro de gran complejidad y a través de las fronteras internacionales.

Para abordar este problema problemático, es hora de que las legislaturas trabajen juntas, para crear un consenso global que proteja los dispositivos en cada etapa de su ciclo de vida. Solo de esta manera las cadenas de suministro y los productos finales permanecerán seguros, y los riesgos para la propiedad, la vida y la seguridad de los datos se mantendrán a raya.

El autor es Alan Grau, vicepresidente de IoT y soluciones integradas, Sectigo.

Dejar respuesta

Please enter your comment!
Please enter your name here