La legislación es la única manera de asegurar la industria de IoT.

La legislación es la única manera de asegurar la industria de IoT.
5 (100%) 5 votos

La legislación es la única manera de asegurar la industria de IoT. 1

Utilizamos dispositivos conectados cada vez más, tanto en casa como en el trabajo, desde enrutadores inalámbricos hasta timbres y sistemas de seguridad conectados, iluminación inteligente e incluso cafeteras inteligentes. Y es solo el comienzo. Solo en el Reino Unido, el gobierno ha predicho que habrá más de 420 millones de dispositivos conectados en los próximos tres años.

Mantener estos dispositivos seguros es un gran problema. Nadie quiere que se piratee la seguridad de la cámara de su casa, que se escuchen las comunicaciones que tienen con su altavoz digital o que se intercepte el correo electrónico de su lugar de trabajo. Para proteger a los usuarios, el Gobierno del Reino Unido recientemente dio un paso hacia una mayor seguridad de los dispositivos de IoT con el lanzamiento de su Código de práctica para la seguridad de los consumidores de IoT.

Un código que 'carece de dientes'

El código se compone de 13 pautas, establecidas en la revisión 'Secure by Design' del gobierno publicada por el DCMS y el Centro Nacional de Seguridad Cibernética (NCSC) en marzo. El código se lanzó con el apoyo de dos empresas nombradas, HP y Centrica Hive, y más tarde recibió el respaldo de un puñado de otras compañías, incluida Samsung. No fue un respaldo rotundo de un sector de miles de millones de libras, pero es un comienzo.

Más preocupante aún, la crítica fue criticada en el lanzamiento por expertos en tecnología por "carecer de dientes" debido a que es opcional.

Recomendamos:  Cómo tener dos cuentas en Clash Royale Te enseñamos de la manera más fácil.

Talal Rajab, jefe de seguridad cibernética y nacional de techUK, nos dice que su organización está "alentando a las empresas a que se suscriban" y "esperaría ver que más compañías se suscriban al Código en el futuro".

Gran parte del kit de IoT que compramos proviene de los denominados fabricantes de "etiquetas blancas": productores con sede fuera del Reino Unido que fabrican kits o componentes para que otros los califiquen y vendan. Esto plantea dudas sobre si un código con sede en el Reino Unido tendría, de hecho, algún diente.

Steffen Sorrell, analista principal de Juniper Research, sostiene que algunas compañías que compramos ya siguen códigos estrictos. "Foxconn, una empresa taiwanesa, fabrica productos que ya siguen el código de práctica (el iPhone, por ejemplo) y son reconocidos como seguros", explica.

Sin embargo, señala que si los dispositivos de otras compañías que no cumplen con los requisitos, ingresan al ecosistema de la IoT del Reino Unido, sería casi imposible responsabilizar a esos fabricantes. "Con toda probabilidad, las fallas y multas de GDPR serán difíciles de imponer a los fabricantes chinos de dispositivos", dice Sorrell. "Habrá pocos incentivos para cambiar por parte de los jugadores de bajo margen y alto volumen. El final del juego debe ser la legislación para que haya un impacto real".

Sin embargo, para crédito del Gobierno del Reino Unido, ya ha comenzado a trabajar en la construcción de un estándar global a través del Instituto Europeo de Normas de Telecomunicaciones (ETSI), basado en su propio código de práctica.

También debemos notar que otras naciones también están activas en esta área. Por ejemplo, California recientemente introdujo una nueva ley que requerirá que los fabricantes programen contraseñas predeterminadas únicas, en lugar de las estandarizadas, en todos los dispositivos que crean desde el 1 de enero de 2020.

Recomendamos:  â–· ¿Cómo asegurar el teléfono Android de los hackers?

Cubriendo lo básico

Entonces, ¿el código de práctica del Reino Unido va lo suficientemente lejos? Steffen Sorrell explica que si bien el código es "ciertamente útil en términos de esbozar las responsabilidades básicas de seguridad y privacidad dentro de la cadena de valor", el código en sí es bastante básico.

"No hay nada en el código que recomiende una evaluación de riesgos para identificar qué nivel de seguridad requiere un dispositivo", explica, y nada sobre "la confianza y los acuerdos de la cadena de suministro".

"¿Se puede confiar en un proveedor de componentes para mantener un controlador de software, por ejemplo? Son estos 'blobs' de software propietario los que a menudo son la causa de que los dispositivos queden sin parchear. Los enrutadores domésticos son un ejemplo de ello".

Añade que para que un código de práctica nacional como este sea efectivo, debería incluir un asesoramiento más exhaustivo sobre las mejores prácticas que se pueda adaptar en función de las audiencias objetivo, como los mercados de consumidores e industriales.

Sin embargo, Talal Rajab de techUK sostiene que el Código de práctica no pretende "proporcionar una panacea a todas las amenazas cibernéticas soportadas por IoT que afectan a todos los tipos de productos y servicios de IoT", sino que está diseñado para apoyar simplemente a proveedores de servicios, desarrolladores de aplicaciones y minoristas con pasos prácticos

Venta al por menor e información pública.

El Código de práctica señala solo una de sus 13 pautas como principalmente relevante para los minoristas (la protección de datos personales). Pero, ¿los minoristas tienen un papel más importante que desempeñar?

Recomendamos:  Cómo IoT está transformando los servicios financieros

Stefan Sorrell cree que sí. "Los minoristas podrían jugar un papel clave para informar mejor al consumidor. Por ejemplo, mostrar que tal o cual producto cumple con las pautas, y por lo tanto se recomienda como una 'opción confiable' o similar", explica.

"Los riesgos de tecnología y seguridad han cambiado tan rápidamente en la última década que pocos consumidores entienden las mejores prácticas de seguridad. Los productos deben promover el cumplimiento del código de una manera que permita al usuario final entender sus beneficios y, quizás, por qué pagan un poco" más por el producto ".

Como explica Talal Rajab: "El Código desplaza la carga para mantener a los productos y servicios a salvo del consumidor, pero claramente tienen un papel importante y debemos asegurarnos de que estén informados. Los minoristas son críticos para hacerlo".

Dejános tus Comentarios: