La regulación de seguridad de IoT del Reino Unido alienta a los consumidores a ser más conscientes – IoT Now


El gobierno del Reino Unido está avanzando con sus planes para crear una regulación para los dispositivos IoT. La medida sigue una amplia tendencia mundial para tratar de bloquear el floreciente pero inseguro mundo de IoT, dice Mike Nelson, vicepresidente de Seguridad de IoT en DigiCert .

Desde hace demasiado tiempo, Internet de las cosas Los dispositivos (IoT) se han lanzado al mercado repletos de vulnerabilidades que amenazan nuevos tipos extraños de catástrofe para los usuarios. Desde ataques que aprovechan la funcionalidad de un dispositivo IoT, como un automóvil pirateable o una muñeca que se puede convertir en un dispositivo de vigilancia remota, hasta eventos como los ataques Mirai que amenazaron la infraestructura de Internet a gran escala. Es por esas razones que el gobierno del Reino Unido ha dado un paso adelante.

Las regulaciones apuntan a construir sobre el Código de Práctica de 2018 – Seguro por Diseño que ofreció una serie de pautas a los fabricantes de dispositivos IoT, así como consumidores, sobre cómo construir y usar de manera segura dispositivos IoT. Incluyen sugerencias para almacenar de forma segura las credenciales y otros datos de seguridad, minimizando las superficies de ataque expuestas, asegurando la integridad y la actualización continua del software en los dispositivos IoT, así como asegurando una comunicación segura hacia y desde los dispositivos.

El código de práctica agregó que se estaba implementando con la esperanza de que la gente cumpliera, y si no lo hicieran, el gobierno comenzaría a hacer que esas pautas sean obligatorias. Parece que finalmente sucedió y los reguladores ahora harán que al menos tres de esas pautas sean obligatorias.

Tres pautas

En primer lugar, las contraseñas de IoT deben ser únicas y no reiniciables a los valores predeterminados de fábrica, permitiendo así un atacante simplemente busca esa contraseña.

En segundo lugar, los fabricantes deben tener un contacto anunciado públicamente para divulgaciones de vulnerabilidad, lo que permite informar y corregir los errores a tiempo.

En tercer lugar, los fabricantes deben indicar claramente el período mínimo de tiempo que el dispositivo recibirá actualizaciones de seguridad, de modo que los consumidores puedan planificar el descarte o tomar otras decisiones de seguridad sobre esa base.

Los dispositivos que cumplan con orgullo podrán usar con orgullo un sello que significa un respaldo gubernamental de la seguridad de este producto en particular . Puede parecer un movimiento simple, pero es uno que cambia profundamente la relación entre la seguridad de IoT y el consumidor.

La seguridad de IoT se dejó a los fabricantes

Mientras que la seguridad de IoT hasta ahora se ha dejado en manos de los fabricantes y luego quizás de los equipos de seguridad empresarial Después del hecho, el esquema de certificación de Secure by Design finalmente pone esas decisiones de seguridad en manos del consumidor. Ahora, pueden tomar esas decisiones antes de introducir dispositivos vulnerables y débilmente protegidos en una red segura.

Ahora que los consumidores pueden tener en cuenta la seguridad al comprar dispositivos IoT, puede convertirse en un diferenciador competitivo. Los fabricantes hasta ahora han creado dispositivos inseguros en gran medida porque les resultaba más barato hacerlo. No hubo demanda del mercado para fabricar dispositivos seguros y no hubo mucho que les hiciera rentable hacerlo.

Mike Nelson

Etiquetar dispositivos e introducir la seguridad como un diferenciador competitivo para los consumidores obligará a los fabricantes a pensar en cómo puede perder menos y ganar más pensando en la seguridad desde la etapa de diseño en adelante. Una vez que los consumidores se preocupen, los fabricantes también comenzarán a preocuparse.

Cálculo hecho demasiado tarde

Es un cálculo simple que se ha hecho demasiado tarde. Durante demasiado tiempo, el dinero se ha dejado efectivamente a los fabricantes para asegurar sus productos de IoT, sin una zanahoria ni un palo para impulsarlos. No resolverá todos los problemas de seguridad, pero es una respuesta encomiable a un problema que ha perseguido este campo durante mucho tiempo. Los gobiernos de todo el mundo están empezando a fabricar palos, pero lo inteligente de Secure by Design y su esquema de certificación es que también viene con una zanahoria.

El autor es Mike Nelson, vicepresidente de IoT Security, DigiCert

Sobre el autor

Mike Nelson es el vicepresidente de seguridad de IoT en DigiCert, un proveedor global de seguridad digital. En este cargo, Mike supervisa el desarrollo estratégico del mercado de la compañía para las diversas industrias de infraestructura crítica que aseguran redes altamente sensibles y dispositivos de Internet de las cosas (IoT), incluidas la salud, el transporte, las operaciones industriales y las implementaciones de redes inteligentes y ciudades inteligentes. Mike consulta frecuentemente con organizaciones, contribuye a los informes de los medios, participa en organismos de estándares de la industria y habla en conferencias de la industria sobre cómo la tecnología puede usarse para mejorar la seguridad cibernética para los sistemas críticos y las personas que confían en ellos.

Mike ha pasado su carrera en TI de atención médica, incluido el tiempo en los EE. UU. Departamento de Salud y Servicios Humanos, GE Healthcare y Leavitt Partners – una firma boutique de consultoría de atención médica. La pasión de Mike por la industria proviene de su experiencia personal como diabético tipo 1 y su uso de tecnología conectada en su tratamiento.

Comente este artículo a continuación o por Twitter: @IoTNow_ O @jcIoTnow