Las leyes de IoT están llegando: qué esperar


No más inicios de sesión predeterminados en nuevos dispositivos IoT si los legisladores del Reino Unido se salen con la suya

Acabo de regresar de CES, donde prácticamente todos los pasillos estaban repletos de dispositivos IoT. ¿Pero cuán seguros son? Mientras hemos estado promoviendo la seguridad en estos dispositivos Desde hace algún tiempo, los desarrolladores de IoT han tardado en adoptar. Los legisladores en California tomaron nota en 2018, y ahora parece que los legisladores en el Reino Unido también quieren llevar las cosas al siguiente nivel.

Si bien no está claro si se adoptará la legislación propuesta, los parlamentarios del Reino Unido tienen esta decir:

“Si bien el Gobierno del Reino Unido ha alentado anteriormente a la industria a adoptar un enfoque voluntario, ahora está claro que se necesitan medidas decisivas para garantizar que el diseño incorpore una seguridad cibernética sólida en estos productos. La privacidad y la seguridad de los ciudadanos no deben ponerse en riesgo porque algunos fabricantes no se responsabilizarán de garantizar que la seguridad se incorpore a sus productos antes de llegar a los consumidores del Reino Unido «.

Ya sea que se promulgue o no la legislación, esto envía una fuerte señal a la industria de que parece possible la intervención del gobierno. Si bien otros países pueden adoptar un enfoque de esperar y ver, parece probable que con el tiempo se promulgarán nuevas leyes en todo el mundo.

La buena noticia es que pasos básicos de seguridad de IoT no son demasiado pesados Requerir que el nuevo propietario cambie la contraseña de inicio de sesión predeterminada cuando los usuarios inician sesión por primera vez es algo que la industria conoce desde hace algún tiempo y no es costoso implementarlo.

Definir una vida útil para las actualizaciones de firmware ciertamente cuesta más, ya que las compañías pagarían por el soporte del firmware que ya no generaría ingresos directamente. Las empresas con visión a más largo plazo tienden a pensar en ese sentido, pero obligarlas a indicar cuándo terminará el soporte lo pone en primer plano.

No está claro si los clientes comprenden la importancia de conocer la vida útil del soporte hasta que caduque años después y luego se descubran vulnerabilidades.

La industria contrarresta vagamente promoviendo actualizaciones frecuentes de los clientes a la luz de los nuevos avances tecnológicos en sus plataformas, pero esto no siempre sucede. Todos conocen a alguien con un enrutador doméstico de 5 o 10 años, para el cual el soporte ha caducado hace mucho tiempo mientras el dispositivo en sí todavía está en uso activo.

Y ese es el problema.

Vemos ataques recientemente acuñados contra rebaños de enrutadores comunes que no muestran signos de ser retirados en el corto plazo. Estas máquinas, una vez zombificadas, se pueden usar para lanzar y amplificar ataques en todo el mundo, a menudo sin el conocimiento de sus propietarios.

Lectura relacionada: Asegure su enrutador: cómo ayudar a prevenir el próximo desmontaje de World wide web

Una cosa más: los legisladores del Reino Unido buscan obligar a las empresas a mantener un punto de contacto de seguridad, algo que es casi imposible de encontrar hoy en día, especialmente en las empresas más pequeñas.

¿Esta legislación retrasará la innovación? Algo, pero espero que los cambios propuestos solo requieran esfuerzos moderados de parte de buenos actores para su implementación. Y si este borrador de legislación propuesta se convierte en ley, algunos lo harán pronto, por lo que los fabricantes harían bien en tomar nota.








Enlace a la noticia original