Expertos en ciberseguridad elogian la nueva ley de IoT


El proyecto de ley aumentaría la protección para los miles de millones de dispositivos conectados «propiedad o controlados por el gobierno» en hogares y negocios.

Seguridad de IoT

Imagen: iStock / BeeBright

Presidente Donald Trump firmado la Ley de mejora de la ciberseguridad de World-wide-web de las cosas convirtiéndose en ley este mes, codificando lo que muchos expertos en ciberseguridad han pedido durante mucho tiempo: mayor protección de seguridad para los miles de millones de dispositivos de IoT que inundan hogares y negocios.

En los últimos años, una variedad de artículos y electrodomésticos se han convertido en dispositivos conectados a Internet, y algunas estimaciones predicen habrá 41,6 mil millones de dispositivos IoT en el campo para 2025 y más $ 1 billón gastado en ellos para 2023.

Este proyecto de ley requiere que el Instituto Nacional de Estándares y Tecnología (NIST) y la Oficina de Administración y Presupuesto (OMB) «tomen medidas específicas para aumentar la ciberseguridad para los dispositivos de Web de las cosas (IoT).

VER: 5 innovaciones de Net de las cosas (IoT) (PDF gratuito) (TechRepublic)

La explosión y expansión de los dispositivos de IoT en la vida cotidiana ha coincidido con un aumento de los ataques devastadores que aprovechan su inseguridad para causar el mayor daño posible, sobre todo visto con los ataques de la botnet Mirai en 2016.

Brad Ree, director de tecnología de ioXt Alliance, trabaja con organizaciones gubernamentales, fabricantes y empresas de alta tecnología para crear estándares de seguridad universales para dispositivos conectados en todas las categorías de productos.

En una entrevista, calificó la ley como «un gran hito para la industria» y dijo que era importante que el sector público y el privado pudieran unirse y crear un conjunto de requisitos mínimos de seguridad.

«Aunque este proyecto de ley está dirigido a compras gubernamentales, espero que los operadores de red, los ecosistemas de consumidores y los minoristas cumplan con requisitos similares para los productos de consumo», dijo.

Andrea Carcano y Edgard Capdevielle, cofundador y director ejecutivo de la empresa de ciberseguridad de IoT Nozomi Networks, elogiaron la ley como un primer paso importante para garantizar que los fabricantes de dispositivos de IoT mejoren la seguridad de sus productos.

La compañia lanzó recientemente una encuesta que se encontró en los primeros seis meses de este año, los piratas informáticos utilizaron botnets de IoT y tácticas cambiantes de ransomware como sus armas preferidas para atacar dispositivos de IoT en redes operativas.

«Si bien no se ha completado el arduo trabajo de desarrollar estándares de dispositivos, la participación del NIST ayudará a impulsar la adopción world wide de los estándares de seguridad de dispositivos de IoT que creemos contribuirán en gran medida a mejorar la seguridad general de la infraestructura industrial y crítica», dijo Capdevielle.

El proyecto de ley de seguridad de dispositivos IoT exige la creación de estándares y pautas para gestionar los riesgos de ciberseguridad: desarrollo seguro, gestión de identidades, parcheo, gestión de la configuración. También indica al NIST que trabaje con el Departamento de Seguridad Nacional de EE. UU., Junto con investigadores de seguridad cibernética y expertos de la industria del sector privado para publicar pautas para informar y remediar vulnerabilidades.

Chloé Messdaghi, vicepresidenta de estrategia de Position3 Safety, dijo que la industria de la ciberseguridad estaba entusiasmada con la ley porque requería estándares para todos los dispositivos de IoT adquiridos por el gobierno, lo que esencialmente exige que todos los dispositivos de IoT recién fabricados cumplan con los estándares de ciberseguridad.

La ley también obliga a las agencias gubernamentales que adquieren dispositivos IoT a operar programas de divulgación de vulnerabilidades, algo que ella dijo que CISA estaba tratando de imponer.

«Las políticas de divulgación de vulnerabilidades son una herramienta importante para fortalecer la ciberseguridad organizacional».

Vdoo es una plataforma que utiliza IA para detectar y corregir vulnerabilidades en dispositivos de IoT, y su vicepresidente, Yaniv Nissenboim, dijo que espera que las agencias federales adopten rápidamente el nuevo conjunto de pautas del NIST e insistan en productos compatibles.

También expresó su esperanza de que la ley tenga un efecto de goteo y obligue a los gobiernos estatales a seguir su ejemplo. A su vez, esto obligaría a la industria de dispositivos de IoT a hacer de la ciberseguridad una prioridad.

«Las empresas que no demuestren el cumplimiento podrían verse excluidas de los lucrativos mercados objetivo para sus dispositivos de IoT en algún momento. Esperamos que también surjan regulaciones y estándares similares fuera de Estados Unidos», dijo Nissenboim.

Rosa Smothers, exoficial de inteligencia de la CIA y vicepresidenta sénior de operaciones cibernéticas de KnowBe4, también señaló que la ley requiere que Seguridad Nacional revise las recomendaciones de seguridad de los dispositivos IoT hasta cada cinco años a medida que evoluciona la superficie de ataque.

«En mi opinión, el mayor impacto potencial de la HR 1668 es el mandato de que los contratistas gubernamentales que desarrollan o son proveedores de dispositivos de IoT deben implementar un programa para informar vulnerabilidades y remediaciones, dado que el gobierno federal es el mayor comprador de bienes en los Estados Unidos. , este requisito puede tener un efecto dominó beneficioso en todo el sector privado «, dijo Smothers.

Problemas de seguridad de IoT de larga facts

Los expertos en ciberseguridad se han quejado durante mucho tiempo de que los fabricantes de dispositivos de IoT no estaban haciendo lo suficiente, o realmente nada, para proteger los dispositivos que teóricamente podrían dar a los atacantes acceso a una pink completa.

Lou Morentin, vicepresidente de cumplimiento y gestión de riesgos en Cerberus Sentinel, dijo que se ha pensado poco o nada en la seguridad del dispositivo y que la tecnología incorporada en cada nueva iteración de estos dispositivos trajo nuevos avances en funcionalidad y facilidad de uso, pero tuvo un costo. .

«Debido a que muchos de estos dispositivos de IoT no tenían ningún command de seguridad, podrían potencialmente acceder a redes y datos. Muchos de estos dispositivos también encontraron su camino hacia entornos seguros como el Departamento de Defensa y el cuidado de la salud, por ejemplo. Los saltos tecnológicos también pueden causar que los proveedores abandonen los dispositivos en favor de la última y mejor versión esto deja a muchos dispositivos vulnerables en la naturaleza. Los proveedores no tenían ningún requisito o razón para incorporar seguridad estaban vendiendo productos «, dijo Morentin.

«Desafortunadamente, esto proporcionó una puerta de entrada para que los actores malintencionados pusieran en peligro al consumidor y ahora al gobierno y a la industria para filtrar los datos. Al requerir que los fabricantes requieran algún nivel de seguridad, esto podría ayudar al menos a ralentizar o, en algunos casos, a prevenir la compromiso de datos confidenciales «.

Explicó que algunos estados, como California, están intentando exigir a los proveedores que comiencen a tener algunas características de seguridad básicas en los dispositivos de IoT. Pero las leyes a nivel nacional obligarán a los fabricantes que quieran sentarse a la mesa a incorporar seguridad en sus dispositivos.

Stefano De Blasi, investigador de amenazas en Electronic Shadows, dijo que el aumento de 5G sin duda estimularía una explosión aún mayor de dispositivos IoT. Pero la conexión de estos dispositivos a redes corporativas privadas expande las superficies de ataque y potencialmente expone datos sensibles como registros médicos, información de identificación personal y planes de trabajo.

«Uno de los principales problemas con la seguridad de IoT en la actualidad es que la prisa por llegar al mercado a menudo deja sin prioridad las medidas de seguridad que deben integrarse en nuestros dispositivos. Este problema ha hecho que muchos dispositivos de IoT sean frutas fáciles de encontrar para los delincuentes interesados ​​en robar información confidencial. datos y acceso a redes expuestas «, dijo.

«Los delincuentes pueden explotar productos vulnerables aprovechando su potencia informática y organizar campañas masivas de botnets de IoT para interrumpir el tráfico en servicios específicos y difundir malware. Esta ley no solo demuestra conciencia de este problema de seguridad very important, sino que también sienta un precedente importante que puede, y debe, inspirar a otros países y organizaciones a seguir «.

Los dispositivos de IoT no son menos susceptibles a las vulnerabilidades de seguridad que las aplicaciones web o móviles tradicionales, dijo Peter Monahan, director de arquitectura de soluciones globales de WhiteHat Protection.

La mayoría de las aplicaciones de IoT están diseñadas para interactuar con cualquier número de API, que también pueden ser igualmente susceptibles a debilidades de seguridad, pero que con frecuencia son desarrolladas y distribuidas por terceros externos.

«Esto crea un desafío significativo al resumir la postura de seguridad basic de cualquier dispositivo en specific, dependiendo de su implementación prevista por el gobierno federal», dijo.

¿Expansión más allá de los dispositivos gubernamentales?

El proyecto de ley no estuvo exento de críticas. Algunos expertos cuestionaron por qué la ley se limitaba solo a los dispositivos controlados por el gobierno y no a toda la industria.

Terence Jackson, director de seguridad de la información de Thycotic, dijo que si bien los dispositivos de IoT utilizados en las redes gubernamentales son importantes, la legislación que exige la seguridad de todos los dispositivos de IoT habría ido más allá al proporcionar un enfoque más integral para la seguridad de los dispositivos de IoT.

«De hecho, esto puede generar un aumento de las ventas para las empresas, ya que pueden introducir dispositivos de IoT de grado &#39gubernamental&#39 que costarán más. Será interesante ver si las empresas mejoran la seguridad de sus productos de grado de consumo como resultado de este estándar», dijo Jackson. célebre.

La diversidad de capacidades y puntos de precio de los dispositivos de IoT ahora presiona a los fabricantes para que apresuren los dispositivos al mercado, lo que lleva a las empresas a tomar atajos, particularmente con la ciberseguridad, según Chris Hazelton, director de soluciones de seguridad de Lookout.

Ahora hay cientos de millones de dispositivos en la naturaleza que solo tienen contraseñas de administrador predeterminadas simples, explicó, creando una superficie de ataque masiva para cualquier organización que implemente y confíe en estos dispositivos conectados, agregó.

Hazelton señaló que NIST ha implementado previamente pautas para implementar la seguridad móvil para teléfonos inteligentes y tabletas que incluso se han adoptado ampliamente, incluso fuera del gobierno, como equipos deportivos profesionales.

La esperanza, dijo, es que suceda lo mismo con los dispositivos IoT ahora que la ley ha sido aprobada y firmada.

Ver también



Enlace a la noticia initial