El Gobierno está consultando sobre una ley de seguridad del IoT empresarial. ¿Qué sucederá a continuación?

El Internet de las Cosas (IdC) suele considerarse un ecosistema tecnológicamente avanzado de dispositivos y sistemas back-end de última generación. De hecho, el término se acuñó a finales de la década de 1990, y muchos productos empresariales son más mundanos que llamativos: piense en impresoras y almacenamiento conectado a red (NAS). Además, suelen estar plagados de problemas de seguridad.

Por eso, el gobierno está cumpliendo su promesa de promover la seguridad desde el diseño en todas las tecnologías, especialmente aquellas tan importantes para la productividad y la eficiencia corporativa. Sin embargo, es Convocatoria de opiniones sobre la ciberseguridad de los dispositivos conectados a las empresas Es solo el primer paso en un camino potencialmente largo para mejorar la seguridad básica del IoT corporativo. La clave estará en lo que suceda después.

¿Qué tan mala es la seguridad del IoT?

Para ilustrar la necesidad de una intervención política, el gobierno encargó al Grupo NCC que realizara un evaluación de vulnerabilidad de algunos dispositivos empresariales de uso común. No resulta una lectura especialmente atractiva.

En total, el especialista en ciberseguridad evaluó ocho productos: una cámara IP de gama alta y otra de gama baja, un dispositivo NAS, un panel para salas de reuniones y un dispositivo VoIP. Entre los 50 problemas detectados, uno se calificó como crítico, nueve como de alto riesgo y 24 como de riesgo medio. El problema crítico fue un dispositivo NAS de gama baja que no requería que los usuarios cambiaran la contraseña predeterminada al iniciarse. Sin embargo, NCC Group detectó muchos otros problemas, entre ellos:

• Varias vulnerabilidades “graves” de ejecución remota de código que podrían llevar a que un atacante no autenticado tome el control de todo el dispositivo.
• Software obsoleto en varios dispositivos, incluido un cargador de arranque de cámara IP de alta gama que tenía más de 15 años
• Sin protección contra un atacante con acceso físico a un dispositivo, que quiera comprometerlo e instalar una puerta trasera persistente en él.
• La mayoría de los dispositivos ejecutan todos los procesos como usuario "root", lo que podría otorgarle a un atacante control irrestricto sobre un dispositivo.
• Configuración insegura de servicios, aplicaciones y funciones
• Adherencia irregular a la Principios de seguridad de dispositivos del NCSC y la norma ETSI EN 303 645

Muchos dispositivos IoT ejecutan procesos que pueden aumentar el riesgo de comprometer por completo el sistema. Descubrimos que estas brechas de seguridad suelen ser resultado de un desarrollo apresurado, medidas de reducción de costos o esfuerzos para reducir la complejidad de la monitorización, explica Jon Renshaw, director de servicios de investigación de seguridad del Grupo NCC, a ISMS.online.

“Las consecuencias de tomar atajos suelen ser de gran alcance y repercuten en la forma en que muchas organizaciones implementan sus soluciones de IoT”.

Tres opciones sobre la mesa

Según el documento de consulta pública del gobierno, existen dos desafíos principales en el mercado del IoT empresarial. El primero son los propios fabricantes. Se afirma que el conocimiento y la adopción de la guía de mejores prácticas de los "11 principios" elaborada en 2022 por el Departamento de Ciencia, Innovación y Tecnología (DSIT) y el Centro Nacional de Ciberseguridad (NCSC) se ha mantenido bajo.

El segundo problema son los compradores de TI. Citando datos Desde 2021, el gobierno afirma que el 58 % de las empresas del Reino Unido no exigen ningún control de seguridad ni de adquisición al invertir en nuevos dispositivos conectados. Esto las deja con dispositivos con configuraciones inseguras, software obsoleto y funciones de seguridad inadecuadas, según el informe.

Por eso, el gobierno propone un plan de dos etapas. La primera implicará la elaboración de un Código de Prácticas para la Seguridad de Dispositivos Conectados Empresariales, basado en el documento de 11 principios. Esto ayudará a los fabricantes a diseñar y desarrollar productos más seguros y a los posibles compradores a tomar decisiones de compra más informadas.

En la segunda etapa, el gobierno busca la mayor participación de la industria. Sus tres propuestas de intervención política son:

1. Una promesa voluntaria Que los fabricantes de dispositivos IoT empresariales firmarían para demostrar al mercado su compromiso con la seguridad. Aunque no es legalmente vinculante, exigiría a los firmantes comprometerse públicamente a mostrar un progreso mensurable en relación con los principios del código de prácticas dentro de un plazo determinado.
2. Un nuevo estándar global Diseñado para desarrollar y alinearse con las ofertas existentes, como la norma ETSI EN 303 645 y el borrador de la norma ISO 27402. Esta norma también se basaría en el código de prácticas y trabajaría para establecer un consenso internacional sobre las mejores prácticas. Sin embargo, esto se enmarca en un enfoque de incentivos, en lugar de un enfoque de castigo, ya que, en teoría, el cumplimiento también sería voluntario.
3. Nueva legislación Diseñado para consagrar los 11 principios/código de práctica en la ley. Esto podría tomar la forma de una expansión de la Ley de infraestructura de telecomunicaciones y seguridad de productos (PSTI) de 2022 o una ley independiente. El gobierno admite que, dada la naturaleza global de las cadenas de suministro del IoT, la legislación suele ser la única forma de garantizar que los fabricantes sigan las mejores prácticas.

“A diferencia de los consumidores, las empresas tienen mayor capacidad para garantizar la implementación de medidas de seguridad importantes, como contar con personal dedicado a garantizar la rápida implementación de actualizaciones de seguridad para solucionar problemas y un mayor conocimiento de su red”, señala el gobierno. “Por lo tanto, consideraremos imponer obligaciones específicas a las empresas y otros usuarios finales para que tomen medidas específicas”.

John Moor, director general de The IoT Security Foundation (IoTSF), acoge con satisfacción el interés del gobierno en generar conciencia sobre la seguridad de los dispositivos y acercarse a la industria para determinar "si fomentar comportamientos u obligarlos es lo más apropiado para el deber de cuidado".

Le comenta a ISMS.online que, si bien el código voluntario parece una idea sensata, crear otro estándar de seguridad podría no ser la solución, ya que probablemente añadiría complejidad. Por lo tanto, Moor se muestra a favor de ampliar un estándar existente como alternativa. También se muestra escéptico respecto a la nueva regulación.

“Lo difícil es cómo lograr el cambio necesario: mantener el equilibrio entre las salvaguardas y no sofocar la innovación ni fomentar comportamientos reactivos que vayan en contra de la intención”, sostiene Moor.

Lo que he aprendido en los últimos 10 años es que es prácticamente imposible lograr una regulación de este tipo; incluso la Ley PSTI, con tres requisitos simples, no es sencilla, y conocemos varias preocupaciones válidas de la industria.

Moor afirma que “con el nuevo aparato regulatorio surgen complicaciones y los costos aumentan rápidamente”, por lo que la nueva legislación debería considerarse como un último recurso sólo cuando se hayan agotado todas las demás opciones.

Renshaw, del Grupo NCC, es más positivo respecto de la regulación y argumenta que puede impulsar cambios de comportamiento entre los fabricantes de IoT.

“La legislación debería exigir a los fabricantes que realicen evaluaciones independientes de sus productos por parte de terceros antes de lanzarlos al mercado; demuestren la debida diligencia con sus cadenas de suministro; tengan en cuenta las vulnerabilidades de seguridad que afectan a sus productos; y aclaren las funciones y responsabilidades de los fabricantes y los usuarios finales/clientes”, continúa.

“Al alinearse con estos puntos, la legislación protegerá los datos en todos los ecosistemas empresariales y garantizará que los fabricantes asuman la responsabilidad de la seguridad de sus productos”.

Mientras tanto

Ninguna de las tres opciones anteriores es mutuamente excluyente, y el gobierno ha preguntado a la industria si también se deberían considerar medidas adicionales. Sin embargo, esto llevará tiempo. La convocatoria para presentar propuestas finaliza el 7 de julio, pero el plazo posterior no está claro. Mientras tanto, los responsables de TI de las empresas deben garantizar la seguridad de lo que compran y ponen en funcionamiento.

Los compradores de IoT deben comprender mejor sus necesidades primero y luego compararlas con las ofertas del mercado. Una vez que comprenden sus requisitos —que deben incluir el mantenimiento continuo durante la vida útil establecida—, se trata de elegir a los mejores proveedores para satisfacerlas, afirma Moor.

Se debería evaluar a los fabricantes en cuanto a su enfoque de "seguridad por diseño" y su soporte de mantenimiento. Y los compradores deberían exigir, como mínimo, soluciones "seguras por defecto".

Renshaw, del Grupo NCC, aconseja a los compradores de IoT elegir proveedores con una sólida trayectoria en seguridad y un compromiso con los estándares del sector. Añade que el soporte continuo y las actualizaciones periódicas de firmware también son importantes. Argumenta que los defensores de la red deberían complementar esto con una sólida gestión de vulnerabilidades, segmentación y monitorización de la red para mitigar el riesgo.

El IoTSF mantiene una Marco práctico de garantía de seguridad de IoT Este documento describe todas las normas y regulaciones existentes y emergentes, incluyendo esta propuesta y la Ley de Ciberresiliencia (CRA) de la UE. Tanto fabricantes como compradores pueden utilizarlo para comprender un panorama regulatorio cada vez más complejo.