California
ha pasado la seguridad del dispositivo SB-327 IoT. Obliga a los desarrolladores de sistemas inteligentes a crear un par único de nombre de usuario / contraseña para ellos. El documento ya ha sido firmado por el gobernador del estado. Hablamos sobre la opinión de la comunidad y el impacto de la nueva ley en el desarrollo de la industria.
/ Flickr / al rey / ccCual es la esencia
SB-327 , llamado Seguridad de la información: dispositivos conectados, ha
sido desarrollado por senadores de California desde febrero pasado. "Dispositivos conectados" en este caso se refiere a todos los dispositivos que tienen una conexión a Internet, dirección IP o Bluetooth.
La senadora Hannah-Beth Jackson, quien es la autora del proyecto de ley,
dijo que tal ley debería haber existido durante mucho tiempo. Según ella, los consumidores comunes rara vez están interesados en los problemas de seguridad de los dispositivos que compran, porque los desarrolladores no tienen prisa por corregir las vulnerabilidades de seguridad.
De particular importancia es el problema en el caso de los juguetes para niños. Como ejemplo, además del proyecto de ley, los senadores citan la situación con las muñecas My Friend Cayla (
análisis del piso del Senado con fecha 28/08/18 ). Pueden comunicarse con los niños y enviar registros a los servidores del fabricante, por ejemplo, para analizar una pregunta y encontrar una respuesta. Esto crea una vulnerabilidad potencial para los datos personales del niño. Por esta razón, la
venta de tales muñecas generalmente estaba
prohibida en Alemania.
El principal requisito de la ley de California
es que cada fabricante de dispositivos IoT tendrá que proporcionar a sus dispositivos "equipo de protección adecuado". El grado de protección depende de la función del dispositivo y de la información que utiliza y transmite.
La ley no dice qué se entiende por "protección adecuada", pero se detallan los requisitos para los mecanismos de autenticación. Si el dispositivo conectado tiene acceso a Internet, entonces su sistema de autenticación debe cumplir uno de los dos criterios. Primero, el propio fabricante crea combinaciones únicas de inicio de sesión y contraseña para cada dispositivo individual. El segundo: el desarrollador obliga al comprador a cambiar los datos estándar de fábrica para iniciar sesión cuando utiliza el equipo por primera vez.
La ley cubre todas las empresas que fabrican o venden dispositivos IoT en California. SB-327 entrará en vigor el 1 de enero de 2020.
Opiniones sobre la ley
La nueva ley se cumplió de manera ambigua. Algunos usuarios y expertos acordaron que la prohibición de las contraseñas estándar al menos un poco, pero aumentará la seguridad de los dispositivos IoT. Sin embargo, la falta de otros requisitos específicos para los fabricantes confundió a la comunidad.
Los expertos en ciberseguridad han aprobado la ley con escepticismo. Uno de los principales críticos fue Robert Graham, un experto en seguridad cibernética en Errata Security. Robert
escribe que la redacción de "remedios" es demasiado vaga, por lo que será difícil para las organizaciones determinar los criterios para cumplir con los requisitos de la ley.
Además, es imposible especificar en la ley formas de contrarrestar amenazas específicas, porque constantemente aparecen nuevos tipos de ataques. Graham cree que las formas de proteger IoT no pueden definirse por ley, y el SB-327 solo aumentará el costo de fabricación de dispositivos inteligentes.
La ley también es inútil en
opinión de Joe Lea, vicepresidente del producto Armis. Su compañía está creando una plataforma para proteger las redes IoT. Según Joe, la seguridad de Internet de las cosas es una industria compleja que no se limita a problemas de contraseña para dispositivos.
Varios expertos en seguridad de la información respaldaron el nuevo proyecto de ley. Una de esas personas fue Beau Woods, un especialista en seguridad del grupo de expertos Atlantic Council. Según él, la redacción vaga en la legislación se utilizó intencionalmente. Esto permitirá a las empresas desarrollar de forma independiente los requisitos de protección del dispositivo.
Muchos expertos creen que incluso una ley imperfecta es mejor que su ausencia. El autor y criptógrafo de seguridad cibernética Bruce Schneier
dijo que el SB-327 es un paso en la dirección correcta, aunque este documento no es suficiente para regular completamente la IoT.
“La ley debería ayudar a resolver el problema del acceso no autorizado a los dispositivos. Sin embargo, no es una panacea ”, comenta Sergey Belkin, jefe del departamento de desarrollo de servicios de alquiler de infraestructura en la nube 1cloud.ru . - Las contraseñas únicas y seguras deberían complicar la piratería de dispositivos inteligentes con la ayuda de la búsqueda banal de diccionarios. Sin embargo, hay muchas otras formas de obtener acceso a los dispositivos, como la vinculación de DNS . Este tipo de ataque afecta a más de medio billón de dispositivos IoT en todo el mundo ".
Los usuarios generalmente apoyan la iniciativa del gobierno de California. Los residentes de Hacker News
señalan que las contraseñas de los fabricantes pueden ser demasiado predecibles y coincidir con el número de serie. Pero esta solución es mejor que la contraseña estándar para todos los dispositivos del mismo modelo.
Algunos usuarios consideran que la ley no tiene sentido. Un comentarista en Slashdot
indicó que la mayoría de las veces los problemas de seguridad de los dispositivos IoT no se resuelven cambiando la contraseña y están asociados con vulnerabilidades en los módulos de firmware y software. Por ejemplo, en 2017, se
descubrió un error en la biblioteca gSOAP, que utilizan los fabricantes de dispositivos IoT. Durante la demostración, los expertos en seguridad irrumpieron en una cámara doméstica y recibieron una imagen de ella.
¿Quién más está redactando leyes para IoT?
No solo California está trabajando para proteger el Internet de las cosas. Durante el año pasado, varios proyectos sobre este tema se presentaron al Congreso de los Estados Unidos. Entre ellos se encuentran la Ley de Seguridad de IoT de 2017 y la Ley de Mejora de la Ciberseguridad de Internet de las Cosas de 2017, que requieren que las agencias federales desarrollen requisitos de seguridad estándar para los dispositivos de IoT.
Antes de esto, el gobierno de los EE. UU. Emitió directrices para los fabricantes de dispositivos inteligentes, que recopilaron recomendaciones para proteger los datos personales de los usuarios. Por ejemplo, dicho
documento fue publicado en 2015 por la Comisión Federal de Comercio (FTC).
/ Flickr / coniferconifer / CCEn Europa, también hay documentos similares, en particular, la
directiva sobre seguridad de redes y sistemas de información (Directiva NIS), adoptada en julio de 2016. No trata directamente con Internet de las cosas, pero establece requisitos para la protección de los sistemas de la compañía en áreas críticas: energía, finanzas, atención médica y la industria del transporte. El documento contiene solo una lista de reglas, y cada estado de la Unión Europea debe determinar sus métodos de implementación de forma independiente.
La ley sobre protección de dispositivos IoT también está
siendo desarrollada por el gobierno australiano. Según los políticos, buscan crear un documento equilibrado que proteja a los consumidores y no limite la innovación en IoT. Para hacer esto, el regulador está en diálogo con representantes de la industria. Hasta ahora, los políticos solo están discutiendo los requisitos para los fabricantes de dispositivos inteligentes.
Por lo tanto, la ley de California fue la primera en formular requisitos generales para todos los fabricantes de dispositivos IoT. Y aunque es imperfecto, se
cree que la directiva se convertirá en una guía para otros países y comenzará a trabajar activamente en la seguridad de los dispositivos inteligentes.
Algunos materiales nuevos de nuestro blog corporativo: