La proliferación de productos conectados a la red y una industria competitiva ha inundado el mercado con dispositivos inteligentes no seguros. Esto no solo pone en riesgo a los propietarios, sino que también permite la creación de botnets que pueden usarse para actividades maliciosas.
Ha habido numerosos ejemplos del daño que pueden causar los dispositivos inteligentes no seguros. En 2016, más de 2000 enrutadores y cámaras inteligentes se incorporaron a la botnet Mirai para lanzar ataques DDoS. El mismo año, los piratas informáticos cerraron los sistemas de calefacción inteligente en apartamentos en Finlandia. Kaspersky informó recientemente que hubo 1.500 millones de ataques contra dispositivos de Internet de las cosas (IoT) en la primera mitad de 2021; más del doble del número de los seis meses anteriores.
Para 2020, el hogar promedio del Reino Unido tenía nueve dispositivos conectados a la red, desde teléfonos inteligentes y timbres conectados a Internet hasta parlantes y tabletas inteligentes. Desafortunadamente, estos dispositivos a veces pueden estar mal protegidos, lo que puede dejar a sus propietarios vulnerables a los ataques. Un estudio reciente de Internet of Things Security Foundation reveló que, a partir del año pasado, solo el 27% de los fabricantes tienen sistemas para revelar vulnerabilidades de seguridad.
La legislación que exige medidas adecuadas de seguridad cibernética ha tardado mucho en llegar. Se esperaba que las fuerzas del mercado impulsaran mejoras en esa área, pero evidentemente ese no ha sido el caso. “El consumidor promedio no comprende la selección de productos en función de la seguridad cibernética mejorada”, dice Ken Munro, socio y fundador de Pen Test Partners. “Hubo una falla del mercado allí, que la Ley PSTI está diseñada para solucionar en parte”.
Para contrarrestar la proliferación de dispositivos no seguros, además de tomar disposiciones con respecto a la infraestructura de telecomunicaciones del país, el gobierno del Reino Unido promulgó la Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI) de 2022. Como su nombre lo indica, la ley se divide en dos partes, con la primera parte enfocada en la seguridad del dispositivo. Junto a esto se encuentran los requisitos de seguridad para las regulaciones de productos conectables relevantes de 2023.
“El nuevo régimen será el primero en cualquier parte del mundo en exigir requisitos mínimos de seguridad cibernética antes de que los productos conectables para el consumidor estén disponibles para la venta a clientes del Reino Unido”, dijo un portavoz del Departamento de Ciencia, Innovación y Tecnología.
“A partir del próximo abril, se introducirá una serie de nuevas medidas transformadoras, incluida la prohibición de contraseñas universales predeterminadas y fáciles de adivinar, un punto de contacto público para informar vulnerabilidades en dispositivos directamente a los fabricantes y un requisito para proporcionar información sobre el período mínimo de tiempo para el ciclo de vida de actualización de seguridad de un producto”.
Ley PSTI
La Ley PSTI exige que las organizaciones responsables de los dispositivos inteligentes en el Reino Unido tengan, como mínimo, las siguientes disposiciones vigentes:
- Sin contraseñas predeterminadas en sus dispositivos.
- Política de divulgación de vulnerabilidades.
- Transparencia sobre la duración durante la cual el producto recibirá actualizaciones de seguridad.
La Ley PSTI hace todo lo posible para incorporar cualquier cosa que esté conectada a una red o Internet. Esto incluye, entre otras cosas; teléfonos inteligentes, productos portátiles, dispositivos IoT, juguetes para niños, enrutadores de Internet, electrodomésticos inteligentes y asistentes para el hogar.
Como parte de la Ley PSTI, el Secretario de Estado ahora tiene el poder de hacer cumplir los requisitos de seguridad a los dispositivos que se pueden conectar a una red o a Internet. La primera cláusula de la Ley PSTI dice:
Poder para especificar requisitos de seguridad
-
- El Secretario de Estado puede, mediante reglamentos, especificar requisitos (“requisitos de seguridad”) con el fin de proteger o mejorar la seguridad de:
- productos conectables relevantes puestos a disposición de los consumidores en el Reino Unido;
- usuarios de tales productos
- Un requisito de seguridad es un requisito que:
- se relaciona con productos conectables relevantes o productos conectables relevantes de una descripción específica, y
- se aplica a personas relevantes o personas relevantes de una descripción específica.
- El Secretario de Estado puede, mediante reglamentos, especificar requisitos (“requisitos de seguridad”) con el fin de proteger o mejorar la seguridad de:
También vale la pena señalar que las “personas relevantes” no solo se relacionan con los fabricantes de productos inteligentes. La cláusula 7 establece que los importadores y distribuidores también son responsables de garantizar que las tecnologías inteligentes que manejan sean adecuadamente seguras. Por lo tanto, las organizaciones no pueden intentar eludir las restricciones de fabricación importando productos más baratos desde fuera de las fronteras del Reino Unido.
personas relevantes
2. “Persona relevante”, en relación con un producto conectable relevante, significa cualquiera de los siguientes:
-
-
- un fabricante del producto;
- un importador del producto;
- un distribuidor del producto.
-
El poder principal que tiene el Secretario de Estado en la Ley PSTI es su capacidad para emitir avisos de cumplimiento a fabricantes, importadores y distribuidores. La seguridad cibernética ya no es simplemente una recomendación o una buena práctica, sino que se puede hacer cumplir legalmente.
Facultad para considerar el cumplimiento de los requisitos de seguridad
-
- El Secretario de Estado puede, mediante reglamentos, establecer que una persona relevante debe ser tratada como si hubiera cumplido con un requisito de seguridad relacionado con un producto conectable relevante si se cumplen las condiciones especificadas.
- Las condiciones que pueden ser especificadas bajo la subsección (1) incluyen, entre otras cosas, las siguientes:
-
-
- que el producto se ajusta a un estándar especificado;
- que la persona relevante cumpla con los requisitos impuestos por un estándar específico;
-
Y los estándares que pueden especificarse incluyen estándares establecidos por una persona u organismo fuera del Reino Unido.
En la legislación no se mencionan los productos reacondicionados ni la distribución de productos de segunda mano. Las empresas a menudo venden equipos antiguos que ya no cuentan con el respaldo de su garantía y utilizan los ingresos posteriores para equipos nuevos o los donan a organizaciones benéficas. Asimismo; reparar, reacondicionar y redistribuir es rentable, al tiempo que minimiza los desechos electrónicos y los materiales potencialmente tóxicos que van al vertedero.
Sin embargo, el reciclaje de dispositivos más antiguos puede prolongar potencialmente la vida útil de un producto más allá de su duración prevista y su soporte asociado del fabricante, como las actualizaciones de seguridad, lo que lo hace potencialmente vulnerable a los ataques. Según un portavoz del Departamento de Ciencia, Innovación y Tecnología: “Aunque los productos de segunda mano no estarán cubiertos por la legislación, la ley cubrirá los productos renovados o reacondicionados y puestos a la venta como nuevos”.
Es importante tener en cuenta que los avisos de cumplimiento no solo se aplican al producto real, sino también a las organizaciones que fabrican, importan o distribuyen dispositivos inteligentes. Esto es similar al Memorando de la Casa Blanca M-22-18, que requería que todas las organizaciones que suministraban software al gobierno de EE. UU. fueran seguras.
La Ley PSTI también otorga al Secretario de Estado la posibilidad de emitir Avisos de Suspensión y Avisos de Retiro. Cualquier organización cubierta por esta ley puede verse obligada a dejar de vender productos específicos oa retirar productos específicos. Esto es similar a cómo se pueden retirar los automóviles.
La Ley PSTI recibió la aprobación real en diciembre de 2022 y tiene un período de gracia de 12 meses, lo que permite a las organizaciones asegurarse de que cuentan con los sistemas y políticas necesarios antes de que la legislación entre en vigor en diciembre de 2023.
Cuando finalice el período de gracia, las organizaciones que no cumplan con la Ley PSTI serán responsables. Las sanciones económicas incluyen multas de hasta 10 millones de libras esterlinas o el 4 % de los ingresos mundiales de la persona, lo que sea mayor.
Ha habido preocupación de que la Ley PSTI sofocará la innovación al agregar una carga financiera adicional a las nuevas empresas y tecnologías emergentes. Sin embargo, al exigir requisitos mínimos de seguridad, fomentará la innovación en seguridad, al tiempo que mitigará una debilidad predominante en la postura de seguridad del Reino Unido.
“Lo que hará es eliminar por completo algunos de los productos baratos y muy inseguros del mercado”, dice Munro. “Al eliminar a los competidores que compiten en precio y no en seguridad, impulsa el mercado de una manera más segura. Es muy difícil para un gran proveedor que utiliza una buena seguridad, que cuesta dinero hacerlo bien, si está siendo socavado por una marca que no ofrece seguridad cibernética y cuesta la mitad del precio”.
El PSTI es indicativo de un cambio fundamental en la forma en que los gobiernos abordan la seguridad cibernética. En 2019, la Ley de Ciberseguridad de la UE estableció un marco europeo de certificación de ciberseguridad para productos y servicios de TIC, además de otorgar a la Agencia de Seguridad de las Redes y de la Información de la UE un mandato permanente. Un año después, entró en vigor el Proyecto de Ley 327 del Senado de California, que protege los datos de los usuarios en los dispositivos vendidos en California.
“En mi opinión, el proyecto de ley de seguridad cibernética de la UE es más prescriptivo; hay más detalles detrás de esto en términos de los estándares requeridos”, dice. “Está empujando a los fabricantes hacia un estándar llamado ETSI EN 303 645, que es un buen estándar para la seguridad cibernética de IoT”.
Más que nada, la Ley PSTI crea un marco regulatorio que permite al secretario de estado hacer cumplir legalmente los requisitos de seguridad que se emiten a través de material complementario, en lugar de imponer los requisitos en la legislación misma. Esto garantiza que la ley PSTI se pueda actualizar fácilmente para mantenerse al día con los avances modernos en tecnologías de seguridad.
“La regulación y la legislación son excelentes, pero son inútiles si nadie está preparado para hacerlas cumplir”, dice Munro. “Tenemos que estar preparados para tomar medidas, de lo contrario, la Ley PSTI será un squib húmedo”.