Los fabricantes y constructores de dispositivos de IoT deben comenzar a proteger los dispositivos ahora, ya que se espera que la comunidad de constructores en general adopte las directrices de la Ley de ciberseguridad de IoT.
La Ley de ciberseguridad de IoT es un buen comienzo para que los profesionales de IoT implementen más funciones de seguridad en los dispositivos. Sin embargo, asegurar los activos a través de medidas proactivas, incluidas las evaluaciones de vulnerabilidad y los programas de divulgación, son opciones que podrían respaldar a la comunidad de constructores en general en la lucha contra los malos actores.
Promulgada en diciembre de 2020, la legislación bipartidista obliga a cualquier dispositivo de Internet de las cosas (IoT) comprado con dinero del gobierno a cumplir con los estándares mínimos de seguridad.
Si bien la ley significa que los gobiernos pueden esperar dispositivos de IoT más seguros, los constructores y fabricantes de dispositivos tienen la responsabilidad de reforzar la seguridad de los dispositivos.
Los constructores deben actuar ahora para proteger los dispositivos
La implementación de medidas de seguridad se ha vuelto más esencial para quienes suministran al gobierno, aunque el panorama más amplio de IoT a veces se caracteriza como el Salvaje Oeste debido a la falta de estándares de seguridad comunes y rigurosos.
Sin embargo, a pesar de eso, es de vital importancia que los fabricantes de dispositivos implementen medidas de ciberseguridad ahora, enfatizó el fundador y CEO de la compañía de software de seguridad IoT BG Networks, Colin Duggan. Advirtió que los dispositivos de IoT son los principales objetivos de la actividad maliciosa.
No hay absolutamente ninguna duda de que ahora y en el futuro, los delincuentes y los estados nacionales adversarios están buscando y exponiendo las debilidades en los dispositivos de IoT que están conectados en red, al igual que actualmente están exponiendo las debilidades en los sistemas de TI, dijo.
Duggan sugirió que los actores malintencionados prueben constantemente los límites de sus objetivos. Hack de cámara de seguridad Verkadas Destacar que estos actores no necesitan una intención clara detrás de ellos, ya que un supuesto punto de vista ideológico impulsó el deseo de penetrar en los dispositivos.
El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) ha establecido las Marco de ciberseguridad, pero no es un enfoque único para todos.
Los constructores y los fabricantes de dispositivos deben tener en cuenta que algunos dispositivos deben ser más seguros que otros, ya sea que los datos que contienen sean más sensibles o las infracciones podrían causar problemas potenciales de seguridad u operativos, ya que muchos dispositivos de IoT controlan cosas y acciones físicas, dijo Duggan.
Yaniv Nissenboim, vicepresidente de desarrollo comercial de Vdoo, se hizo eco de Duggan, indicando que los fabricantes de dispositivos deberían comenzar a "mapear estas pautas ahora" para que puedan estar listos para actuar y mitigarlas una vez que las nuevas regulaciones realmente tomen forma.
Impacto a largo plazo de la Ley de ciberseguridad de IoT
A corto plazo, la ciberseguridad de los dispositivos IoT ya no se considerará una ocurrencia tardía, y el mercado privado dará una luz brillante en el cielo para seguir como ejemplo.
Sin embargo, el impacto a largo plazo de la ley impone una mayor responsabilidad a los fabricantes de dispositivos para que piensen detenidamente en las implementaciones de seguridad.
Brian Carpenter, director de desarrollo comercial de CyberArk, enfatizó que los fabricantes y constructores de dispositivos deben considerar cómo se harán cumplir estas regulaciones pendientes y cómo los clientes pueden administrar y asegurar las conexiones hacia y desde los dispositivos de IoT.
"Los clientes ... no quieren más soluciones de seguridad aisladas que gestionen una parte de su riesgo; necesitan una vista única de sus riesgos para gestionarlos correctamente", dijo Carpenter.
Los creadores de IoT que crean dispositivos con medidas mejoradas y efectivas, como actualizaciones seguras de firmware, parches y administración de identidades, podrán adaptarse a las estrategias de mitigación de riesgos de sus clientes y obtener una ventaja competitiva, dijo.
Los constructores y fabricantes de dispositivos no fueron el foco de esta legislación, después de que los políticos estadounidenses bipartidistas hicieran una plétora de cambios regulatorios destinados a evitar que las naciones rebeldes interfirieran con la infraestructura tecnológica del país. Si bien ese problema ha crecido con el tiempo, con varias leyes destinadas a frenar los estragos causados por empresas como Rusia, China, Irány Corea del Norte, este cambio en particular ciertamente ayudará a los constructores a largo plazo.
Al proporcionar pautas sobre lo que constituye una seguridad sólida, los fabricantes deberán satisfacer en última instancia las necesidades de los clientes, y es probable que las pautas del NIST se transformen en una nueva legislación, ya sea a nivel federal o estatal, sugirió Carpenter.
Una definición amplia es una buena definición
Duggan dijo que la definición de la legislación para los dispositivos de IoT "es buena porque los dispositivos con interfaces de red pueden potencialmente agregar vulnerabilidades a la red".
La ley de ciberseguridad de IoT definición de lo que constituye un dispositivo de IoT establece: un dispositivo debe "tener al menos un transductor (sensor o actuador) para interactuar directamente con el mundo físico, tener al menos una interfaz de red".
Duggan dijo que esto significa que la ley tiene una amplia red y al mismo tiempo deja claro que los teléfonos inteligentes o las computadoras portátiles no están incluidos, ya que "la implementación de las funciones de ciberseguridad ya se comprende bien".
Sin embargo, la limitación que señaló se refería a la falta de un mandato específico que obligaría a las agencias gubernamentales a agregar ciberseguridad a los dispositivos.
Duggan se refirió a la Comisión Económica para Europa de las Naciones Unidas (CEPE) Regulaciones automotrices WP.29, que establecen que para julio de 2024 todos los vehículos de nueva producción debe incluir la ciberseguridad basada en un enfoque de seguridad por diseño y pueden realizar actualizaciones de software.
Describió que la Ley de Ciberseguridad de IoT “no es tan fuerte como los requisitos de la UNECE” y que, en términos de mejorar la seguridad, coincidir con lo que está haciendo la UNECE sería un buen paso. “Esa regulación [de la CEPE] está forzando un cambio en la industria automotriz para implementar ampliamente la ciberseguridad necesaria en los automóviles”, agregó.
En cuanto a otras limitaciones impuestas a los fabricantes y constructores de dispositivos, Nissenboim recordó que la ley se aplica solo a las empresas que venden dispositivos IoT al gobierno federal. Sin embargo, a pesar de esto, admitió que los gobiernos estatales y las empresas privadas también buscarán adoptar sus principios y directrices.
“Además, existe un creciente cuerpo de normas y regulaciones internacionales de ciberseguridad de IoT en desarrollo”, dijo, y agregó que las regulaciones ayudarán a forzar niveles de seguridad más altos en los miles de millones de dispositivos conectados producidos cada año en varios sectores.
Problemas que aún deben abordarse con la Ley de ciberseguridad de IoT
Si bien las regulaciones han sido elogiadas por los observadores, siguen existiendo problemas para los fabricantes y constructores de dispositivos, especialmente aquellos que no venden al gobierno de EE. UU.
Los constructores deben retroceder para evaluar las implicaciones continuas de la ley. Si bien la ley no los obliga a implementar evaluaciones de seguridad en los dispositivos, a medida que los números de ataques se disparan, es posible que se requiera la orientación para desviar las infracciones.
Nissenboim dijo que tales análisis y monitoreo tendrán que ser automatizados y administrados por las partes interesadas en la seguridad del producto y la ingeniería, quienes tendrán que asumir estos importantes procesos.
Carpenter de CyberArk advirtió que las conexiones remotas a los dispositivos de IoT todavía ofrecen un gran desafío en términos de actualizaciones de firmware, administración de credenciales y mantenimiento.
Carpenter expresó su esperanza de ver algunos temas relacionados con los temas actualmente no regulados en las pautas finales; “Particularmente a medida que la fuerza laboral continúa proliferando”, agregó.
- Ventaja
- Con el objetivo
- Activos
- Confirmación de Viaje
- automotor
- industria del automóvil
- bipartidista
- cuerpo
- infracciones
- constructor
- carros
- Causar
- causado
- ceo
- Reto
- el cambio
- referencia
- Algunos
- vibrante e inclusiva
- Empresas
- compañía
- Congreso
- dispositivos conectados
- Conexiones
- continúa
- Los criminales
- Clientes
- La Ciberseguridad
- datos
- Desarrollo
- Dispositivos
- Director
- Economic
- Eficaz
- Ingeniería
- Europa
- Caracteristicas
- Federal
- Gobierno federal
- cómodo
- Focus
- seguir
- fundador
- futuras
- candidato
- Gobierno
- Gobiernos
- Creciendo
- orientaciones
- Destacar
- Cómo
- HTTPS
- Identidad
- de gestión de identidades
- Impacto
- Incluye
- energético
- EN LA MINA
- intención
- Internacionales
- Internet
- Internet de las cosas
- IOT
- Dispositivo IoT
- dispositivos iot
- cuestiones
- IT
- Julio
- ordenadores portátiles
- de derecho criminal
- Legislación
- Nivel
- luz
- gran
- Management
- Mercado
- dinero
- monitoreo
- red
- del sistema,
- telecomunicaciones
- Nueva legislación
- números
- LANZAMIENTO
- Opciones
- Otro
- Otros
- Parches
- privada
- producido
- Producto
- Programas
- Regulación
- reglamentos
- Requisitos
- Riesgo
- Mitigación de Riesgo
- Safety
- Sectores
- EN LINEA
- Software de seguridad
- En Corto
- teléfonos inteligentes
- So
- Software
- Soluciones
- estándares de salud
- comienzo
- Estado
- Zonas
- Todas las funciones a su disposición
- Tecnología
- test
- El futuro de las
- equipo
- nosotros
- Del gobierno de EE.UU.
- United
- naciones unidas
- Actualizaciones
- Vehículos
- Ver
- Vulnerabilidades
- vulnerabilidad
- West
- QUIENES
- Empleados
- mundo
- año