Normativa de Seguridad sobre el IoT – Internet de las Cosas (Internet of Things)

Normativa IoTLa evolución de los dispositivos funcionales, tecnológicos o gadgets tecnológicos discurre en aras a la intercomunicación vía Wifi, Bluetooth, redes o Internet con otros dispositivos tecnológicos de mayor nivel funcional como son el Smartphone, la tableta, los PC’s y Servidores, PLC o equipos Industriales. A esta interconexión se le denomina el “Internet de las Cosas” o “IoT” acrónimo en inglés de “Internet of Things”.

En ocasiones, cuando estos dispositivos se conectan a otros dispositivos personales de los usuarios o a la red interna de una empresa o a cualquier infraestructura o plataforma tecnológica tienen acceso a la información privada del usuario o sensible de la empresa sin que exista realmente una normativa o un estándar que determine cuál es el nivel de protección o seguridad que han de alcanzar estos dispositivos, estando esta decisión, en la mayoría de los casos, en la mesa de los fabricantes de los mismos que ponderan siempre el nivel de seguridad frente al coste de implementación en su producto.

A fin de establecer una normativa regulatoria Europa comienza a introducirse en el tema definiendo los conceptos y las líneas maestras para el establecimiento de las Políticas de IoT europeas y la publicación por parte de la Comisión Europea del documento “Avanzando en el Internet de las Cosas en Europa” (documento sólo disponible en inglés).

Internet-of-things

Fuente del gráfico : http://www.weblineglobalcom

No obstante, los EEUU está mucho más avanzados en el tema y a primeros de agosto de 2017 ya han presentado una propuesta de ley (S.1961 – Internet of Things (IoT) Cybersecurity Improvement Act of 2017) para el establecimiento de los estándares mínimos de de seguridad que deben cumplir estos dispositivos para que puedan ser adquiridas por las agencias federales.

Estos estándares tiene visos de convertirse en un estándar de facto para el mercado en general en los EEUU y por derivación la normativa Europea que se definirá a posteriori no se diferenciará mucho  de lo establecido en los EEUU tanto para unificar criterios como por los propios criterios técnicos a aplicar.

La propuesta de ley estadounidense define una serie de requisitos que han de cumplir los dispositivos IoT:

En el momento inicial

A) Se ha de certificar por escrito por los contratistas que:

(I) Los dispositivos en sus componentes de hardware, software o firmware no contienen vulnerabilidad de seguridad o defectos que se encuentren identificados en la base de datos por el NIST – Instituto Nacional de Estándares y Tecnología o en cualquier otra base de datos identificada por  la OMD – Oficina Presupuestaria Federal.

(II) Los componentes de software o los firmwares deben ser capaces de recibir y aplicar los parches que reciban de los fabricantes debidamente autenticados y de confianza.

(III) Utilizar sólo protocolos estándares y tecnologías actuales (no obsoletas) para las funciones tales como:

(aa) para las comunicaciones y puertos estándares para el tráfico en la red.

(bb) para la encriptación.

(cc) La interconexión con otros dispositivos periféricos.

(IV) No incluir Contraseñas o Credenciales, fijas o presentes directamente en el código que se utilicen para la administración remota, la liberación de versiones/actualizaciones o las comunicaciones.

A lo largo de la vida del contrato

B) Se le requiere al contratista la obligación de que notifique a la agencia afectada, cualquier vulnerabilidad o defecto de seguridad identificado, que tenga noticia o descubierto por el fabricante o por un experto de seguridad durante la duración de la vida de todo el contrato.

C) Se establece el compromiso del contratista a actualizar, reemplazar o eliminar las vulnerabilidades identificadas de los componentes o reemplazar los componentes afectados de software y firmware de una forma autenticada y segura.

D) El compromiso del contratista a reparar o reemplazar cualquier componente que pudiera verse afectado por las nuevas vulnerabilidades que se identificara en la base de datos de vulnerabilidades identificadas en el punto A) (I) .

E) El contratista ha de informar a la agencia adquirente del dispositivo acerca de la forma en que van a  actualizar el dispositivo y sus componentes, aviso previo de la finalización del soporte de seguridad, notificación formal cuando el soporte de seguridad haya cesado o cualquier otra recomendación en este sentido que haga la NTIA – Administración Nacional para la Información y las Telecomunicaciones.

Sobre la gestión de la publicidad  y divulgación de las vulnerabilidades

Asimismo, la normativa propuesta de EEUU, es prudente y cauta con la divulgación de la información sobre las nuevas vulnerabilidades dado que una vez detectada la vulnerabilidad se necesita un tiempo para poder actualizar los dispositivos y si esta vulnerabilidad se hace pública corren un serio riesgo de seguridad, es por este motivo que se requiera a la DHS – Departamento de Seguridad Nacional que emita unos requisitos para la “divulgación coordinada de seguridad cibernética” que marquen el proceder de los contratistas ante la situación del descubrimiento o revelación de una vulnerabilidad en sus componentes o dispositivos.

Sobre la investigación de las vulnerabilidades

En relación a las políticas y procedimientos para la investigación de temas relacionados con la ciberseguridad e interconexión de un dispositivo IoT han de estar basados en la Norma ISO 29147 y cualquier otra norma estándar que la suceda.

Sobre el “status quo” actual

Tal y como se ha definido esta propuesta normativa de los EEUU, se está unificando los criterios de aplicación de la ciberseguridad en estos dispositivos y componentes, con un grado de exigencia que obligará a los contratistas (fabricantes / vendedores / Importadores / Distribuidores, etc.) a responsabilizarse de la seguridad de estos dispositivos, en este sentido Europa va algo retrasada aunque siempre es posible que sea una estrategia para poder beneficiar de lo que EEUU legisle tomándolo como base de la futura normativa europea.  

A nivel de Peritaje Informático y Tecnológico será necesario definir metodologías específicas para la investigación de los posibles ilícitos o aprovechamiento de las vulnerabilidades que se pudieran cometer en base a la intrusión en los sistemas por medio de las vulnerabilidades de este tipo de dispositivos cada día más presentes en nuestra realidad cotidiana como usuarios particulares finales (o indirectos) de los mismos o bien las empresas e infraestructuras que pudieran verse afectadas.

 

 

 

Anuncios

Acerca de Rafael_L_R

Perito Judicial Informático y Director de Organización, Proyectos y Servicios TICs
Esta entrada fue publicada en Divulgación, Estándares y normas, Legislación, Peritaje Informático o Tecnológico, Seguridad Informática, Todos y etiquetada , , , , , . Guarda el enlace permanente.