Los dientes de la legislación de seguridad de IoT del Reino Unido: comprensión del texto del borrador del reglamento

Es un bonito sábado de primavera en 2023 y ¿qué estoy haciendo? ¡Estoy sentado adentro escuchando música clásica y escribiendo esto en lugar de estar afuera disfrutando del sol! Pero es importante…

El anuncio del gobierno de hoy: ‘Pistola de salida disparada sobre los preparativos para el nuevo régimen de seguridad de productos‘ publicó el proyecto de legislación secundaria detalles (pdf) para acompañar la Ley de Seguridad de Productos y Telecomunicaciones. Más específicamente: ‘Las Regulaciones de Seguridad de Productos e Infraestructura de Telecomunicaciones (Requisitos de Seguridad para Productos Conectables Relevantes), sujetas a aprobación parlamentaria.’ Los detalles del régimen se explican con más detalle. aquí. En términos de seguridad de IoT, hemos estado esperando esto durante mucho tiempo. Puedo decirles que estaba discutiendo con colegas del gobierno lo que realmente queremos decir con ‘contraseña’ y lo que debería estar dentro y fuera de esta parte del trabajo en enero de 2020, justo antes de la pandemia, que ahora parece haber pasado toda una vida.

Para conocer algunos antecedentes de esto, lea el siguiente blog que también tiene un montón de enlaces a la historia anterior. También puedes seguir este twitter hilo He estado analizando el progreso legislativo. El departamento gubernamental pertinente ahora es DSIT (Departamento de Ciencia, Innovación y Tecnología) y el trabajo se basa en el Código de prácticas para la seguridad de IoT del consumidor que se convirtió en el estándar internacional ETSI EN 303 645.

Entonces, ¿qué es esto nuevo? Bueno, la legislación primaria para la Ley de infraestructura de telecomunicaciones y seguridad de productos (2022) se aprobó en diciembre de 2022 y proporciona el marco general. Estamos analizando específicamente la Parte 1 de la Ley que trata sobre la seguridad del producto. La legislación secundaria contiene el texto específico de los requisitos técnicos que el gobierno pretende regular. La razón de este enfoque es bastante sencilla. El uso de la legislación secundaria permite la adaptación para adaptarse a la forma en que la tecnología se desarrolla rápidamente, sin tener que volver al parlamento para un proceso completamente nuevo de nueva legislación. Esto tiene un sentido obvio y significa que la legislación es sólida desde una perspectiva de longevidad, es decir, siempre habrá una necesidad de gobernar la seguridad del producto, pero flexible para adaptarse a las circunstancias cambiantes, por ejemplo, el mercado se deshace por completo de las contraseñas para alguna tecnología nueva, o que se eleve el listón de la seguridad añadiendo nuevos requisitos.

¿Qué dice el proyecto de reglamento?

A un alto nivel, esto es lo que hay en el borrador (y estoy parafraseando aquí):

• Hay tres requisitos: no tener contraseñas predeterminadas, tener y actuar sobre una política de divulgación de vulnerabilidades y ser transparente sobre el tiempo mínimo en que los consumidores recibirán las actualizaciones de software.
• Los requisitos entrarán en vigor el 29 de abril de 2024, por lo que un año después del anuncio y eso es todo, no están escalonados de ninguna manera.
• Si hay varios fabricantes involucrados en un producto conectado, todos deben cumplir los requisitos.

¿Cuáles son los requisitos técnicos?

El Anexo 1 describe los requisitos de seguridad para los fabricantes. He cubierto los detalles de los requisitos antes, pero para profundizar un poco en lo que dice el borrador de las regulaciones en el aspecto técnico:

Sobre contraseñas:

El alcance es un software preinstalado en un dispositivo y hardware, pero no cuando está en un estado predeterminado de fábrica. Para aclarar esto, sería permisible tener una contraseña predeterminada para preinicializar un dispositivo, pero solo para ponerlo en un estado en el que se pueda elegir una contraseña única. Si soy honesto, no es mi escenario ideal, pero es práctico: si está en una posición en la que implementa muchos dispositivos, especialmente para los consumidores, hay muchas situaciones en las que los dispositivos deben reiniciarse, incluso cuando el dispositivo se enciende por primera vez. Sueño con el día en que no tengamos que usar contraseñas en absoluto, pero todavía está muy lejos y solo podemos jugar las cartas que nos reparten. Si usted es un fabricante que lee esto, piense detenidamente qué puede hacer para evitar el uso de contraseñas y qué está haciendo en ese estado de inicialización de fábrica.

En el detalle de la contraseña:

• Tienen que ser únicos o definidos por el usuario del producto.
• No se pueden adivinar fácilmente, basarse en contadores incrementales, etc. (es decir, todos los trucos que usan los proveedores que creen que son inteligentes, ¿XOR alguien?)
• Las contraseñas no incluyen claves criptográficas, datos de emparejamiento, claves API, etc. (piense en Bluetooth, Zigbee, etc., todos importantes, pero no el objetivo de este requisito en particular).

Sobre cómo reportar problemas de seguridad (divulgación de vulnerabilidades):

El alcance es el hardware y el software preinstalado del producto, así como el software que está instalado (por ejemplo, aplicaciones) que se necesitan para que el producto IoT funcione correctamente.

• Debe haber un punto de contacto para que las personas informen los problemas de seguridad de una manera clara y accesible (y describe lo que esperan en ese sentido).
• El fabricante tiene que acusar recibo del informe y luego dar informes de estado hasta que se resuelva el problema.

Espero que esta sea otra llamada de atención: mi empresa ha estado produciendo investigaciones y datos sobre este tema durante los últimos 5 años para IoT Security Foundation. Estos años informe mostró que solo el 27 % de los fabricantes de IoT habían implementado la divulgación de vulnerabilidades. A ver cómo evoluciona este año.

Sobre información sobre periodos mínimos de actualización de seguridad:

El alcance es como antes: con software desarrollado en relación con el propósito (así que piense, digamos, en una aplicación de teléfono inteligente para controlar el dispositivo IoT).

• La información sobre el período de apoyo debe ser publicada.
• Debe ser accesible, claro y transparente (y explican lo que eso significa).
• Cuando un producto se anuncia para la venta, el fabricante debe incluir esta información en las especificaciones (estoy parafraseando mucho aquí).
• El fabricante no puede acortar la vida útil de la actualización después de haberla publicado (¡travieso!)
• Si se extiende el período de soporte de actualización, entonces el fabricante debe actualizar esa información y publicarla.

Después de esto, hay otro Anexo (Anexo 2) que describe las ‘Condiciones para el Cumplimiento Considerado de los Requisitos de Seguridad’. Esto es muy detallado, pero hay algunos puntos importantes que esencialmente se reducen a lo siguiente:

• Un fabricante cumple con los requisitos al implementar las disposiciones pertinentes de ETSI EN 303 645 (seguridad de IoT) o los párrafos de ISO/IEC 29147 (divulgación de vulnerabilidades) que se enumeran.

El Anexo 3 luego enumera las cosas que están fuera del alcance: ‘Productos conectables excluidos’. Hay algunos elementos relacionados con el Brexit/la libre circulación de mercancías, pero no entraré en ellos aquí, sino que me concentraré en las partes del producto:

• Dispositivos médicos – estos están cubiertos por el Reglamento de Dispositivos Médicos de 2002. ¡Sin embargo! Si el bit que se regula es solo el software, se aplican los requisitos de hardware de esta regulación de IoT.
• Contadores inteligentes – si han sido instalados por un instalador autorizado de gas/electricidad (que se define) y han pasado por un esquema de garantía (por ejemplo, de NCSC), están fuera del alcance.
• Ordenadores – Las computadoras de escritorio, portátiles y tabletas que no se pueden conectar a la red móvil están fuera del alcance. Sin embargo, si estos tipos de productos están diseñados para niños menores de 14 años, entonces están dentro del alcance.

Ha habido mucho debate sobre esto en general a lo largo de los años y creo que puedo resumirlo diciendo: estamos viendo productos de IoT. Ahí es predominantemente donde está el problema y tenemos que trazar las líneas en algunos lugares. Es sensato mantener los dominios ya regulados fuera del alcance, pero obviamente hay algunas áreas grises en las que puede pensar fácilmente (piense en productos de bienestar frente a productos médicos o si considera que los automóviles son dispositivos IoT grandes o no). Supongo que el mensaje clave es: algo de esto también evolucionará con el tiempo. La belleza de la legislación secundaria es que también puede cambiar para reaccionar a cómo esta fantástica tecnología se incrusta en nuestras vidas en el futuro.

El Anexo final explica lo que se necesita para las Declaraciones de Cumplimiento, es decir, para confirmar que el producto realmente cumple con los requisitos.

El proyecto de reglamento se ha compartido con la Organización Mundial del Comercio (OMC) en virtud de las obligaciones del país en virtud del Acuerdo sobre Obstáculos Técnicos al Comercio (TBT), así como con la Comisión de la UE. Todo esto es realmente importante porque de ninguna manera esta legislación bloquea el comercio en todo el mundo: está diseñada para ayudar a los consumidores a protegerse de productos con poca seguridad. Con estándares internacionales referenciados dentro de los reglamentos, se asegura que se adopten normas acordadas internacionalmente. elementos técnicos, reduciendo el riesgo de fragmentación y divergencia entre los mercados de todo el mundo.

Para responder a un par de preguntas obvias que he visto mencionadas anteriormente en relación con PSTI:

¿Por qué no hay más requisitos técnicos en el proyecto de reglamento?

Sobre la adición de nuevos requisitos, esta es mi opinión: las regulaciones se refieren a ETSI EN 303 645 y el Código de práctica. Si es un fabricante de soluciones de IoT, ya debería estar implementando esos requisitos de todos modos. Los tres elementos principales que se han adoptado en el proyecto de reglamento son los mínimos y los más impactantes en términos de los problemas que enfrentamos. Realmente no importa si tiene una excelente seguridad de hardware si tiene acceso de administrador, contraseña predeterminada de administrador en todo el dispositivo o servicio, no hay forma de que los investigadores de seguridad se comuniquen con usted si han descubierto una vulnerabilidad en su producto, o nunca se moleste en actualizar el dispositivo.

Los requisitos técnicos se escribieron hace mucho tiempo, esto es algo viejo, ¿qué pasa con [insert buzzword]?

Esto no es cierto: si revisa el Código de práctica y también la especificación ETSI, se diseñaron específicamente para brindar resultados principalmente, por ejemplo, cosas que queríamos dejar de hacer o cosas que queríamos que sucedieran. Mucho de esto no dice específicamente cómo tienes que llegar allí. He hablado de esto antes, pero en resumen, todos los requisitos son válidos ya sea en 2016 o en 2030, por ejemplo.

• No quiero contraseñas predeterminadas en mi dispositivo, alguien ingresará porque se pueden descubrir fácilmente.
• La seguridad del hardware proporciona una base que permite que un dispositivo se inicie y funcione de manera más segura que sin ella.
• Ser transparente sobre las actualizaciones de software me da a mí, el consumidor, más información sobre si quiero comprar un producto.
• Tener un contacto de seguridad pública en una empresa permite a los investigadores de seguridad informar vulnerabilidades, lo que permite que los problemas se resuelvan de manera eficiente y oportuna y, en última instancia, protege a los usuarios de los productos que fabrica la empresa.

Y así sucesivamente… Así que no deje que nadie diga que los requisitos están desactualizados, sea cual sea la tecnología (e iré más allá del consumidor para casi todo IoT), estos requisitos seguirán siendo directamente aplicables siempre que tienen electrónica, software y actores maliciosos.

Próximos pasos

Así que cuales son los siguientes pasos? Bueno, el texto formal en el sitio web del gobierno dice: «Tras su aprobación por el Parlamento y la conclusión de los compromisos de notificación del Reino Unido en virtud de los tratados internacionales, el régimen de seguridad de productos conectables al consumidor entrará en vigor el 29 de abril de 2024». Ahora la cuenta regresiva ha comenzado de verdad.