Un código de práctica para la seguridad en productos y servicios de IoT para el consumidor

Hoy es un buen día. El gobierno del Reino Unido ha lanzado su Informe Seguro por diseño y marca un gran paso adelante para el Reino Unido para la seguridad de Internet de las cosas (IoT).

Incrustado en el informe hay un borrador de «Código de prácticas para la seguridad en productos de consumo de IoT y servicios asociados», que redacté en colaboración con DCMS y con aportes y comentarios de varias partes, incluido el OIC y el NCSC.

He sido un apasionado defensor de la seguridad sólida de los productos desde que trabajé en Panasonic y establecí la función de seguridad de productos en su división de teléfonos móviles, hasta el organismo de recomendaciones móviles. OMTP donde, como industria móvil, establecimos la base de la seguridad y la confianza del hardware para futuros dispositivos. Ciertamente estamos ganando en el espacio móvil: los dispositivos son significativamente más difíciles de violar, a pesar de estar bajo ataques constantes. Esto no se debe a una sola cosa; son múltiples aspectos de la seguridad construidos sobre las experiencias de plataformas y productos anteriores. A medida que las tecnologías han madurado, hemos podido implementar cosas como actualizaciones de software más fácilmente y establecer cómo se ve bien. Con el tiempo también se han ido aprendiendo otros aspectos como aprender a interactuar con investigadores de seguridad o las mejores arquitecturas para separar procesos informáticos.

Transferencia de los fundamentos de seguridad del producto a IoT

Sin embargo, este no es el caso de los productos y servicios de IoT. En algunos casos, se siente como si estuviéramos retrocediendo 20 años. De manera frustrante para aquellos de nosotros que hemos pasado por años dolorosos, las soluciones ya existen en el mundo de los dispositivos móviles para muchos de los problemas que se ven en los dispositivos IoT modernos y pirateados. Simplemente no se han implementado en IoT. Esto también se aplica al ecosistema circundante de aplicaciones y servicios para IoT. Una y otra vez, vemos errores de los desarrolladores, como la falta de validación de certificados en aplicaciones móviles para IoT, que son totalmente evitables.

No hay nada realmente innovador en el Código de prácticas. No es difícil implementar muchas de las medidas, pero lo que estamos diciendo es que ya es suficiente. Es hora de empezar a poner las casas en orden, porque ya no aguantamos más las malas prácticas. Durante demasiado tiempo, los proveedores han enviado productos que son fundamentalmente inseguros porque no se ha prestado atención al diseño de seguridad. Tenemos una opción. Podemos tener un enfoque de seguridad de mínimo común denominador o podemos decir «esta es la barra y al menos debe tener estos conceptos básicos en su lugar». En 2018, simplemente no es aceptable tener cosas como contraseñas predeterminadas y puertos abiertos. Así es como cosas como Mirai sucede La guía aborda esos problemas y si hubiera estado en su lugar, el gran impacto de Mirai simplemente no se habría producido. Ahora es el momento de actuar antes de que la situación empeore y las personas sufran daños físicos. La priorización de la guía fue algo que discutimos extensamente. Los tres principales de eliminar la práctica de las contraseñas predeterminadas, proporcionar a los investigadores de seguridad una forma de revelar vulnerabilidades y mantener el software actualizado se basaron en el hecho de que abordar estos elementos en particular, como una prioridad, tendrá un gran impacto beneficioso en la seguridad cibernética general. seguridad, creando un entorno mucho más seguro para los consumidores.

No estamos solos al decir esto. Múltiples gobiernos y organizaciones de todo el mundo están preocupados por la seguridad de IoT y están publicando recomendaciones de seguridad para ayudar. Esto incluye los EE.UU. NISTde Europa ENISA y organizaciones como la GSMA y el Fundación de seguridad de IoT. En este blog mantengo una lista viva de orientación sobre seguridad de IoT de todo el mundo.

Entonces, para hacer las cosas más seguras y, en última instancia, más seguras (porque una gran parte de IoT ya tiene un impacto potencial en la vida), es hora de intensificar las cosas y mejorar. Muchas partes de la cadena de suministro de IoT ya están haciendo una gran cantidad de seguridad y para esas organizaciones, es probable que ya cumplan con la guía del código de práctica, pero es evidente que una gran cantidad de productos están fallando incluso en lo básico. .

Inseguridad Canarias

Medir la seguridad siempre es difícil. Es por eso que decidimos crear un enfoque basado en resultados. Lo que queremos es la capacidad de los minoristas y otras partes de la cadena de suministro para identificar fácilmente cómo se ve mal. Algunas de las cosas básicas, como la eliminación de contraseñas predeterminadas o la configuración de formas para que los investigadores de seguridad se comuniquen en caso de vulnerabilidades, probablemente puedan verse como canarios de inseguridad: si los conceptos básicos no están en su lugar, ¿qué pasa con los elementos más complejos que son más difíciles de ver o inspeccionar?

Otra razón para centrarnos en los resultados fue que estábamos muy interesados ​​en evitar sofocar la creatividad en lo que respecta a las soluciones de seguridad, por lo que hemos evitado ser prescriptivos más allá de describir los enfoques de mejores prácticas o dónde se deben eliminar las malas prácticas.

El futuro

Tengo muchas ganas de seguir desarrollando el trabajo sobre la base de los comentarios de la consulta informal sobre el Código de prácticas. Apoyo los diversos ejercicios de mapeo de estándares y recomendaciones que fundamentalmente harán que el cumplimiento sea mucho más fácil para las empresas de todo el mundo. Estoy orgulloso de haber trabajado con un equipo tan innovador en este proyecto y espero seguir contribuyendo en el futuro.