Por qué la vigilancia de la seguridad digital es un puente demasiado lejos para que los legisladores del Reino Unido lo logren solos

¿La nueva legislación para dispositivos inteligentes propuesta recientemente por el gobierno tendrá algún impacto significativo?

Simpatizo con el ministro de infraestructura digital del Reino Unido, Matt Warman, a quien se le ha encomendado la ingrata tarea de garantizar que la legislación se mantenga al día con los desafíos de seguridad que enfrenta la tecnología. En un entorno de tan rápida evolución, esto debe parecerse mucho a pintar el Forth Bridge.

En consecuencia, no es sorprendente que algunos elementos clave de la nueva legislación gubernamental sobre dispositivos inteligentes «seguros por diseño» corran el peligro de quedar obsoletos o ser irrelevantes cuando se conviertan en leyes.

Hay algunos aspectos de las propuestas que pueden tener un impacto positivo, aunque probablemente limitado. Es posible que obligar a los fabricantes de tecnología a ser francos sobre el software de seguridad que está integrado en sus dispositivos aumente la conciencia entre los consumidores de las vulnerabilidades a las que su teléfono, tableta o dispositivo inteligente es susceptible más adelante en su vida.

También es factible que esto facilite conversaciones sobre seguridad en el punto de venta que impulsen la comprensión general de los riesgos cibernéticos asociados con el mundo digital.

Pero, ¿deberíamos esperar que las personas comiencen a reconsiderar las compras porque descubren que su nuevo dispositivo solo tendrá actualizaciones de seguridad durante los primeros dos de los cuatro años, en promedio, lo usarán? En resumen, no deberíamos.

Los dispositivos inteligentes, en particular los teléfonos, rara vez se compran directamente: los teléfonos se entregan gratis como parte de un nuevo contrato o acuerdo de actualización, por lo que, muchas veces, los consumidores no se encuentran en la situación tradicional de «comprar o no comprar».

Hacer obligatorios los mecanismos de notificación de errores y fallas también es una parte de sentido común de la legislación que debería ser relativamente fácil de implementar. La mayoría de los usuarios de teléfonos Apple o Android estarán familiarizados con su dispositivo y preguntarán si quieren informar una falla, pero hay muchos dispositivos de bajo costo en el mercado que no ofrecen esta funcionalidad o no brindan a los investigadores información de contacto para enviar hallazgos. para.

Algunos podrían argumentar que esta es una dirección de viaje en la que la industria se dirige por sí misma, pero es poco probable que aquellos que crean dispositivos inteligentes de productos básicos baratos se pongan en fila sin algún tipo de aplicación.

Sin embargo, donde la legislación propuesta realmente fracasa es en cómo aborda los requisitos de seguridad, como las contraseñas. Existen varios problemas al exigir por ley a los fabricantes que eliminen las contraseñas simples o «configuradas en fábrica».

En principio, la idea suena genial, pero implementar correctamente un formulario de contraseña segura o un esquema de autenticación avanzado sigue siendo una habilidad relativamente especializada que debe estar respaldada por un estándar técnico.

La mayoría de los fabricantes de automóviles se reirían si una nueva ley solo pidiera ‘un parachoques’ sin algún tipo de especificación que indique cómo está hecho y qué beneficios de seguridad se espera que brinde; se necesita el mismo nivel de detalle, pero actualmente no existe. de la ley de contraseñas del gobierno. Un proveedor que elimina las contraseñas predeterminadas debido a un requisito legal, pero aún tiene un sistema de contraseñas mal implementado, parece cumplir legalmente pero no asegura nada.

El segundo problema es que estamos a una, quizás dos, generaciones de dispositivos inteligentes para que las contraseñas sean obsoletas. Muchos de nosotros ya usamos nuestras huellas dactilares, retina o rasgos faciales para desbloquear nuestros dispositivos inteligentes y estos métodos de autenticación más convenientes y, en última instancia, mucho más seguros son el futuro.

Como resultado, la legislación de contraseñas cuidadosamente elaborada por el gobierno, sin un proceso sensato de cumplimiento basado en estándares, quedará obsoleta en el lanzamiento.

Estas deficiencias no se deben necesariamente a que las políticas en sí mismas estén mal concebidas. Más bien, destacan un problema mucho más general al adoptar un enfoque legislativo para hacer cumplir requisitos complejos de seguridad cibernética.

Dejando a un lado el ritmo glacial al que se aprueban las leyes, lo que lo convierte en un sistema totalmente inadecuado para gobernar los estándares de seguridad de la información, la legislación solo debe usarse para establecer expectativas. Debe entenderse uniformemente y aplicarse ampliamente y, como resultado, no puede dar cuenta de los problemas de ingeniería enormemente complejos que presenta el mundo digital.

En cambio, la legislación de seguridad cibernética debería centrarse en la información y los estándares del consumidor, mientras que el tiempo y el dinero invertidos en este conjunto de políticas bien intencionadas podrían haberse invertido mucho mejor en interactuar con la infraestructura existente para abordar los desafíos de seguridad cibernética. Es necesario establecer asociaciones mejor definidas con la industria de la IoT y proporcionar más fondos a las organizaciones con la experiencia para vigilarla: la ICO, NCSC e ISO, por ejemplo.

Me gustaría ver un sistema de ‘marca de cometa’ introducido, donde los nuevos dispositivos se ratifiquen frente a un conjunto de estándares en evolución, creado por los reguladores de la industria que entienden el entorno de seguridad de la información. Si los consumidores compran a sabiendas un dispositivo que no cumple con el estándar de seguridad, lo hacen al menos informados del riesgo, o del esfuerzo adicional que deberán realizar para proteger el dispositivo.

Si bien el proyecto de ley de «seguridad por diseño» muestra que el corazón del gobierno está en el lugar correcto, vigilar el Internet de las cosas en constante cambio y expansión es un puente demasiado lejos para que nuestro sistema legislativo lo cruce solo.

Andy Barratt, director general para el Reino Unido de la consultora internacional de ciberseguridad Coalfire.