Por muy útiles que sean los dispositivos conectados como timbres con vídeo y luces inteligentes, es aconsejable hacer ejercicio Precaución al utilizar tecnología conectada. en su hogar, especialmente después de años de leer sobre hacks de cámaras de seguridad, Ataques de botnets de frigoríficosy estufas inteligentes que se encienden solas. Pero hasta ahora, no ha habido una manera fácil de evaluar las características de seguridad de un producto. Un nuevo programa de la Alianza de estándares de conectividad (CSA)el grupo detrás del estándar de hogar inteligente Matter, quiere solucionar este problema.
Anunciada esta semana, la Especificación de seguridad de dispositivos IoT de CSA es un programa de certificación y estándar de ciberseguridad básico que tiene como objetivo proporcionar una certificación de seguridad única y reconocida a nivel mundial para dispositivos IoT de consumo.
Los fabricantes de dispositivos que se adhieren a las especificación y pasar por el proceso de certificación puede llevar la nueva Marca de Seguridad de Producto Verificada (PSV) de la CSA. Si la cámara de seguridad o la bombilla inteligente que está comprando lleva la marca, sabrá que cumple con los requisitos para ayudar a protegerla de intentos de piratería maliciosa y otras intrusiones que podrían afectar su privacidad.
“Es un gran paso adelante tener una certificación global de seguridad de IoT para el consumidor. Es mucho mejor que no tener uno”, Steve Hanna, Infineon.
“Las investigaciones muestran continuamente que los consumidores califican la seguridad como un importante factor de compra de dispositivos, pero no saben qué buscar desde una perspectiva de seguridad para tomar una decisión de compra informada”, dice Eugene Liderman, director de estrategia de seguridad móvil de Google. El borde. “Programas como este brindarán a los consumidores un indicador simple y fácilmente identificable que deben buscar”.
Liderman es parte del grupo de trabajo CSA que definió la especificación 1.0 para el programa, que ha sido desarrollado por más de 200 empresas miembros de la CSA. Estos incluyen (junto con Google) Amazon, Comcast, Signify (Philips Hue) y varios fabricantes de chips como Arm, Infineon y NXP.
Según Tobin Richardson, director general de CSA, los productos que lleven la marca PSV podrían empezar a aparecer ya en esta temporada de compras navideñas.
Una marca de ciberseguridad para gobernarlos a todos
El El anuncio de la CSA el 18 de marzo sigue a la noticia de la semana pasada de que el FCC ha aprobado implementar su nuevo programa de etiquetado de ciberseguridad para dispositivos IoT de consumo en EE. UU. Ambos programas son voluntarios y la etiqueta de la CSA no compite con la Cyber Trust Mark de EE. UU. En cambio, va un paso más allá, tomando todos los requisitos de Estados Unidos y agregando líneas de base de ciberseguridad de programas similares en Singapur y Europa. El resultado final es un único programa de especificación y certificación que puede funcionar en varios países (consulte la barra lateral).
Richardson dice que el objetivo es que los gobiernos reconozcan la marca PSV de la CSA, de modo que los fabricantes puedan pasar por un solo proceso de certificación para vender en los principales mercados. Esto podría reducir el costo y la complejidad para los fabricantes y potencialmente brindar más opciones a los consumidores.
La Marca del PSV ha sido reconocido por la Agencia de Seguridad Cibernética de Singapur, y la CSA dice que está trabajando en el reconocimiento mutuo con programas similares en EE. UU., la UE y el Reino Unido. “Es muy probable, y con algunos [countries], es una certeza”, afirma Richardson. “Se trata principalmente de ocuparse de algunos trámites burocráticos”.
Para obtener la Marca PSV, los dispositivos deben cumplir con las Especificación de seguridad de dispositivos IoT 1.0 y pasar por un programa de certificación que implica responder un cuestionario y proporcionar evidencia adjunta a un laboratorio de pruebas autorizado. Los aspectos más destacados de los requisitos incluyen:
- Identidad única para cada dispositivo IoT
- Sin contraseñas predeterminadas codificadas
- Almacenamiento seguro de datos confidenciales en el dispositivo
- Comunicaciones seguras de información relevante para la seguridad.
- Actualizaciones de software seguras durante todo el período de soporte
- Proceso de desarrollo seguro, incluida la gestión de vulnerabilidades.
- Documentación pública sobre seguridad, incluido el período de soporte.
Según la CSA, el programa voluntario se aplica a la mayoría de los dispositivos domésticos inteligentes conectados, incluidas bombillas, interruptores, termostatos y cámaras de seguridad, y puede aplicarse retroactivamente a los productos del mercado. Junto con la marca PSV, “una URL impresa, un hipervínculo o un código QR en la marca brinda a los consumidores acceso a más información sobre las características de seguridad del dispositivo”, dice la CSA en su comunicado de prensa.
El programa se centra específicamente en la seguridad del dispositivo, asegurándose de que no se pueda acceder al dispositivo físico en sí, en lugar de en la privacidad. “Pero existe una estrecha relación: no se puede tener privacidad sin seguridad”, afirma Richardson. Si bien la seguridad afecta la privacidad, este programa no ofrece muchos requisitos sobre cómo un fabricante usa los datos que recopila un dispositivo. La CSA tiene un grupo de trabajo de privacidad de datos independiente que se ocupa de esa lata de gusanos.
Mejor seguridad, pero aún no perfecta
La versión actual del programa no es una solución milagrosa para resolver los problemas de seguridad de los dispositivos IoT. Steve Hanna de Infineon Technologies, investigador de ciberseguridad desde hace 25 años y presidente del grupo de trabajo CSA para el programa, dijo El borde todavía hay más que le gustaría ver incorporados. “Pero tenemos que gatear, caminar y luego correr”, dice. “Es un gran paso adelante tener una certificación global de seguridad de IoT para el consumidor. Es mucho mejor que no tener uno”.
Liderman de Google también señala que cumplir con el estándar mínimo de seguridad no garantiza que un dispositivo esté libre de vulnerabilidades. “Creemos firmemente que la industria necesita elevar el listón con el tiempo, especialmente en las categorías de productos sensibles”, afirma.
La CSA planea mantener actualizada la especificación, exigiendo que las empresas recertifiquen al menos cada tres años. Además, Richardson dice que será necesario un proceso de respuesta a incidentes, por lo que si una empresa encuentra un problema de seguridad, como los problemas recientes de Wyze, debe solucionarlos antes de poder volver a certificarse.
Una API podría permitir que una aplicación de plataforma de hogar inteligente le avise sobre el estado de seguridad de un dispositivo antes de que pueda unirse a su red.
Para abordar las preocupaciones sobre el mal uso de la etiqueta, Hanna dice que la CSA tendrá una base de datos de todos los productos certificados en su sitio web para que pueda verificar las afirmaciones de una empresa. También dice que hay planes para que la información esté disponible en una API, lo que podría permitir que la aplicación de su plataforma de hogar inteligente le avise sobre el estado de seguridad de un dispositivo antes de que pueda unirse a su red.
Hanna advierte contra establecer expectativas demasiado altas. “A algunas empresas les entusiasma reconocer el trabajo que ya han realizado, pero no deberíamos esperar que todos los productos tengan esto”, afirma. Algunos pueden descubrir que tienen problemas que les impiden obtener la certificación, afirma. “Cuando los gobiernos los exijan, ahí es cuando el asunto se pone en marcha”.
Un programa voluntario puede parecer un dedo en la presa, pero resuelve dos problemas básicos. Para los fabricantes, simplifica el cumplimiento de las regulaciones de varios países en un solo paso, mientras que para los consumidores, abre una vía a la información sobre qué tipo de prácticas de seguridad sigue una empresa.
“Sin una etiqueta o una marca, puede resultar difícil para el consumidor tomar una decisión de compra basada en la seguridad”, afirma Hollie Hennessy, experta en ciberseguridad de IoT en firma de analistas tecnológicos Omdia. Si bien el hecho de que el programa sea voluntario podría ser una barrera para la adopción, Hennessy dice que la investigación de su empresa indica que es más probable que las personas compren un dispositivo con etiquetas de privacidad y seguridad.
En última instancia, Hennessy cree que se necesita una combinación de estándares y certificaciones como esta, junto con regulaciones y legislación, para resolver las preocupaciones de los consumidores sobre la privacidad y la seguridad en los dispositivos conectados. Pero esta medida es un gran paso en la dirección correcta.