El pasado 1 de Agosto Reuters lanzaba una noticia que, en mi opinión, es un gran paso en la evolución del IoT.
Los Republicanos Cory Gardner y Steve Daines junto con los Demócratas Mark Warner y Ran Wyden lanzaron una propuesta para comenzar a legislar la seguridad en las “cosas” que forman IoT.
Este paso es muy importante ya IoT está creciendo no solo en tecnologías propuestas (Zigbee, Z-Wave, MQTT, RFID, 6LoWPAN,...) sino también en asociaciones/empresas que comienzan a lanzar propuestas con compendios de seguridad para las “cosas” (OWASP, OneM2M, IETF, IoT Security Foundation, IoT Manifesto, Online Trust Alliance,...) pero todos esos esfuerzos son en vano si quienes producen las cosas no hacen caso a la seguridad.
Hay mucho camino por recorrer en la seguridad para IoT ya que en este entorno las reglas cambian ya que los requisitos de software/hardware son muy variopintos y, en muchos casos, muy limitados. Pero si no existe una obligación a nivel gubernamental igualmente no hay predisposición por solucionar estos problemas.
Se puede ver aquí la propuesta que han lanzado, con puntos tan interesantes como este pequeño extracto:
“IN GENERAL
.—A clause that requires the contractor providing the Internet-connected device to provide written certification that the device—
(I) except as provided under clause
(ii), does not contain, at the time of submitting the proposal, any hardware, software, or firmware component with any known security vulnerabilities or defects listed in—
(aa) the National Vulnerability Database of NIST; and
(bb) any additional database selected by the Director that tracks security vulnerabilities and
defects, is credible, and is similar to the National Vulnerability Database;
(II) relies on software or firmware components capable of accepting properly authenticated and trusted updates from the vendor;
(III) uses only non-deprecated industry-standard protocols and technologies for functions such as
aa) communications, such as standard ports for network traffic;
(bb) encryption; and
(cc) interconnection with other devices or peripherals; and
(IV) does not include any fixed or hard-coded credentials used for remote administration, the delivery of updates, or communication.”
Si esta normativa es aprobada estamos ante una era, en que habrá que correr por poder brindar soluciones a muchos retos pendientes en seguridad IoT. Empieza la fiesta.
No hay comentarios:
Publicar un comentario