La Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI) entró en vigor hoy y exige que los fabricantes de productos de IoT de consumo vendidos en el Reino Unido dejen de utilizar contraseñas predeterminadas adivinables y tengan una política de divulgación de vulnerabilidades.
“La mayoría de los dispositivos inteligentes se fabrican fuera del Reino Unido, pero la ley PSTI también se aplica a todas las organizaciones que importan o venden productos para el mercado del Reino Unido. El incumplimiento de la ley es un delito penal, con multas de hasta £10 millones o el 4% de los ingresos mundiales calificados (lo que sea mayor)”, señaló Carla V, Oficial de Resiliencia Ciudadana del Centro Nacional de Seguridad Cibernética .
Sobre la legislación
La Ley PSTI cubre productos conectables a Internet y a la red, incluidos los «inteligentes»:
- Televisores, dispositivos de transmisión, parlantes
- Consolas de juegos, teléfonos inteligentes, tabletas.
- Estaciones base y hubs
- Sistemas de alarma y domótica
- “Wearables”: relojes inteligentes, rastreadores de actividad física, etc.
- Electrodomésticos (termostatos, lavadoras, bombillas, frigoríficos, asistentes del hogar, etc.)
- Dispositivos de seguridad (timbres, cámaras de seguridad, monitores para bebés, etc.)
- Juguetes infantiles
Según la ley, cada producto debe estar protegido «listo para usar» con una contraseña única que no se base en contadores incrementales ni se derive de información disponible públicamente o identificadores únicos de productos, y que no sea fácilmente adivinable. Los usuarios también deben poder cambiarlo.
“El fabricante debe proporcionar información sobre cómo informarles sobre problemas de seguridad relacionados con su producto. El fabricante también debe proporcionar información sobre los plazos dentro de los cuales se puede esperar que la persona que realiza el informe reciba un acuse de recibo del informe y actualizaciones de estado hasta la resolución de los problemas de seguridad informados. Esta información debe estar disponible sin solicitud previa en inglés, de forma gratuita. También debe ser accesible, claro y transparente”, explica el Departamento de Ciencia, Innovación y Tecnología del Reino Unido .
Finalmente, los fabricantes deben poner a disposición – “en inglés, de forma gratuita y de forma comprensible para un lector sin conocimientos técnicos previos” – información sobre durante cuánto tiempo el producto estará recibiendo actualizaciones de seguridad.
«Esta legislación ahora debe estar respaldada por una aplicación estricta, incluso contra los mercados en línea que están inundados de productos inseguros, para evitar que los consumidores compren dispositivos conectados a Internet que amenacen su seguridad y puedan obligarlos a reemplazar productos que de otro modo serían utilizables», dijo Rocío Concha. Director de Políticas y Defensa del defensor del consumidor del Reino Unido Which?
La Oficina de Normas y Seguridad de Productos (OPSS), que forma parte del Departamento de Negocios y Comercio, será responsable de hacer cumplir la ley.
Leyes de ciberseguridad de IoT en la UE y EE. UU.
Se podría argumentar que el disruptivo ataque DDoS de 2016 a Dyn por parte de malhechores que reunieron dispositivos IoT “no actualizables” con contraseñas codificadas en una botnet fue el momento en que la necesidad de una legislación como la Ley PSTI se hizo obvia.
Desde entonces, una variedad de organizaciones gubernamentales y de estándares han publicado pautas y recomendaciones para que los fabricantes de IoT mejoren la ciberseguridad de sus productos, pero esta es la primera ley nacional que exige mejoras específicas relacionadas con la seguridad.
En Europa, la Ley de Ciberseguridad (2019) ha introducido esquemas voluntarios de certificación de ciberseguridad para productos, servicios y procesos de TIC, pero se espera que la próxima Ley de Ciberresiliencia (CRA) introduzca requisitos obligatorios de ciberseguridad.
En EE. UU., la Ley de Mejora de la Ciberseguridad de IoT de 2019 describió estándares mínimos de seguridad para los dispositivos de IoT utilizados por el gobierno federal, y California y Oregón aprobaron una ley estatal que exige que los fabricantes de dispositivos conectados a Internet vendidos en esos estados los equipen con «seguridad razonable». funciones de seguridad”, como una contraseña predeterminada única.
Es de esperar que estas leyes sean solo las primeras de muchas y se fortalecerán a lo largo de los años. La responsabilidad de mantener seguros los dispositivos IoT finalmente está transfiriendo parcialmente a los fabricantes.
Fuente y redacción: Zeljka Zorz / helpnetsecurity.com
