En un intento por hacer más difícil que los bots se apoderen de la gran cantidad de dispositivos conectados que se venden en California, los legisladores estatales lo aprobaron y el gobernador de California, Jerry Brown, firmó la ley SB-327 .
La nueva ley
El proyecto de ley se promulgará el 1 de enero de 2020 y se aplica a los fabricantes de dispositivos, ya sea que lo hagan ellos mismos o contraten a otra persona para que fabrique el dispositivo en su nombre.
Requiere que los fabricantes de dispositivos conectados a internet vendidos en California «equipen el dispositivo con una característica o características de seguridad razonables» que son:
- Apropiado a su naturaleza y función.
- Adecuado a la información que puede recopilar, contener o transmitir
- Diseñado para proteger el dispositivo y cualquier información que contenga del acceso, la destrucción, el uso, la modificación o la divulgación no autorizados.
“… Si un dispositivo conectado está equipado con un medio de autenticación fuera de una red de área local, se considerará una característica de seguridad razonable (…) si se cumple alguno de los siguientes requisitos: la contraseña preprogramada es única para cada dispositivo fabricado, o El dispositivo contiene una función de seguridad que requiere que un usuario genere un nuevo medio de autenticación antes de que se otorgue el acceso al dispositivo por primera vez «, establece el proyecto de ley.
También dice que las personas privadas no pueden iniciar una demanda civil si un fabricante no cumple con la ley. «El Fiscal General, un abogado de la ciudad, un abogado del condado o un fiscal de distrito tendrán la autoridad exclusiva para hacer cumplir este título», dice.
Algo bueno, algo malo.
Le he preguntado a Ken Munro, de Pen Test Partners, con sede en el Reino Unido, para quien la seguridad de los dispositivos de IoT es muy importante para él, qué pensaba sobre la nueva legislación.
(Anteriormente, señaló que hay algunos buenos estándares que deben seguir los fabricantes de IoT si desean garantizar la seguridad, pero que todavía faltan regulaciones y legislación adecuadas).
«Me complació mucho ver que el trabajo de nosotros y otros en My Friend Cayla había sido un catalizador para crear el proyecto de ley», dice.
“El proyecto de ley es impreciso, pero creo que en realidad es algo bueno, ya que el mercado de productos inteligentes para el consumidor cubre muchas categorías de productos. Sin embargo, requerirá muchas pruebas en la ley «.
Pero señala la falta de definición de lo que constituye «seguridad apropiada» y el hecho de que un dispositivo puede estar «diseñado para proteger», pero que a menudo el diseño no considera el hack inesperado.
«Hemos comido exactamente este problema en los productos de IoT durante años», dice.
“Hay otros problemas: no hay nada que especifique que una contraseña preprogramada debe ser sólida, solo que es única. Otro tema relacionado con las fuentes de aleatoriedad o entropía: [la legislación] habla sobre un nuevo medio de autenticación antes del acceso por primera vez, pero no establece que deba ser aleatorio o impredecible «.
También señaló que la ley no proporciona ninguna indicación sobre los remedios para los consumidores afectados con productos ofensivos.
«No hay discusión de retiro, reemplazo o compensación. Además, ¿la ley se aplica retrospectivamente una vez implementada? «Eso tampoco está claro, por lo que los vendedores podrían ser incentivados para llenar el canal minorista con un año o más de acciones para eludir la factura», agrega.
“Mi opinión es que este es un gran comienzo hacia la regulación de IoT, uno de los primeros que se han visto. Pero es solo un comienzo ”.
Kieren McCarthy del Registro también observó que la ley no cumple con otra medida de seguridad que es vital para mejorar la seguridad a largo plazo de los dispositivos de IoT: deben poder actualizarse para mantenerse al tanto del descubrimiento de vulnerabilidades, y La acción debe ser fácil de realizar para los usuarios.
Fuente: Helpnetsecurity.com