Se calcula que hay 7.740 millones de dispositivos conectados al Internet de las cosas en todo el mundo y se prevé que esta cifra aumente a 29.000 millones en 2030. En los últimos meses, hemos visto algunos anuncios importantes en el movimiento para que los dispositivos conectados sean más resistentes contra la ciberdelincuencia. Esto incluye la nueva norma mundial de la Alianza de Normas de Conectividad (CSA) y la propuesta de Ley de Resiliencia Cibernética de la Unión Europea (UE). Pero ¿cómo van a conseguir estos esfuerzos que los dispositivos sean más resistentes a los ciberataques?
Cómo va a unificar globalmente la Alianza de Estándares de Conectividad (CSA) la forma de asegurar los dispositivos?
Hasta ahora no existía una norma simplificada y aceptada a nivel mundial para conectar los dispositivos IoT, lo que ha llevado a los consumidores a tener múltiples y confusos métodos para conectarlos en casa. La Connectivity Standards Alliance (CSA) pretende transformar esta situación y garantizar la seguridad de los nuevos dispositivos con un nuevo estándar global. El estándar, conocido como Matter, fomenta la interoperabilidad entre dispositivos y plataformas y desarrolla el futuro del hogar inteligente.
Lee también: GlobalSign se une a la Connectivity Standards Alliance
Más información sobre la seguridad de los dispositivos IoT
¿Qué es la Ley de Ciberresistencia?
La propuesta de Ley de Ciberresistencia fue publicada por la UE en septiembre de 2022, y es un reglamento que pretende reforzar las normas de ciberseguridad para garantizar que los productos de hardware y software comercializados en el mercado de la UE sean más seguros.
Los productos de hardware y software son cada vez más objeto de ciberataques, cuyo costo se estima en 5,5 billones de euros a nivel mundial. En la actualidad, el marco jurídico de la UE no aborda la ciberseguridad de los programas informáticos no integrados, por lo que en la propuesta se señalan dos objetivos principales
- Poner en el mercado productos de hardware y software con menos vulnerabilidades, creando las condiciones para el desarrollo de productos seguros con elementos digitales y garantizar que los fabricantes se tomen en serio la seguridad durante todo el ciclo de vida del producto
- Permitir que los usuarios tengan en cuenta la ciberseguridad a la hora de seleccionar y utilizar productos con elementos digitales
¿Cómo protegerá los dispositivos la propuesta de Ley de Ciberresistencia?
La Ley de Ciberresistencia, la primera legislación de la UE de este tipo, introducirá requisitos obligatorios de ciberseguridad para los productos con elementos digitales, a lo largo de todo su ciclo de vida. Se espera que sea tanto en los productos de consumo como en los industriales. Las medidas propuestas incluyen un marco que abarca toda la cadena de valor, desde la planificación, el diseño y el desarrollo hasta el mantenimiento y la asistencia continua.
¿Cuáles son las obligaciones de los fabricantes en virtud de la Ley de Ciberresistencia propuesta?
- La ciberseguridad se tiene en cuenta en todas las fases; planificación, diseño, desarrollo, producción, entrega y mantenimiento
- Todos los riesgos de ciberseguridad se documentan
- Habrá que notificar las vulnerabilidades e incidentes explotados activamente
- Una vez vendidos, los fabricantes deben garantizar que durante la vida útil prevista del producto o durante un periodo de cinco años (lo que sea más corto), las vulnerabilidades se gestionen de forma eficaz
- Instrucciones claras y comprensibles para el uso de productos con elementos digitales
- Las actualizaciones de seguridad deben estar disponibles durante al menos cinco años
¿Cuándo podemos esperar que entre en vigor la Ley de Ciberresistencia?
La Ley de Ciberresistencia está siendo revisada por el Parlamento Europeo y el Consejo. Si la propuesta se aprueba y entra en vigor, los operadores económicos y los Estados miembros tendrán dos años para adaptarse a los nuevos requisitos.
Cabe señalar que la obligación de informar sobre las vulnerabilidades e incidentes explotados activamente se aplicará después de un año.
¿Cómo se pueden asegurar ahora los dispositivos conectados?
Aunque la propuesta de CRA es un avance importante, hay medidas que se pueden tomar para asegurar los dispositivos ahora con la tecnología de infraestructura de clave pública (PKI).
PKI ofrece una experiencia IoT de confianza respaldada por certificados digitales seguros y, con la plataforma de identidad IoT de GlobalSign, la seguridad de los dispositivos se vuelve escalable, flexible e interoperable.