La Ley de Mejora de la Ciberseguridad ya está en vigor desde 2020. La Ley exigió al Instituto Nacional de Estándares y Tecnología (NIST) que desarrollara estándares mínimos de seguridad y directrices para el Gobierno Federal que formarán la base de las nuevas restricciones de adquisición de IoT.
Los fabricantes de dispositivos IoT deben seguir las nuevas normas y reglamentos para cumplir estos requisitos de las agencias gubernamentales.
Breve introducción a la Ley de Mejora de la Ciberseguridad y las directrices del NIST
La Ley de Mejora de la Ciberseguridad de 2020 (IoT CIA) es la primera ley federal de Estados Unidos que regula la seguridad de los dispositivos IoT. Según la legislación, un dispositivo IoT es aquel que tiene al menos un sensor o actuador para interactuar directamente con el mundo físico, al menos una interfaz de red y la capacidad de funcionar de forma independiente, en lugar de únicamente como parte de un sistema más grande. Los teléfonos inteligentes, ordenadores portátiles y otros dispositivos electrónicos no están cubiertos por la ley.
La ley se aplica a los dispositivos IoT propiedad o controlados por una agencia que están conectados a un sistema de información federal, definido por el NIST como "un sistema de información utilizado u operado por una agencia ejecutiva, un contratista de una agencia ejecutiva u otra organización en nombre de una agencia ejecutiva."
La IoT CIA no se ocupa de asegurar los dispositivos individuales imponiendo requisitos de contraseña o normas de cifrado, que deberán evolucionar. En su lugar, recurre al Instituto Nacional de Normas y Tecnología (NIST) para establecer muchas de las normas que las organizaciones federales deben seguir al adquirir dispositivos conectados. Estas normas consideran la seguridad general como un conjunto de componentes, que requieren prescripciones particulares para la seguridad de los dispositivos, la nube y las comunicaciones.
La Ley de Mejora de la Ciberseguridad de IoT de 2020 exigía al NIST que publicara normas y directrices para los organismos sobre "el uso y la gestión adecuados por parte de los organismos de los dispositivos [IoT]". El NIST publicó la versión final de la guía de ciberseguridad de IoT para las agencias federales: NIST SP 800-213 Series, en diciembre de 2021.
- SP 800-213, IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements, se revisó basándose en los comentarios de las partes interesadas para que fuera más clara, más fácil de usar y más adaptable a la gama de capacidades de los dispositivos IoT de posible interés para las agencias federales.
- SP 800-213A, IoT Device Cybersecurity Requirements Catalog (Catálogo de requisitos de ciberseguridad de dispositivos IoT), se revisó para que fuera más coherente en su presentación, más equilibrado entre aspectos técnicos y no técnicos, y más fácil de consultar. El catálogo incluye correspondencias con SP 800-53 y el Marco de Ciberseguridad, así como un perfil de ciberseguridad de IoT. El material incluido en esta nueva publicación se basó en las aportaciones colaborativas del público que el NIST recibió a través de GitHub durante todo el año 2021.
El objetivo de esta ley era que el NIST estableciera unas normas mínimas para los dispositivos IoT adquiridos y comprados por el gobierno federal con el fin de utilizar potencialmente el poder adquisitivo del gobierno federal para proteger los dispositivos IoT.
La Ley de Mejora de la Ciberseguridad del Internet de las Cosas de 2020 prohíbe en general a las agencias adquirir o utilizar un dispositivo IoT después del 4 de diciembre de 2022, si se considera que ese dispositivo "no cumple" con las normas desarrolladas por el Instituto Nacional de Normas y Tecnología (NIST).
Los clientes de las agencias federales deben recordar que el Marco de Gestión de Riesgos (RMF) sigue siendo la guía de seguridad fundamental para los sistemas federales y se aplica tanto a los dispositivos IoT como a cualquier otra tecnología de información, comunicaciones u operativa.
Adopción de IoT en el Gobierno de EE.UU.
El gobierno de EE.UU. ha confiado en los dispositivos conectados a IoT durante años y, tras el creciente número de ataques, no es de extrañar que ahora se esté legislando para asegurar el IoT que adquiere y conecta.
El gobierno estadounidense utiliza dispositivos IoT de forma generalizada para mejorar las instalaciones y reducir costos. Por ejemplo, en el sector de los edificios inteligentes, miles de sensores conectados de bajo costo están instalados en 80 edificios gubernamentales de alto consumo energético. La Administración de Servicios Gubernamentales utiliza la telemática para rastrear, localizar y controlar las emisiones de más de 200.000 vehículos con el fin de garantizar el cumplimiento de los mandatos gubernamentales de reducción de las emisiones de gases de efecto invernadero en un 30% para 2025. Otras agencias federales como el Departamento de Defensa (DoD) utilizan etiquetas RFID y sensores de dispositivos conectados para rastrear y gestionar suministros militares, como ropa, materiales de construcción y suministros médicos. Estos dispositivos han permitido a la Agencia Logística de Defensa y al Mando de Transporte de Estados Unidos supervisar miles de millones de transacciones al mes de los sistemas logísticos del DoD y los transportistas comerciales.
También debemos tener en cuenta que los sistemas IoT actuales se están integrando con otros para convertirse en "sistemas de sistemas". Con esta integración, la ciberseguridad se convierte en un concepto más amplio de confianza, que incluye no solo la integridad de los datos, las conexiones y los dispositivos, sino también la fiabilidad de los resultados.
Mejores prácticas
Las normas iniciales del NIST incluyen las mejores prácticas actuales. Estas prácticas van desde identidades únicas para cada dispositivo, de modo que pueda ser identificado en una red, y una forma de que los usuarios autorizados cambien las características relacionadas con el acceso y la seguridad, garantizando también un programa de actualización de dispositivos por aire, Las directrices también incluyen el registro de las acciones de un dispositivo IoT o de su aplicación relacionada y la comunicación clara y segura de los detalles de la seguridad de un dispositivo al usuario.
Para industrias como la manufacturera, que dependen cada vez más de certificados digitales e infraestructuras de clave pública (PKI), como la oferta de GlobalSign que permite la identidad segura de los dispositivos, esta ley es un paso en la dirección correcta. Los expertos llevan años advirtiendo de que los dispositivos conectados podrían quedar expuestos sin una forma de parchear su software o sustituir las contraseñas compartidas codificadas en fábrica, algo cada vez más preocupante, ya que los piratas informáticos son conocidos por explotar agujeros de seguridad básicos, especialmente en el caso de los sensores. Aprovechando las mejores prácticas existentes, se están adoptando enfoques de autenticación más sólidos, como los certificados digitales únicos por dispositivo. Esta ley es un punto de inflexión para que los fabricantes colaboren más estrechamente con el sector de la ciberseguridad a fin de garantizar que los dispositivos del mercado en expansión del IoT sean lo más seguros posible.
Nuestra opinión sobre el proyecto de ley
GlobalSign lleva muchos años ofreciendo soluciones de identidad y seguridad. Como expertos en el campo de la identidad y la seguridad para algunas de las organizaciones más grandes del mundo, creemos que esta ley demuestra que el gobierno ha tomado las medidas necesarias para garantizar la seguridad de los dispositivos conectados, y que se pondrán en marcha soluciones de seguridad más fuertes para limitar los ataques. Nuestra empresa se encuentra en una posición única para emitir certificados digitales a gran volumen y a escala masiva para dispositivos IoT, proporcionando identidades sólidas de dispositivos para permitir los fundamentos de la seguridad IoT: autenticación, cifrado e integridad de dispositivos. Estamos trabajando estrechamente con los fabricantes de algunos de estos dispositivos, que en algunos casos podrían formar parte de redes gubernamentales.
También somos conscientes de que, tanto para la colaboración gubernamental actual como para la futura, los dispositivos IoT propiedad de un organismo o controlados por él deben contar con las medidas de seguridad adecuadas. Si no se siguen estos estrictos controles, esto podría suponer una pérdida significativa de oportunidades de negocio existentes o futuras.
Es imperativo que las partes interesadas federales de IoT sigan comprometidas y activas en este entorno, ya que las normas y consejos de seguridad de IoT del NIST tendrán consecuencias a largo plazo en todo el ecosistema de IoT.
Las empresas no gubernamentales del sector del IoT a las que no afecte esta ley también deberían plantearse implementar las normas del NIST. La ventaja es que pueden vender su línea de productos IoT como conformes con los criterios federales de cumplimiento de la seguridad.
Para obtener más información sobre cómo la seguridad de IoT comienza con PKI, haz clic aquí para obtener más información sobre nuestras soluciones de IoT.
