El gobierno australiano ha redactado un código de prácticas en un intento por mejorar la publicitada falta de seguridad de IoT.
Si bien el enorme ataque de la botnet Mirai contra el proveedor de DNS Dyn en 2016 fue devastador, una cosa positiva que logró fue aumentar la conciencia sobre la poca seguridad de los dispositivos IoT.
Desde ese incidente de alto perfil, los gobiernos han duplicado sus esfuerzos para encontrar ideas para evitar que los dispositivos IoT se vean comprometidos. Para Australia, esto resultó en la publicación de hoy del Código de prácticas: Asegurar el Internet de las cosas para los consumidores.
Una de las principales razones por las que Mirai, y de hecho otras botnets, pueden secuestrar fácilmente una cantidad tan grande de dispositivos IoT es su uso de contraseñas predeterminadas.
Ninguna contraseña predeterminada duplicada o débil se encuentra entre las tres sugerencias de mayor prioridad. Los dos restantes son:
-
Implementación de una política de divulgación de vulnerabilidad con fabricantes de dispositivos, desarrolladores de aplicaciones y proveedores de servicios.
-
Mantener el software, incluido el firmware, actualizado con parches de seguridad.
Si bien las tres sugerencias iniciales pueden parecer obvias, con demasiada frecuencia se pasan por alto.
Los siguientes tres se consideran de alta prioridad, pero no en la medida del primer trío:
-
Almacene credenciales y datos confidenciales de forma segura.
-
Asegúrese de que los datos personales estén protegidos y que se aplique el cifrado "adecuado de la industria" a los datos en tránsito y en reposo.
-
Valide los datos de entrada para que estén "autorizados y se ajusten a las expectativas".
Hay 13 principios en total que abarcan tres páginas del documento. Otras sugerencias notables incluyen:
-
Minimizando las posibles superficies de ataque.
-
El software debe verificarse con mecanismos de arranque seguros.
-
Asegúrese de que los sistemas sean resistentes a una interrupción.
-
Proporcionar instrucciones claras a los usuarios con respecto a los datos personales.
-
Monitoree los datos de telemetría en busca de anomalías.
-
Simplifique la instalación y el mantenimiento del dispositivo.
"Estamos lanzando el Código de Prácticas para consulta pública porque queremos asegurarnos de que se cumplan las expectativas de todos los australianos con respecto a la ciberseguridad", dijo el Ministro de Asuntos Internos, Peter Dutton.
"Junto con nuestros socios de Five Eyes, compartimos la expectativa de que los fabricantes deberían desarrollar dispositivos conectados con seguridad incorporada por diseño".
Five Eyes es la relación de intercambio de inteligencia entre Australia, Nueva Zelanda, el Reino Unido, Canadá y los Estados Unidos.
En julio, Australia co-firmó una Declaración de intenciones sobre la seguridad de IoT con las otras naciones de Five Eyes en Londres. El borrador del código "se alinea y se basa en" la orientación proporcionada por el Reino Unido a principios de año.
Puede enviar sus pensamientos sobre el Código de prácticas: Asegurar la Internet de las cosas para los consumidores hasta el 1 de marzo de 2020.
¿Interesado en escuchar a líderes de la industria discutir temas como este? Asista a la 5G Expo, IoT Tech Expo, Blockchain Expo, AI & Big Data Expo y Cyber Security & Cloud Expo World Series con eventos próximos en Silicon Valley, Londres y Amsterdam.
