por Mike Nelson,Vicepresidente de Digital Trust de DigiCert
Recientemente, la Casa Blanca publicó su Estrategia Nacional de Ciberseguridad, lo que demuestra un mayor enfoque en los niveles más altos del gobierno para las interacciones digitales, que, como hemos visto con los recientes ataques a la infraestructura crítica, tienen impactos tangibles en el mundo real. Uno de los puntos clave de la Estrategia Nacional de Ciberseguridad es que la responsabilidad de la ciberseguridad recae principalmente en los desarrolladores y fabricantes.
La hoja informativa de la Casa Blanca sobre el anuncio de la estrategia señala: “Debemos reequilibrar la responsabilidad de defender el ciberespacio trasladando la carga de la seguridad cibernética lejos de los individuos, las pequeñas empresas y los gobiernos locales, y hacia las organizaciones que son más capaces y están mejor posicionadas para reducir los riesgos para todos nosotros”.
Pero los desarrolladores y fabricantes deberían asumir la mayor parte de la responsabilidad de la ciberseguridad, ya que son «los más capaces y están mejor posicionados» para implementar la confianza digital, que se ha vuelto más evidente a medida que la industria ha madurado.
¿Comprarías un automóvil que no haya pasado por pruebas de choque? ¿Qué pasa con un dispositivo?
Esta discusión sobre la responsabilidad de la seguridad me recuerda que crecí en una era en la que los cinturones de seguridad eran opcionales, pero ahora son obligatorios por ley para la seguridad de los pasajeros. Ahora que toda nuestra infraestructura crítica tiene software, ya no es una opción que la seguridad sea una idea de último momento en el proceso de fabricación. Los fabricantes deben asegurarse de que la seguridad esté integrada en todo el desarrollo de productos y software, o de lo contrario podrían ser considerados responsables de las vulnerabilidades.
Dicho de otra manera, ¿se arriesgaría a comprar un automóvil de un fabricante que no probó la seguridad del producto y no compartió esa información con usted? ¿O qué pasa con un nuevo medicamento que no fue diseñado y probado teniendo en cuenta la seguridad? Si duda en comprar otros productos que no son seguros por diseño, ¿por qué no aplicar eso a los dispositivos IoT que pueden estar en su hogar, automóvil, oficina o en su persona?
Así como los fabricantes de automóviles y los fabricantes de medicamentos son responsables de sus productos, creo que los desarrolladores y fabricantes involucrados en el diseño y la producción de infraestructura crítica inteligente deberían ser responsables de la seguridad de los dispositivos, el código y cualquier dato que esos dispositivos recopilen y almacenen.
Todavía se determinará cómo se ve esa responsabilidad en los Estados Unidos, pero es probable que incluya consecuencias financieras. Además, está claro que los fabricantes deben estar preparados y adelantados al juego. Es urgente que las empresas hagan más con la confianza digital para su software y asuman más responsabilidad por la ciberseguridad.
Aumentar la seguridad de los dispositivos es una tendencia en los organismos reguladores
Estamos viendo regulaciones similares que ponen la responsabilidad sobre los fabricantes también en otros mercados. Por ejemplo, la Ley de Resiliencia Cibernética de la UE impone una mayor responsabilidad a los fabricantes de dispositivos IoT, lo que genera multas y sanciones masivas por incumplimiento. Esta ley les dará a los consumidores más poder adquisitivo y confianza en sus dispositivos y más transparencia sobre la seguridad de lo que están comprando.
La Casa Blanca también menciona las etiquetas de seguridad de IoT: «A través de la expansión de las etiquetas de seguridad de IoT, los consumidores podrán comparar las protecciones de seguridad cibernética que ofrecen diferentes productos de IoT, creando así un incentivo de mercado para una mayor seguridad en todo el ecosistema de IoT». Se han realizado esfuerzos para las etiquetas de seguridad de IoT en varios países, incluidos Singapur, Finlandia y la UE. El etiquetado que revela detalles de seguridad sobre los dispositivos empoderaría aún más a los consumidores de la misma manera que las etiquetas nutricionales en los productos alimenticios les permiten realizar compras bien informadas.
Este movimiento compartido entre gobiernos para aprobar regulaciones para el desarrollo de software e IoT tiene sentido y, con suerte, creará una cadena de suministro global confiable donde, como establece la Estrategia Nacional de Seguridad Cibernética, “naciones afines contrarrestan las amenazas a nuestro ecosistema digital a través de la preparación, respuesta y e imposición de costos”.
Un futuro ciberresiliente requiere más confianza digital
La estrategia de la Casa Blanca llega en un momento en el que el caso de la confianza digital, o brindar confianza de que nuestras interacciones digitales son seguras, nunca ha sido más claro. Internet está evolucionando, al igual que nuestro panorama de amenazas. Como se indica en la estrategia, a medida que construimos una nueva generación de infraestructura digital, desde telecomunicaciones de próxima generación e IoT hasta recursos de energía distribuidos, y nos preparamos para cambios revolucionarios en nuestro panorama tecnológico provocados por la inteligencia artificial y la computación cuántica, la necesidad de abordar esta brecha de inversión se ha vuelto más urgente.
Desafortunadamente, la seguridad ha sido con demasiada frecuencia una idea de último momento para los dispositivos IoT. Ha habido una gran demanda de que los fabricantes lleven sus productos al mercado, y esto ha llevado a dispositivos y software que están infamemente llenos de vulnerabilidades. Además de eso, las amenazas han ido evolucionando y veremos aún más herramientas para los atacantes en el futuro utilizando IA, computación poscuántica y otras tecnologías emergentes.
Por lo tanto, la seguridad debe integrarse en la forma en que se diseñan, construyen, prueban, implementan y operan los productos conectados. Esta regulación que está cambiando la responsabilidad es un gran paso adelante para responsabilizar a los desarrolladores y fabricantes por no integrar la seguridad en el diseño de sus productos.