Con el objetivo de ayudar al consumidor a realizar compras más seguras de software y dispositivos de IoT, las pautas de etiquetado son voluntarias y de autocontrol en este momento.
La orden ejecutiva de ciberseguridad de amplio alcance del presidente Biden emitida en mayo pasado ordena al Instituto Nacional de Estándares y Tecnología (NIST) crear programas piloto de etiquetado para educar al público sobre la seguridad de los dispositivos y productos de software de Internet de las cosas (IoT) que compran. . La orden requiere que NIST produzca antes del 6 de febrero de 2022, los criterios de ciberseguridad de IoT para un programa de etiquetado para el consumidor y, por separado, identifique las prácticas de desarrollo de software seguro o los criterios para un programa de etiquetado de software.
Con esos fines, el NIST celebró un taller en septiembre y solicitó comentarios de las partes interesadas y los expertos. Sobre la base de la información recibida en estos esfuerzos y después de emitir documentos preliminares que describen varios enfoques, el NIST emitió un borrador de Criterios de referencia para el etiquetado de ciberseguridad de software de consumo el 1 de noviembre y un borrador de discusión sobre el etiquetado de ciberseguridad del consumidor para productos de IoT el 3 de diciembre.
Después de que NIST produzca los criterios de software y de IoT en febrero, comenzará una fase de prueba piloto de etiquetado. Esa fase consistirá en que NIST se comprometa con organizaciones que actualmente ofrecen opciones de etiquetado para el consumidor. NIST dice que también puede decidir establecer medidas para demostrar más pruebas de concepto en función de los criterios que publica.
No hay una talla única para todas las etiquetas de seguridad de software
Numerosos desafíos se interponen en el camino de la creación de etiquetas para productos de software intrínsecamente complicados. Como dice el informe de etiquetado de software más reciente del NIST, "No existe una definición única para la ciberseguridad que se pueda aplicar a todos los tipos de software de consumo", porque los riesgos asociados con cualquier pieza de software están vinculados de forma innata a la intención del software. usar. Las consideraciones de ciberseguridad apropiadas para un juego móvil diferirán de las que se aplican, por ejemplo, a una aplicación de banca en línea o al funcionamiento de una estación de medios en un automóvil.
El NIST enfatiza que no está tratando de diseñar las etiquetas de ciberseguridad del software en sí mismo, sino que está estableciendo un conjunto de "resultados deseados" que permiten que el mercado de los fabricantes de software, los proveedores de etiquetas de terceros y los consumidores tomen decisiones informadas. No obstante, el NIST ha desarrollado criterios técnicos provisionales para las etiquetas de seguridad sobre cómo los fabricantes de software deben dar fe de ellas y qué información los proveedores deben poner a disposición de los consumidores.
Estos borradores de atestaciones, que se discuten en detalle granular en el último borrador del documento de NIST, son:
- Certificaciones descriptivas que identifican quién hace afirmaciones sobre la información contenida en la etiqueta, a qué se aplica la etiqueta, cuándo se realizaron las certificaciones y cómo un consumidor puede obtener otra información de respaldo requerida por la etiqueta.
- Certificaciones de desarrollo de software seguro, que en esencia contienen información sobre las prácticas recomendadas de desarrollo de software seguro que se emplearon
- Atributos críticos de ciberseguridad y atestaciones de capacidad que describen las características expresadas por el software que resultan de la implementación de un proceso de desarrollo de software seguro.
- Certificados de protección e inventario de datos que destacan cómo el software almacena, procesa o transmite los datos
El 9 de diciembre, NIST llevó a cabo un segundo taller para discutir el estado de sus esfuerzos de etiquetado de software y de IoT. Al hablar en el taller, el científico informático del NIST Michael Ogata dijo que “todas las certificaciones en los criterios técnicos deben cumplirse para mostrar la etiqueta en una pieza de software. Sin embargo, no aborda cómo deben representarse las atestaciones en la etiqueta. Puede pensar en esto en términos de que, si una etiqueta se convierte en algo que es un sello de aprobación, eso generaría todos los criterios técnicos, pero tal vez no los mostraría ".
Un problema del plan es que estas etiquetas son voluntarias, sin requisitos gubernamentales ni verificaciones recomendadas de que los proveedores de software puedan respaldar sus certificaciones. "NIST no está realmente en el espacio de hacer eso en este momento", dijo Ogata.
Las etiquetas de IoT pueden ser binarias
Al igual que su enfoque con etiquetas de software, NIST identificará elementos críticos de un programa de etiquetado de IoT en términos de requisitos mínimos y atributos deseables en lugar de configurar su propio programa. NIST planea especificar los resultados deseados que permitan a los proveedores y clientes elegir las mejores soluciones para sus dispositivos y entornos.
El desafío para cualquier programa de etiquetado de IoT es que, como señala el NIST en su documento, "los consumidores generalmente no tienen la experiencia para distinguir entre diferentes requisitos técnicos o de evaluación de la conformidad". Por esta razón, NIST sugiere tentativamente que las etiquetas de IoT sean "binarias", una etiqueta de "sello de aprobación" que muestre que un producto ha cumplido con un estándar de referencia.
Las amplias pautas generales tentativas que NIST ha desarrollado para los criterios de etiqueta de IoT incluyen:
Identificación del producto , que probablemente sea necesaria, pero puede omitirse para algunos componentes de productos de IoT si, entre otras cosas, el producto de IoT no genera, administra o utiliza las identidades de los componentes del producto.
Configuración del producto , que puede no ser necesaria si la configuración por parte del cliente de las características del producto de IoT no ofrece beneficios de ciberseguridad.
Protección de datos , que probablemente será necesaria en todos los componentes.
Controles de acceso a la interfaz, que siempre serán necesarios en todos los componentes.
Actualización de software , que probablemente será necesaria para la mayoría de los componentes de productos de IoT de alguna forma
Conciencia del estado de ciberseguridad, que será necesaria para todos los productos de IoT y debe cubrir todos los componentes del producto de IoT, ya que las vulnerabilidades y amenazas pueden surgir de cualquier componente.
Documentación, que siempre será necesaria, pero la información específica puede no ser significativa para todos los productos de IoT.
Recepción de información y consultas , que siempre será necesaria dada la naturaleza del mercado de consumo y la necesidad de un apoyo proactivo de la ciberseguridad por parte de los desarrolladores de productos de IoT.
Difusión de información, que siempre será necesaria dada la naturaleza del mercado de consumo y la necesidad de un apoyo proactivo de la ciberseguridad por parte de los desarrolladores de productos de IoT.
Educación y conciencia , que siempre serán necesarias, pero la información específica puede no ser significativa para todos los productos de IoT.
El NIST busca mapear estándares detallados sobre los criterios técnicos detrás de las etiquetas de IoT, pero "tenga en cuenta que todo este proceso está en construcción", dijo el especialista en tecnología de la información del NIST, Paul Watrobski, durante el taller del 9 de diciembre. "Esperamos un flujo de ida y vuelta a medida que desarrollamos criterios basados en estándares, y pueden modificarse a medida que se hace evidente que ciertos criterios son importantes".
La naturaleza voluntaria de las etiquetas permite a los proveedores inventar sus propios esquemas
Como ocurre con la iniciativa de etiquetado de software, el programa de etiquetado de IoT es voluntario y no está respaldado por requisitos gubernamentales. Como NIST prevé el resultado de su trabajo, depende de los proveedores de etiquetado externos adaptar los criterios de referencia del producto, definir los requisitos de evaluación de la conformidad y desarrollar la etiqueta asociada con la información.
"Como están las cosas ahora, si las cosas se dejan voluntarias, no hay repercusiones legales o financieras para el proveedor si hacen un mal trabajo", Dr. Andrei Costin, CEO y cofundador de la firma de seguridad de firmware de IoT Binare.io, le dice a CSO.
Entonces, cualquier etiqueta de terceros “se convierte en una etiqueta de marketing. Les da a los proveedores toda la libertad para inventar su propio esquema de etiquetado que pueden usar como marketing. Pero también causa confusión al consumidor porque si no es una comparación de manzanas con manzanas [con los proveedores de etiquetas de la competencia], no le dice nada al consumidor. Un consumidor aún tomará una decisión mal informada ”, dice Costin.
"Si todo es voluntario y pueden elegir su propio etiquetado, básicamente serán libres de poner todo lo que haga que su producto se vea más atractivo en términos de marketing [en su etiqueta], pero en esencia, no será más seguro", dice Costin. “Estas cosas definitivamente necesitan políticas o apoyo político, ya sea una ley o un reglamento de los organismos reguladores. De lo contrario, será solo otra pieza de estandarización, lo cual es realmente bueno pero no sirve para el propósito ".
Sin embargo, después de que el NIST cumpla con los plazos de febrero sobre las iniciativas de etiquetado, debe montar programas piloto para evaluar estos y otros problemas potenciales. Según la orden ejecutiva de Biden, el NIST debe enviar un informe antes del 12 de mayo de 2022 al asistente del presidente y asesor de seguridad nacional (APNSA) que contiene una revisión de los programas piloto. Como parte de esa revisión, el NIST está obligado a consultar con el sector privado y las agencias relevantes para evaluar la efectividad de los programas y determinar qué mejoras se pueden hacer en el futuro.
Fuente: https://www.csoonline.com/article/3644454/nist-gears-up-for-software-security-and-iot-labeling-pilot-programs.html
Ingresa en nuestro portal web y conoce los productos y servicios que ofrecemos para reducir los riesgos potenciales y ayudarles a definir e implementar un conjunto de acciones para proteger su organización, haz click aquí:
No hay comentarios.:
Publicar un comentario