Una gran parte del debate sobre la ciberseguridad en los últimos años se ha centrado en la necesidad de una mayor transparencia para ayudar a abordar lo que muchos consideran una falla del mercado de la ciberseguridad: la falta de un sistema para asegurar a los consumidores que los productos son seguros. En el frente de seguridad de la cadena de suministro de software empresarial, hemos visto esfuerzos como listas de materiales del software (SBOM) y plataformas de autocertificación para proveedores que siguen un ciclo de vida de desarrollo de software seguro, como el Marco de desarrollo de software seguro (SSDF) del Instituto Nacional de Estándares y Tecnología (NIST).
Sin embargo, generalmente no hay mucho que ayude a los consumidores que utilizan la seguridad como criterio de cómo gastan su dinero a tomar decisiones de compra informadas. Esto está cambiando en el frente del Internet de las cosas (IoT), con la introducción en 2023 del programa Cyber Trust Mark de EE. UU. Anunciado por la Casa Blanca en julio de 2023. El anuncio enmarcó el programa como una medida voluntaria que deben adoptar los fabricantes de dispositivos inteligentes e IoT para ayudar a los consumidores a elegir productos que sean más seguros y menos propensos a ataques de ciberseguridad. El programa siguió cobrando impulso; fue Anunciado En el Consumer Electronics Show de 2024, la UE y EE. UU. acordaron seguir una “hoja de ruta conjunta” para las etiquetas de ciberseguridad. «Queremos que las empresas sepan que, cuando prueben su producto una vez para cumplir con los estándares de ciberseguridad, podrán venderlo en cualquier lugar», dijo Anne Neuberger, asesora adjunta de seguridad nacional de la Casa Blanca para tecnologías cibernéticas y emergentes.
Esta línea de pensamiento probablemente sea un soplo de aire fresco de una industria que a menudo expresa su preocupación por el caótico panorama regulatorio y de políticas de ciberseguridad, lo que a menudo conduce a requisitos duplicados, costosos y engorrosos para los proveedores de tecnología.
Un programa “Energy Star” para la ciberseguridad
Si alguna vez ha comprado productos como electrodomésticos y productos electrónicos, es posible que haya notado las calificaciones «Energy Star», que es un programa dirigido por la Agencia de Protección Ambiental y el Departamento de Energía de EE. UU. para ayudar a los consumidores a comprender la eficiencia energética de los productos. A pesar de que el software conectado a Internet está omnipresente en cada vez más bienes de consumo con el tiempo, actualmente no existe ningún esquema de etiquetado universalmente aceptado para la ciberseguridad que ayude a los consumidores a comprender la seguridad de productos, como IoT o dispositivos inteligentes.
En la sociedad moderna no sólo las empresas y los negocios funcionan con software, sino también los hogares y la vida personal. Los electrodomésticos, la electrónica, los dispositivos de comunicación inalámbrica y más funcionan con software. Esto expone cada vez más a los consumidores a preocupaciones de ciberseguridad, privacidad y seguridad. Como parte de las metas y objetivos generales de la Orden Ejecutiva de Ciberseguridad (EO) de 2021, se ordenó al NIST que iniciara programas de etiquetado para dispositivos como productos de IoT de consumo. NIST ha publicado información sobre cómo sería el programa de etiquetado, como su «Criterios recomendados para el etiquetado de ciberseguridad de productos de IoT de consumo”.
Definir qué es y qué no es un dispositivo IoT
Simplemente determinar el alcance de lo que se considera un producto de IoT puede ser un desafío, ya que actualmente hay millones de dispositivos que integran software, conectividad y funciones digitales. Según la publicación del NIST, un producto de IoT se define como «equipo informático con al menos un transductor y al menos una interfaz de red».