Cumpla los términos de la Ley de Mejora de la Ciberseguridad del IoT con KernelCare

La semana pasada, el Congreso de Estados Unidos firmó oficialmente una ley bipartidista, Ley de mejora de la ciberseguridad de la Internet de los objetos de 2020o la Ley de Mejora de la Ciberseguridad IoT de 2020. Patrocinada por los Reps. Will Hurd (R-Tex) y Robin Kelly (D-Ill), la ley se hizo para establecer que el gobierno compre sólo dispositivos seguros y cierre las vulnerabilidades existentes. La legislación afecta sobre todo a las aplicaciones del gobierno federal de EE.UU., a los socios proveedores, a los fabricantes de equipos y a las partes interesadas que tratan con el gobierno federal. Sin embargo, esta ley puede tener un efecto dominó que se extienda más allá de las salvaguardias de seguridad para las entidades gubernamentales, ya que es más que probable que la industria privada y los consumidores también se beneficien de las nuevas normas sobre dispositivos conectados.

Contenido:

1. Amenazas a la ciberseguridad y violación de datos públicos
2. Nuevas exigencias legales en materia de parches IoT
3. ¿Qué significa esto para el Gobierno?
4. ¿Cómo puede ayudar KernelCare for IoT a la seguridad del IoT empresarial?
5. Los parches a tiempo son la clave del cumplimiento de la normativa
6. Conclusión

Amenazas a la ciberseguridad y violación de datos públicos

Según un reciente informe de Accenture, los atacantes no sólo pretenden robar datos, sino también destruirlos. La destrucción de datos mediante programas maliciosos como el ransomware podría tener un mayor impacto en la fiabilidad, la productividad y la integridad de los datos. La encuesta reveló que los ataques han aumentado un 72% en los últimos 5 años y que el coste de una violación ha pasado de 11,7 a 13 millones de dólares. La investigación de Ponemon sobre el coste de una filtración de datos muestra que se tarda una media de 280 días en identificar y contener una filtración, lo que significa que los atacantes tienen acceso a los datos durante casi un año antes de que la organización responda y solucione el problema.

ABI Research predijo que las conexiones IoT superarían los 23.000 millones en todos los principales mercados IoT en 2026 y se enfrentarían a ciberamenazas incesantes y en continua evolución. Estas amenazas obligan a los implementadores y proveedores de IoT a adoptar nuevas opciones de seguridad digital e impulsar las inversiones en servicios de autenticación segura de dispositivos, y se espera que ese mercado alcance los 8.400 millones de dólares de ingresos en 2026. Mientras tanto, el "Informe de Inteligencia de Amenazas 2020" de Nokia encontró que IoT era responsable del 32,72% de todas las infecciones observadas en las redes móviles, frente al 16,17% en 2019.

Sólo en los últimos 10 años, las 10 principales filtraciones de datos gubernamentales han puesto en peligro los datos personales de 348 millones de estadounidenses, entre los que se incluyen números de la Seguridad Social, fechas de nacimiento, números de carné de conducir, números de tarjetas de crédito y débito, direcciones, números de teléfono, información sobre el censo electoral y la afiliación a partidos políticos, así como historiales de pacientes y recetas médicas. Si bien algunas de estas filtraciones de datos se debieron a errores humanos, otras se debieron a que los datos estaban almacenados en un servidor público, a un mal funcionamiento de los discos duros, a la falta de cifrado de los datos y a la filtración de un sitio web gubernamental sobre sanidad.

Estos datos son una prueba más de que la seguridad de los dispositivos IoT es cada vez más importante para garantizar a las administraciones públicas, las empresas y los usuarios finales que interactúan con los dispositivos IoT que su información personal y corporativa está totalmente protegida. En todo el mundo, los reguladores exigen y verifican cada vez más que los dispositivos sean lo más seguros posible antes y después del lanzamiento del producto. Por ejemplo, en Estados Unidos, la Administración de Alimentos y Medicamentos (FDA) ha publicado directrices que describen los requisitos para los dispositivos médicos que obligan a muchas facetas del desarrollo y mantenimiento de dispositivos.

Nuevas exigencias legales en materia de parches IoT

El gobierno federal firmó oficialmente la Ley de Mejora de la Ciberseguridad IoT el 4 de diciembre de 2020. El objetivo de esta ley es garantizar que el gobierno de Estados Unidos solo adquiera dispositivos seguros y acabar con las vulnerabilidades existentes. La ley entró en vigor con la intención de hacer más segura la infraestructura de IoT del gobierno, pero podría afectar a las industrias privadas y a los consumidores con normas de seguridad de dispositivos más estrictas.

La Ley de Mejora de la Ciberseguridad no establece las normas de seguridad, pero encarga al Instituto Nacional de Normas y Tecnología (NIST) que se ocupe de ello. Aunque las normas de seguridad aún no se han creado ni publicado, lo que se determine tendrá un profundo impacto en el sector privado y los consumidores.

El NIST dispone de 90 días a partir de la firma de la ley para desarrollar normas y directrices sobre la seguridad de los dispositivos IoT controlados o propiedad de una agencia federal, y debe ser coherente con sus otros esfuerzos para los dispositivos IoT, en particular con el desarrollo, y la gestión de identidad, parches y configuración.

Tras las normas iniciales, el NIST dispone de 180 días después de la firma de la ley para crear directrices sobre notificación, publicación, coordinación y recepción de cualquier información relativa a vulnerabilidades de seguridad relacionadas con organismos federales y que se aplicarán a cualquier contratista o proveedor del gobierno federal.

La Oficina de Gestión y Presupuesto (OMB) se ha encargado de desarrollar y supervisar la aplicación de las políticas, principios, normas o directrices necesarias para hacer frente a las vulnerabilidades de seguridad de los sistemas de información, según lo dispuesto por el NIST.

El proyecto de ley también exige al NIST que examine y revise las normas y directrices cada cinco años, según proceda, y la OMB debe actualizar sus políticas o principios para que sean coherentes con las revisiones del NIST.

Esta nueva ley establece que "Se prohíbe a una agencia adquirir, obtener o utilizar un dispositivo IoT si la agencia determina durante la revisión de un contrato que el uso de dicho dispositivo impide el cumplimiento de las normas y directrices, sujeto a una exención cuando sea necesario para la seguridad nacional, con fines de investigación, o cuando dicho dispositivo se asegure utilizando métodos alternativos eficaces."

El representante Will Hurd (R-Tex), que respaldó la Ley de Mejora de la Ciberseguridad de Internet de las Cosas de 2020, dijo en un comunicado: "Si vas a introducir un nuevo widget en la infraestructura federal con vulnerabilidades conocidas, esas vulnerabilidades deben abordarse."

¿Qué significa esto para el Gobierno?

El gobierno de Estados Unidos se ha mantenido al tanto de las vulnerabilidades de seguridad que existen en relación con los sistemas, los socios proveedores, los fabricantes de equipos y las partes interesadas con las que trabajan. Además de la Ley de Ciberseguridad del Internet de las Cosas de 2020, el gobierno ha publicado otras leyes que ayudan a combatir posibles intentos de pirateo.

Una de las formas en que han trabajado dentro de este mundo tecnológico para salvaguardar sus sistemas e información, es exigiendo a sus proveedores que cumplan con FedRAMP. FedRAMP es el Programa Federal de Gestión de Riesgos y Autorizaciones. Este programa gubernamental "proporciona un enfoque estandarizado para la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube". FedRAMP permite a las agencias utilizar tecnologías modernas en la nube, haciendo hincapié en la seguridad y la protección de la información federal, y ayuda a acelerar la adopción de soluciones seguras en la nube."

La administración en 2018 publicó su Estrategia Cibernética Nacional y declaró: "Las nuevas amenazas y una nueva era de competencia estratégica exigen una nueva estrategia cibernética que responda a las nuevas realidades, reduzca las vulnerabilidades, disuada a los adversarios y salvaguarde las oportunidades para que el pueblo estadounidense prospere. Asegurar el ciberespacio es fundamental para nuestra estrategia y requiere avances técnicos y eficiencia administrativa en todo el Gobierno Federal y el sector privado. La Administración también reconoce que un enfoque puramente tecnocrático del ciberespacio es insuficiente para abordar la naturaleza de los nuevos problemas a los que nos enfrentamos. Estados Unidos también debe tener opciones políticas para imponer costes si espera disuadir a los ciberactores maliciosos y evitar una mayor escalada". La Estrategia Cibernética Nacional del Gobierno garantiza que así sea:

• Seguridad de las redes y la información federales
• Garantizar la seguridad de las infraestructuras críticas
• Lucha contra la ciberdelincuencia y mejora de la notificación de incidentes
• Fomentar una economía digital dinámica y resistente
• Fomentar y proteger el ingenio de Estados Unidos
• Desarrollar una mano de obra superior en ciberseguridad
• Mejorar la ciberestabilidad mediante normas de comportamiento estatal responsable
• Atribución y disuasión de comportamientos inaceptables en el ciberespacio
• Fomento de una Internet abierta, interoperable, fiable y segura
• Creación de cibercapacidad internacional

¿Cómo puede ayudar KernelCare for IoT a la seguridad del IoT empresarial?

Muchos dispositivos que impulsan los sistemas de automatización industrial deben estar en servicio 24x7x365, y las organizaciones siempre deben actualizar un dispositivo IoT para mejorar la ciberseguridad. Pero se convierte en una tarea difícil cuando se trata de millones de dispositivos. Los dispositivos IoT que funcionan con el núcleo Linux necesitan que su seguridad sea estanca. Todos ellos deben poder actualizarse. Y lo que es igual de importante, las organizaciones deben ser capaces de parchearlos lo más rápido posible.

El reinicio es el método que utilizan la mayoría de las empresas para aplicar las actualizaciones de seguridad. Pero como reiniciar es una molestia, los parches del kernel siempre se retrasan, durante semanas o incluso meses. Si el gobierno o la empresa están reiniciando el dispositivo para cerrar la vulnerabilidad en el kernel Linux del dispositivo IoT, entonces no son tan seguros como podrían ser.

KernelCare para IoT proporciona parches en tiempo real para los núcleos de Linux en dispositivos IoT sin interrumpir los procesos y operaciones en curso.

KernelCare IoT está diseñado para dispositivos de bajo consumo, ligeros y basados en chipsets de brazo, pero también puede funcionar en dispositivos basados en Intel, como pasarelas de borde. Los nuevos parches son desarrollados, compilados y probados por el equipo de KernelCare y suelen publicarse un par de días después de que se hagan públicas las nuevas vulnerabilidades, manteniendo así la seguridad de sus dispositivos. Un minúsculo módulo del kernel del dispositivo IoT carga el nuevo código seguro en una partición, congela todos los procesos mientras el nuevo código se calza en la memoria y, a continuación, descongela todos los procesos y el dispositivo sigue funcionando. Todo esto lleva nanosegundos, por lo que no se produce ninguna interrupción del servicio ni condición de conmutación por error. Los parches pueden enviarse desde la infraestructura de la red IoT como sea necesario: a través de una red privada, de forma inalámbrica (OTA) o a través de la Internet pública desde un servidor en la nube si los dispositivos tienen acceso.

También es importante tener en cuenta que cada nuevo parche que creamos es un binario atómico. Esto significa que cada nuevo parche mitiga todas las vulnerabilidades anteriores de la versión del kernel para la que se creó. Este método es mucho más seguro y estable que apilar nuevos parches sobre los antiguos, y ha permitido a muchos clientes de KernelCare utilizar dispositivos durante más de 6 años sin reiniciarlos. Más de 2.200 días consecutivos de funcionamiento, todas las vulnerabilidades parcheadas durante ese tiempo y ningún tiempo de inactividad. Hoy en día esos clientes siguen funcionando de esta manera y lo seguirán haciendo durante años. Esto es especialmente importante ya que muchas especificaciones de sistemas IoT requieren un horizonte de servicio de más de 20 años.

Nuestros ingenieros de KernelCare IoT trabajarán con cada cliente para configurar las mejores formas de recibir, almacenar y entregar parches en función del entorno individual del cliente. Lo mejor de todo es que KernelCare IoT también se puede implementar en dispositivos operativos existentes sin paradas ni reinicios. Por tanto, la adaptación de redes existentes y la actualización de dispositivos que pueden llevar años funcionando sin parches puede hacerse de forma muy rápida y sencilla.

El parcheo oportuno es la clave para el cumplimiento de la Ley de Mejora de la Ciberseguridad de Internet de las Cosas de 2020 y la seguridad de gobiernos y empresas

Cada vez más empresas utilizan plataformas basadas en la nube para el almacenamiento, la conexión en red y la capacidad de procesamiento, pero esto puede dejarlas expuestas a vulnerabilidades si sus plataformas no se mantienen. Los dispositivos y la infraestructura IoT son especialmente vulnerables porque existen fuera de la red principal y no están diseñados teniendo en cuenta la seguridad, lo que facilita a los piratas informáticos el acceso a información confidencial. Estas vulnerabilidades de IoT pueden exponer a:

• Sistemas operativos: cada puerto abierto del sistema operativo y cada protocolo disponible constituyen una superficie de ataque. El código de las unidades de microcontroladores (MCU) del IoT se ejecuta "desnudo", sin ningún sistema operativo que lo soporte. Pueden tener muchos puertos abiertos por defecto.
• Aplicaciones: un sistema IoT en un chip (SOC) puede estar ejecutando varios programas de aplicaciones, cada uno con el potencial de vulnerabilidades explotables.
• Dependencias: las aplicaciones y los sistemas operativos de los dispositivos IoT pueden tener dependencias y bibliotecas externas.
• Comunicación-El IoT es vulnerable a los ataques basados en las comunicaciones, como el "man-in-the-middle" y los "replay attacks".
• Alojamiento en la nube: la infraestructura en la nube que soporta el IoT, con sus servidores conectados, también es una superficie de ataque.
• Acceso de usuarios: el acceso a los dispositivos es un punto de vulnerabilidad importante, especialmente si los atacantes pueden hacerse pasar por usuarios sin tener que pasar por la red corporativa.

Puede combatir estas vulnerabilidades conociendo y aplicando las mejores prácticas para el cumplimiento de IoT, incluida la aplicación de parches en tiempo real. La aplicación de parches en tiempo real le permite aplicar parches al núcleo de Linux, lo que mejora la seguridad y el cumplimiento sin tiempo de inactividad ni necesidad de reiniciar el sistema.

Conclusión

Aunque los dispositivos IoT son todavía bastante nuevos, pueden presentar un riesgo significativo si no se actualizan o parchean con regularidad. Mantener los dispositivos IoT siempre conformes con los requisitos de la ley de ciberseguridad IoT, actualizados y protegidos frente a posibles violaciones de datos es tarea de KernelCare for IoT. Póngase en contacto con nosotros hoy mismo, o pruebe KernelCare for IoT gratis hoy mismo, para ver lo que podemos hacer por usted.

Obtenga una prueba GRATUITA de 7 días con soporte de KernelCare