California implementa la primera legislacion sobre dispositivos conectados

El gobernador de California Jerry Brown firmó un proyecto de ley que prohíbe el uso de contraseñas predeterminadas de administrador en los dispositivos conectados a internet

California ha estado tomando medidas legislativas agresivas en 2018 para abordar las preocupaciones de los residentes sobre la privacidad y la seguridad de los datos. La Ley de privacidad del consumidor de California (CCPA) se aprobó en junio y otorga a los residentes ciertos derechos sobre cómo se pueden almacenar, acceder, vender y eliminar sus datos personales. También proporciona a los residentes una "opción de exclusión" para que sus datos se recopilen sin penalizaciones de las empresas.

La rápida aprobación de la CCPA fue en respuesta a una iniciativa de votación más estricta que fue programada para ser votada en noviembre de este año. Las leyes aprobadas por iniciativas de votación no pueden ser modificadas por la legislatura estatal, por lo que la CCPA se administró rápidamente a través del proceso legislativo con mecanismos incorporados que permiten que la ley se ajuste en el futuro. La ley ha sido comparada con el reciente Reglamento General de Protección de Datos (GDPR) de la Unión Europea y está programada para entrar en vigencia el 1 de enero de 2020.

Para apuntalar aún más el marco legal de seguridad y privacidad de datos del Estado, la legislatura dirigió su atención a los dispositivos conectados, más conocidos como Internet de las Cosas (IoT). La legislación sobre Privacidad de la Información: Dispositivos Conectados ( SB-327 y AB-1906 ) se convirtió en ley el 28 de septiembre y es la primera ley en la nación en abordar la seguridad de IoT.

La ley exige que los dispositivos que son capaces de conectarse a Internet directa o indirectamente a través del Protocolo de Internet (IP) o las direcciones Bluetooth tengan controles de seguridad razonables. La ley establece que los dispositivos deben tener "una característica o características de seguridad razonables que sean apropiadas para la naturaleza y función del dispositivo, apropiadas para la información que puede recopilar, contener o transmitir, y que estén diseñadas para proteger el dispositivo y cualquier información contenida en el mismo. de acceso no autorizado, destrucción, uso, modificación o divulgación.

La ley también exige que cada dispositivo debe tener una contraseña preprogramada única. Las contraseñas débiles o comunes, como "admin" o "password" han sido una preocupación específica en los dispositivos conectados durante años. A menudo, los usuarios no podían actualizar estas contraseñas ya que los fabricantes las codificaban en el firmware. Esto abrió aún más la superficie de ataque en estos dispositivos para los actores de amenaza.

La ley estipula además que el fabricante debe proporcionar una característica de seguridad "que requiera que un usuario genere un nuevo medio de autenticación antes de que se otorgue el acceso al dispositivo por primera vez". Este control agrega otra capa de seguridad para estos dispositivos.

La ley está programada para entrar en vigor el 1 de enero de 2020.

Los dispositivos conectados con una seguridad inadecuada han estado detrás de algunas de las redes de bots más grandes, como Mirai o Reaper, que contenían millones de dispositivos IoT comprometidos. Estas botnets se han utilizado para reducir Reddit, Twitter, The New York Times y Spotify en 2016. Durante años, el motor de búsqueda Shodan ha resaltado el inminente problema de los dispositivos conectados inseguros. Con cámaras, controles industriales y otra tecnología de consumo de IoT accesible fácilmente a través de su interfaz.

La ley no deja de tener sus detractores que dicen que la legislación no va lo suficientemente lejos como para abordar la multitud de preocupaciones de seguridad de IoT. Sin embargo, como innumerables dispositivos nuevos se conectan a Internet cada día, es un comienzo.

Fecha actualización el 2021-10-14. Fecha publicación el 2018-10-14. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: threatpost
california