Las nuevas y viejas regulaciones de IoT crean un laberinto de reglas y mejores prácticas que las organizaciones deben navegar para ser más transparentes sobre sus prácticas de seguridad de IoT.
IoT y las muchas tecnologías asociadas con ello desafían el pensamiento existente y las estructuras legales. Las organizaciones deben comprender y cumplir con las regulaciones que impulsan una mayor transparencia en las políticas de seguridad y datos de IoT.
La era de la vigilancia tecnológica ubicua ha llegado (países como China califican el comportamiento social de sus ciudadanos a través del monitoreo tecnológico) y los dispositivos IoT son parte de la ecuación. Un mosaico de legislación antigua y nueva para las regulaciones de seguridad de IoT empodera a las organizaciones y restringe la recopilación de datos y su uso no autorizado.
El informe de Gartner «Principales tendencias y tecnologías estratégicas de IoT hasta 2023» señaló que probablemente habrá amplios efectos sociales, legales y éticos asociados con las regulaciones de seguridad de IoT. Algunos de esos efectos ya están llegando a la puerta de TI.
Las organizaciones deben priorizar la seguridad de los datos
En IoT, las organizaciones luchan con dos áreas relacionadas con la regulación: La seguridad de los dispositivos y la privacidad y propiedad de los datos recopilados por esos dispositivos, dijo Ed Featherston, tecnólogo de Hewlett Packard Enterprise. Los dispositivos IoT deben equilibrar ser amigables para el consumidor, pequeños, fáciles de usar y baratos, pero también seguros. Featherston dijo que muchos desarrolladores de dispositivos hacen compensaciones y no se centran en el lado de la seguridad, lo que ha llevado a Estados Unidos y al Reino Unido a tomar medidas legislativas.
Europa ha liderado las regulaciones de seguridad de IoT con GDPR. Estados Unidos se queda muy rezagado, con algunos de los estados individuales tomando el manto. Por ejemplo, California ha elaborado una regulación similar a GDPR llamada Ley de Privacidad del Consumidor de California.
Por ejemplo, si alguien tiene un marcapasos, podría conectarse a través de Bluetooth a su teléfono, que se conecta a internet. Envía constantemente actualizaciones de salud e información sobre el individuo, incluida la actividad física y la frecuencia cardíaca al proveedor y al médico. Esos datos conducen a una mejor atención para las personas, porque el médico es más consciente de sus síntomas o posibles problemas. Los datos del paciente también tienen valor para el análisis del proveedor y para la venta.
«Quién posee esos datos es algo con lo que los gobiernos están luchando», dijo Featherston.
¿Cómo afectan las regulaciones de seguridad de IoT existentes a los consumidores?
El informe de Gartner también señala complejidades como los dilemas éticos emergentes. Por ejemplo, cuando los dispositivos IoT detectan un accidente inminente, como una colisión de un vehículo, ¿cuál es el papel de los dispositivos en la determinación del resultado? ¿Quién vive y quién muere?
Karen Gullo, analista de Electronic Frontier Foundation (EFF), dijo que los desafíos con la privacidad de los datos y la regulación de seguridad de IoT en los EE. UU. comienzan con una ley diseñada originalmente para proteger a la industria del entretenimiento. La Digital Millennium Copyright Act (DMCA) de la década de 1990 se alinea con las regulaciones de la Organización Mundial de la Propiedad Intelectual e impone sanciones penales a casi cualquier cosa que eluda la protección de los derechos de autor en una variedad de medios electrónicos. En la práctica y mediante una mayor extensión, ha impedido que los consumidores, otras empresas e incluso los investigadores de seguridad echen un vistazo a casi cualquier producto de hardware o software. Esto significa que solo el fabricante controla el funcionamiento interno de estos dispositivos.
«Hemos luchado durante años contra los derechos de autor y el abuso de la DMCA y el derecho de las personas a reparar sus dispositivos, vehículos y electrodomésticos», dijo Gullo. «Tenemos una demanda pendiente contra el gobierno que desafía la constitucionalidad de las disposiciones anticircunvención y antitráfico de la Ley de Derechos de Autor del Milenio Digital por motivos de la Primera Enmienda», agregó.
Gullo dijo que EFF también ha presentado peticiones ante la Biblioteca del Congreso en el proceso trienal de elaboración de normas que busca exenciones de la Sección 1201 para proteger y expandir los derechos de los usuarios a manipular y reparar sus productos digitales, controlados por software e IoT.
Si estos temas deberían abordarse con más legislación y elaboración de normas está sujeto a debate. Según Joshua New, analista senior de políticas del Centro para la Innovación de Datos, un instituto de investigación sin fines de lucro y no partidista, no existen vacíos en la privacidad de IoT que las leyes existentes no cubran.
Las nuevas regulaciones de seguridad de IoT podrían mejorar la seguridad
New señaló que un área donde las nuevas regulaciones de seguridad de IoT podrían ser valiosas tiene que ver con la ciberseguridad.
«El Congreso y otros organismos nacionales de formulación de políticas deberían exigir a las compañías que publiquen políticas de seguridad como publican políticas de privacidad», dijo New. La mayoría de las organizaciones publican políticas de privacidad para sus productos y servicios, y aunque las personas generalmente no las leen, crean una valiosa transparencia en torno a las prácticas de privacidad de una organización que dan a los reguladores, competidores y grupos de defensa del consumidor la capacidad de responsabilizar a las organizaciones y proporcionar una supervisión útil.
«Requerir que las compañías hagan lo mismo para la ciberseguridad generaría importantes beneficios del consumidor para IoT», dijo New. Por un lado, aunque los consumidores pueden no leer estas políticas, las organizaciones como Consumer Reports proporcionarán evaluaciones de la seguridad de diferentes dispositivos de IoT y lo harán. Él cree que esto creará fuertes presiones competitivas para que las organizaciones de IoT adopten buenas prácticas de seguridad. En segundo lugar, las organizaciones pueden gestionar el riesgo como mejor les parezca, en lugar de adherirse a características de seguridad específicas impuestas por el gobierno, y los reguladores aún pueden tomar medidas rápidas de aplicación si las organizaciones no cumplen con sus políticas de seguridad.
La idea de que necesitamos regulaciones más amplias para IoT es contraproducente, dijo.
«En la medida en que se necesiten nuevas reglas, lo que podría ser el caso para ciertos contextos o en ciertas jurisdicciones, deben diseñarse para atacar de manera restringida y prevenir un daño identificable específico», dijo New. Por lo tanto, él cree que la industria debería abogar por tales regulaciones de seguridad de IoT específicas, ya que pueden hacer que IoT sea más valioso y conducir a una mayor adopción. Al mismo tiempo, las organizaciones deben rechazar las regulaciones excesivas y onerosas.
Pero Darren Sadana, un veterano de 25 años de la industria de las comunicaciones celulares y CEO de Choice Business Connections, que proporciona servicios de IoT, máquina a máquina, datos y voz para IoT, ve la necesidad de estructuras legales más sólidas. Actualmente, no hay leyes que regulen la conectividad y los dispositivos de IoT, dijo. Muchos dispositivos IoT tienen poca o ninguna seguridad incorporada, lo que puede comprometer al consumidor y a los datos.
«La posición incipiente en el ciclo de vida de desarrollo de IoT significa que hay un conjunto de leyes y políticas destinadas a otros dispositivos o tipos de servicios que no serán tan fácilmente aplicables a este nuevo paradigma de recopilación de datos», dijo Sadana.
Como una industria bastante nueva y en rápida evolución, IoT tiene el potencial para aplicaciones que cambian el mundo, dijo Sadana. Los derechos de privacidad serán el eje de la adopción exitosa de IoT.
«La información del consumidor y la empresa transmitida a través de dispositivos IoT debe estar protegida por directrices y leyes nacionales», dijo.
¿Cómo sería una regulación de seguridad de IoT? En primer lugar, según Sadana, debería existir una política federal clara que evite que los estados «agreguen obstáculos legales adicionales que solo sofocarán la innovación y la competencia». Las pequeñas organizaciones de IoT no pueden permitirse navegar por diferentes leyes estatales y municipales, dijo. Además, cualquier recopilación de datos de ciudadanos privados debe requerir el anonimato para cualquier uso, «de lo contrario, las ramificaciones legales y públicas negativas superarán con creces las ganancias obtenidas por IoT», agregó.
Sadana explicó que la privacidad de los datos se ha convertido en el mayor problema en los últimos años, ya que las grandes corporaciones han «extraído un valor increíble de nuestras expresiones digitales personales». La próxima ola de miles de millones de dispositivos IoT debe adherirse a la naturaleza de aceptación y exclusión de cualquier prestación de servicios, «para que el timbre y el termostato de su hogar inteligente permanezcan privados y protegidos», dijo.
