Bruce Schneier: Es tiempo para la regulación de la internet de las cosas

El experto en seguridad Bruce Schneier pidió la creación de una nueva agencia gubernamental que se centre en la regulación de la internet de las cosas, argumentando que "los riesgos son demasiado grandes y las apuestas son demasiado altas" para no hacer nada.

Durante una plática de amplia gama sobre la regulación y la seguridad de la internet de las cosas en la Conferencia RSA 2017, Schneier, CTO de IBM Resilient, argumentó que la intervención del gobierno es necesaria para hacer frente a amenazas como la botnet Mirai. Describió la seguridad de IoT como un problema único, ya que los fabricantes han producido muchos dispositivos que son intrínsecamente inseguros y no pueden ser reparados eficazmente, y el malware de IoT tiene poco efecto en los dispositivos reales. Dado que los dispositivos comprometidos se utilizan para atacar a terceros, dijo Schneier, hay poco incentivo por parte de los usuarios y fabricantes de dispositivos para actuar.

"El mercado no va a arreglar esto porque ni el comprador ni el vendedor se preocupa", dijo. "El mercado tiende a no solucionar problemas de seguridad o protección sin la intervención del gobierno".

Eso deja solo una opción real, dijo Schneier. "Mi propuesta en los Estados Unidos es, creo que necesitamos una nueva agencia reguladora", dijo.

Schneier argumentó que hay precedencia para crear una agencia de este tipo para abordar las nuevas tecnologías, desde trenes y automóviles hasta la radio y lo nuclear. Y dijo que esas agencias tienden a ser creadas por dos razones.

"Las nuevas tecnologías necesitan nuevos conocimientos", dijo Schneier. "Y las nuevas tecnologías necesitan nuevos controles. Y esto es algo que los mercados no pueden resolver. Los mercados son, por definición, de corto plazo y motivados por las ganancias. Eso es lo que se supone que deben hacer. Y no resuelven los problemas de acción colectiva".

El gobierno, dijo, es "la entidad que se utiliza para resolver problemas como este". Pero Schneier también admitió que un enfoque regulador de las amenazas de IoT trae muchos problemas, desde una falta general de experiencia técnica en el gobierno, hasta problemas históricos con la captura regulatoria.

“Entonces, el diablo está en los detalles aquí, y yo no los tengo”, dijo Schneier. "Pero siento que esta es la peor idea posible, a excepción de todas las demás, y no estoy seguro de que la alternativa [de no hacer nada] sea todavía viable".

Los gobiernos van a involucrarse en abordar las amenazas de IoT, independientemente de lo que haga el sector privado, dijo Schneier. Predijo que los tribunales serían la primera rama del gobierno en establecer los precedentes a través de actos ilícitos, seguidos por regulaciones sostenidas de agencias gubernamentales y luego, en última instancia, propuestas legislativas del Congreso, las cuales, según él, "jugarán a ponerse al día" con el problema. Pero Schneier advirtió que el Congreso actuará si el problema empeora.

"Nada motiva al gobierno de Estados Unidos como el miedo", dijo. "Todo el fuerte sesgo que tenemos para dejar el mercado solo va a desaparecer cuando la gente comience a morir".

Schneier dijo que esa posibilidad puede parecer extrema, pero argumentó que el mundo está plagado de dispositivos IoT, desde automóviles hasta sistemas de control industrial, que pueden ser usados ​​por actores amenazadores para causar daño físico. Y dijo que, si la industria de la tecnología no toma medidas y se involucra con cualquier organismo regulador de la internet de las cosas, entonces obtendremos una agencia como el Departamento de Seguridad Nacional, que dijo que era "mal concebido, torpe y no trabaja muy bien".

"Nuestra elección aquí no es la participación del gobierno o ninguna participación del gobierno", dijo Schneier. "Nuestra elección es una participación más inteligente del gobierno o una participación más estúpida del gobierno. Y tenemos que empezar a pensar en esto ahora; de lo contrario, se nos impondrá".

Para ello, Schneier animó al público a pensar en la seguridad y las amenazas de IoT, y preguntar si un dispositivo realmente necesita estar conectado a internet. "También tenemos que empezar a pensar en desconectar los sistemas", dijo. "Si no podemos asegurar sistemas complejos, entonces no debemos construir un mundo donde todo esté conectado y todo esté computarizado".

Schneier terminó la charla instando a la audiencia a tomar un papel activo en la política del gobierno antes que las decisiones se tomen sin la aportación de los profesionales y expertos de tecnología.

"Los tecnólogos tenemos que involucrarnos en la política", dijo Schneier. "Le guste o no, la participación del gobierno está llegando. Cuando las computadoras comiencen a matar a la gente, va a haber consecuencias".