Entrevistamos a Paloma Llaneza, integrante del Comité Operativo del Centro de Estudios en Movilidad IoT de ISMS Forum Spain.
- Recientemente se ha celebrado en Madrid la segunda edición del Foro de Movilidad e Internet de las Cosas que organiza ISMS Forum Spain, edición que se ha saldado en términos globales con un rotundo éxito. ¿A qué obedece este éxito y hasta qué punto considera usted que el tema y preocupación de la ciberseguridad en el ámbito de la IoT está en auge?
Que cualquier cosa que podamos imaginar se conecte a una red, transmita lo que siente, su entorno y actúe en atención a él y a la información que le facilite una plataforma, tiene que ser objeto de preocupación y análisis. Hablamos de cosas que nos ponemos, en las que nos transportamos o que ingerimos y, por ello, de una traslación a lo físico de los riesgos de la ciberseguridad: un coche o un avión que se hackea, una televisión que nos espía, un marcapasos que, si deja de funcionar o funciona de manera inadecuada, nos puede matar. El IoT no está de moda por casualidad.
- ¿Podría presentarnos brevemente en qué consiste el Centro de Estudios de Movilidad e IoT de ISMS Forum Spain y cuáles son los principales fines que persigue?
El CEM tiene como misión hacer de la ciberseguridad del IoT y de los elementos en movilidad una preocupación desde el diseño de los dispositivos. De ahí que analicemos sus problemas legales, desde la perspectiva de la privacidad y la responsabilidad por daños, sus vulnerabilidades y vectores de ataque, con la finalidad de proponer medidas que mitiguen los riesgos legales o buenas prácticas que reduzcan los riesgos técnicos. Todo ello con la vista puesta en el mercado, con la creación de una marca de garantía IoT para productos de consumo.
- En su opinión ¿cuáles serían las razones por las que los profesionales jurídicos, y en particular los abogados, deberían acudir a formarse y a participar en el CEM IoT?
Desde que la tecnología lo traspasa todo, ya no se puede ser experto en materias jurídicas desconociendo los aspectos tecnológicos de cualquier actividad humana. Si un abogado especialista en responsabilidad civil de tráfico cree que con sus actuales conocimientos va a poder seguir ejerciendo dentro de 5 años estará equivocado. Por eso animo a mis compañeros a que estén preparados para el tremendo reto profesional que tenemos por delante.
- La IoT está arrancando y se encuentra en fase expansiva, no hay nada más que ver la multitud y diversidad de aplicaciones que constantemente se van lanzando y que van perfilando las smartcities. Ante esta tendencia creciente e imparable ¿considera que ello provocará que en algún momento debamos plantearnos la necesidad de regular el derecho a un espacio desconectado, esto es, el derecho a la desconexión?
Sin duda, y deberemos asegurarnos de que sea un derecho universal que no dependa de la capacidad económica de quien lo disfrute. Hemos de evitar servicios o productos que solo se presten en condiciones invasivas para la intimidad. No se debería permitir que solo aquellos con capacidad para pagar servicios más caros se puedan permitir tener vida privada.
- ¿Cree que la implementación tecnológica de la formula [IoT+BigData+Ciberseguridad+IA] puede conducirnos dentro de la que se está dando en llamar “la realidad digital”, a una etapa de la economía de la decisión basada en la predictibilidad, la profility (perfilidad) y automatización de los comportamientos que ponga en riesgo la libertad personal, tanto en el plano intradigital como en el extradigital?
Creo que el término IoT se nos ha quedado pequeño y que, si lo definimos por sus atributos, sin duda habremos de considerar dentro de sus contornos la internet de todas las cosas, lo que implica cosas cada vez inteligentes y robots. No se puede trabajar con grandes datos ni se puede hacer machine learning o deep leaning sin grandes cantidades de información que se obtienen del uso intensivo de IoT y de otros servicios, lo que supone la mayor amenaza para la intimidad de las personas nunca vivida antes. Este riesgo alcanza todas las facetas de la vida, desde denegar el acceso a los estudios superiores pagados con dinero público a aquellos niños que el algoritmo haya decidido que no van a estar a la altura, o a vehículos que tomen decisiones de vida o muerte en atención al mejor escenario para las compañías aseguradoras. Así que sí, sí creo que pone en riesgo una panoplia de libertades individuales que tenemos que asegurar no se conculcan.
- La aplicación de la IoT en movilidad conduce inexorablemente a una trazabilidad comportamental y experiencial lo que confronta con la privacidad personal y nos conduce a la necesidad de la anonimización en los datos cosechados. ¿Habría que regular la invisibilidad digital?
Como he dicho antes, sin duda. Creo que hay que permitir a los ciudadanos navegar por debajo del radar, pero las medidas han de ser lo suficientemente contundentes como para que no se permitan servicios pagados con datos que coloquen a las personas con menos recursos en una situación de desprotección de facto.
Por ello, en mi opinión, la vía no es seguir pidiendo consentimientos que nadie lee y todo el mundo da a cambio de obtener un servicio, sino que es necesario aplicar medidas de privacidad desde el diseño, tecnologías PET (Privacy Enhancing Technologies) y técnicas de minimización en la recogida de datos, borrado seguro y cada poco tiempo y anonimización de dispositivos.
- Usted en el Foro señaló que “ha llegado el tiempo de la responsabilidad, el tiempo del accountability.” ¿Podría explicarnos brevemente a qué se refería?
Tengo la sensación de que llevamos hablando de ciberseguridad en diversos ámbitos desde hace mucho tiempo sin excesivo éxito. Es solo cuando la falta de medidas de seguridad lleva aparejado la responsabilidad por daños, y cuando se impone regulatoriamente, cuando la industria ve un incentivo para invertir en ciberseguridad. En este sentido, estamos acercándonos a un estado de madurez en el que será inevitable que empiecen a llegar las reclamaciones por daños. Por tanto, hablemos de invertir en ciberseguridad para evitar los enormes costes de las reclamaciones que llegarán.
- Para terminar, nos gustaría saber qué ventajas reportará próximamente para empresas, corporaciones y profesionales, que dispongan de la Marca de Garantía en Ciberseguridad IoT, desarrollada por el CEM IoT de ISMS Forum, y cómo conseguirla.
Por lo pronto, la adhesión a unas buenas prácticas generalmente aceptadas que protegen frente a reclamaciones de daños, y en segundo término, un medio de diferenciar el producto o servicio frente al consumidor, las empresas y las instituciones. La marca de garantía deja claro quien de entre las empresas que invierten en ciberseguridad en entornos IoT y los que no.
El sistema funciona como una autoevaluación auditable que, esperamos, evolucione hasta ser un verdadero entorno de certificación.