Noticias
<< Volver al listado de noticias
Los Expertos Opinan: "Seguridad y responsabilidad en la IoT" - Paloma Llaneza
Publicado el 04-06-2018 Notícia sobre: ArtículosSeguridad y responsabilidad en la IoT
|
|||||||
A finales de marzo de 2018, una mujer que cruzaba empujando su bicicleta a oscuras una calle de Tempe, Arizona (EEUU), fue arrollada por un coche autónomo de Uber en pruebas. Tras el volante, tal como se aprecia en el vídeo publicado por la policía local, se observa que el conductor-controlador de seguridad no prestaba atención. Aunque era de noche, los sensores Lidar del vehículo deberían haber detectado a la ciclista, pero tampoco lo hicieron. Si hubiera sido un coche no autónomo y no conectado habríamos entendido que la responsabilidad recaía en mayor o menor medida en el conductor. Sin embargo, en el caso de Tempe, la cuestión de la atribución no es tan sencilla como no lo es, en general, en cualquier daño que las cosas conectadas Internet of Things—IoT—puedan ocasionar. |
No es el único accidente que se ha producido ni tampoco el único en el que hay una víctima mortal. El propio Elon Musk, ante los accidentes sufridos por sus coches Tesla, ha reconocido que, tal vez, se hayan pasado de frenada con la automatización y que la autonomía de sus coches debería de ser revisada.
La alta complejidad del ecosistema IoT (objetos físicos, software, infraestructura de Internet, datos personales y no personales, comportamiento del usuario final, analítica de datos, etc.), y la variedad de actores implicados (fabricantes de productos, fabricantes de sensores, productores de software, proveedores de infraestructura, otros actores involucrados en el suministro de diferentes servicios, usuarios finales, etc.), hace que la labor de atribuir responsabilidades en caso de daño sea una tarea de enorme complejidad. Tan es así que la aplicación de nuestro sistema de responsabilidad de producto se ha quedado simplemente obsoleta. En la operación de un CPS (Sistema Ciberfísico) como es un coche autónomo y conectado influye no solo el fabricante del productos sino los de sus partes (sensores, actuadores, etc..), los desarrolladores del software embebido en cada componente, el de su sistema operativo, o los de las plataformas de tratamientos de datos que le dotan de inteligencia y de parámetros para la toma de decisiones. Esta última capa de inteligencia se renueva de manera constante, como un destilado del tratamiento de grandes volúmenes de datos personales y no personales, comportamiento del usuario final, y del aprendizaje autónomo.
Nuestro sistema de responsabilidad objetiva se basa en la idea de que un productor que vende un producto conforme los estándares y las buenas prácticas será responsable de los daños que cause si se aparta de estas prácticas o si el producto es defectuoso. La responsabilidad, por otro lado, se limita al día de puesta en el mercado del producto, sin perjuicio de la aplicación de la garantía que le corresponda; esto es, que el defecto tiene que estar presente en el producto a su fecha de comercialización. En el ecosistema IoT, sin embargo, un producto puede ser seguro el día de su lanzamiento al mercado y dejar de serlo casi de manera inmediata. Por ello, una legislación que no tiene en cuenta todo el ciclo de vida del producto carece de utilidad para resolver los problemas de la responsabilidad por daños causados por cosas conectadas.
No entramos a valorar qué ocurrirá cuando las máquinas sean tan inteligentes, se alejen tanto de su programación inicial, que sean capaces de una toma de decisiones completamente autónoma, porque nuestro sistema no está ni de lejos preparado para afrontar este reto de no saber a quién atribuir la responsabilidad por daños o de no poder hacerlo a una persona física o jurídica.
Lo que nos deja con la pregunta inicial ¿Quién es responsable de ese atropello? ¿El controlador que estaba ahí para evitar que el coche hiciese daño? ¿El fabricante del coche? ¿El del software en el que estaba codificada la instrucción de ignorar los “bultos”? ¿El del operador del mismo? ¿De quién tomo la decisión moral? ¿De quién hizo el modelo matemático en el que se basó esa decisión?
El Parlamento Europeo en su Informe de Robótica hace una propuesta valiente y llena de sentido pero que va a obligar a repensar el modelo de negocio y los costes de producción de muchas empresas, y no solo las del sector industrial. Su propuesta es la de la responsabilidad por riesgo, esto es, atribuir la responsabilidad de los daños a quien tuviera la capacidad de mitigar el riesgo de su ocurrencia y no lo hiciese, lo que coloca la transformación digital en la que están embarcadas las empresas bajo una nueva perspectiva: la de integrar el análisis del riesgo digital como un riesgo operativo más con un alcance mayor que el de la mera ciberseguridad.
Hay muchas propuestas en esta línea que se basan en un ciclo de gestión del riesgo al que los expertos en ciberseguridad están más que acostumbrados: seguridad desde el diseño aplicando estándares o buenas prácticas generalmente aceptadas, tras un análisis de riesgos (mapa de vulnerabilidades incluido); incorporarse a grupos de interés en los que no solo se esté al tanto de las vulnerabilidades de productos similares sino de vulnerabilidades generales, ya que un problema de seguridad en otro sistema podría afectar negativamente la seguridad de un grupo de dispositivos IoT; y comunicar a usuarios y mitigar nuevas vulnerabilidades durante todo el ciclo de vida. Solo así se estará en condiciones de sortear la responsabilidad por daños.
Libro “Seguridad y responsabilidad de la IoT”