Com o aumento exponencial de dispositivos conectados à Internet of Things (IoT), governos de todo o mundo tem vindo a adotar regulamentações para aprimorar a segurança desses dispositivos.
Na União Europeia, o Parlamento Europeu introduziu a Lei de Cibersegurança e a Lei de Ciber-resiliência, que impõem requisitos aos fabricantes desses dispositivos antes que possam ser comercializados.
Para proteger as informações pessoais armazenadas nesses dispositivos, a Check Point® Software Technologies Ltd. explica que os fabricantes de IoT devem adaptar-se aos novos regulamentos e normas de segurança.
Nos Estados Unidos, o IoT Cybersecurity Enhancement Act foi aprovado em 2020 e o National Institute of Standards and Technology (NIST) foi encarregado de criar uma norma de cibersegurança para a IoT.
Em maio de 2021, a administração Biden emitiu uma Ordem Executiva para melhorar a segurança cibernética nacional, e em outubro de 2022, a Casa Branca emitiu uma nota informativa para implementar uma etiqueta para dispositivos IoT, começando pelos routers domésticos e câmaras, para indicar seu nível de cibersegurança.
No entanto, para cumprir esses novos regulamentos e normas de segurança, a Check Point Software detalha seis elementos-chave que os fabricantes de dispositivos IoT devem começar a implementar: atualizações de software, proteção de dados, avaliação de riscos, configuração de dispositivos, autenticação e autorização e comunicação segura.
6 Dicas da Check Point para ajudar os fabricantes de dispositivos IoT
- Atualizações de software: os fabricantes devem fornecer a opção de atualizações de firmware e garantir a sua validade e integridade, especialmente para os patches de segurança.
- Proteção de dados: os regulamentos seguem o conceito de “minimização de dados”, recolhendo apenas os dados necessários com o consentimento do utilizador e tratando e armazenando de forma segura os dados sensíveis de forma encriptada.
- Avaliação de riscos: os fabricantes devem seguir um processo de gestão de risco durante a fase de conceção e desenvolvimento e durante todo o ciclo de vida do produto, incluindo a análise de vulnerabilidades e exposições comuns (CVE, na sigla em inglês) e a libertação de patches para novas vulnerabilidades.
- Configuração de dispositivos: os dispositivos devem ser entregues com configurações de segurança por defeito e ter os componentes perigosos removidos, as interfaces fechadas quando não estão a ser usadas e uma superfície de ataque minimizada através do “princípio do menor privilégio” para processos.
- Autenticação e autorização: serviços e comunicações devem exigir autenticação e autorização, com proteção contra ataques de login por força bruta e uma política de complexidade de passwords.
- Comunicação segura: a comunicação entre os ativos da IoT deve ser autenticada e encriptada, utilizando protocolos e portas seguras.
No entanto, o cumprimento destes regulamentos pode ser um desafio devido à sua complexidade. Para facilitar o processo, existem várias certificações e normas tais como UL MCV 1376, ETSI EN 303 645, ISO 27402 e NIST. O IR 8259 foi introduzido para decompor os regulamentos em etapas práticas.
“Com a introdução da Quantum IoT Embedded pretendemos ajudar os fabricantes a proteger os seus dispositivos com um esforço mínimo”, diz Bruno Duarte, Security Engineer Team Leader da Check Point Software Portugal. “A solução inclui um serviço de avaliação de risco e a solução independente Nano Agent que pode ser integrada em dispositivos IoT para fornecer proteção em tempo real contra ciberataques.”
Outros artigos interessantes:
