Cenário de segurança cibernética da IoT em 2024
Em 2022, a IoT enfrentou mais de 112 milhões de ataques cibernéticos, saltando de 32 milhões em 2018. O rápido crescimento das tecnologias IoT está acompanhando as ameaças cibernéticas. Como resultado, países e regiões estão introduzindo regulamentações específicas para fornecer segurança cibernética de IoT para dispositivos e dados valiosos. Vamos explorar alguns exemplos, como UE, EUA, Reino Unido e Cingapura, e entender como eles impactam empresas e consumidores. Além disso, discutiremos a relação entre atualizações de software/firmware e a segurança no design de projetos IoT.
A União Europeia e os regulamentos da IoT
O Regulamento Geral de Proteção de Dados (GDPR)
O GDPR foi introduzido em 25 de maio de 2018. Ele fornece um padrão específico para a segurança de dados na União Europeia e na Grã-Bretanha, com foco na privacidade de dados. O GDPR exige que as organizações protejam os dados pessoais coletados por dispositivos de IoT, implementem a privacidade desde a concepção e garantam os direitos dos titulares dos dados. Elas trouxeram penalidades rigorosas para a falta de conformidade como um modelo de muitas metas de proteção em todo o mundo.
A Lei de Segurança Cibernética
A Lei de Segurança Cibernética, que foi implementada em 27 de junho de 2019, fornece uma estrutura para certificar a segurança cibernética de produtos e serviços de TIC na União Europeia. A lei pretende reduzir os riscos de ataques cibernéticos direcionados à IoT, fornecendo padrões de segurança mais altos e transparência sobre os níveis de segurança de produtos certificados. A Agência de Segurança Cibernética da UE (ENISA) contribui muito para a proteção da IoT em termos de segurança cibernética, oferecendo recursos e suporte aos estados-membros e às empresas.
A Lei de Resiliência Cibernética
O Cyber Resilience Act (CRA) é uma lei europeia recente que se concentra na segurança de dispositivos digitais. Isso inclui tudo, desde monitores de bebês até smartwatches. A CRA trata de dois problemas principais: falta de recursos de segurança ou atualizações adequadas e dificuldades para saber se um produto é seguro. Portanto, a nova regulamentação pode:
Criar regras consistentes em toda a UE para a venda de dispositivos com componentes digitais.
Definir requisitos obrigatórios de segurança cibernética para fabricantes e varejistas de IoT.
Exigir que os fabricantes priorizem a segurança em todo o processo de design e produção.
A Diretiva NIS e a NIS2
A Diretiva NIS original tinha como objetivo alcançar um alto nível de segurança cibernética para infraestrutura crítica e serviços essenciais. A Diretiva NIS2, em vigor a partir de janeiro de 2023, amplia o escopo para incluir mais setores e entidades, harmonizando as medidas de segurança cibernética entre os estados-membros. Isso é alcançado por meio de várias medidas importantes:
As regiões da UE devem estabelecer recursos dedicados à segurança cibernética, como uma Equipe de Resposta a Incidentes de Segurança em Computadores (CSIRT) e uma autoridade nacional competente.
Os Grupos de Cooperação promovem a troca de informações e a cooperação estratégica entre os Estados membros.
A diretiva visa setores críticos, como eletricidade, transporte e logística, que dependem muito das tecnologias de informação e comunicação (TICs). Os provedores de serviços desses setores precisam adotar medidas de segurança específicas e informar os problemas às autoridades nacionais. Além disso, os provedores de serviços digitais, como mecanismos de busca e serviços em nuvem, também precisarão cumprir os requisitos de segurança e de relatório da diretiva.
Os Estados Unidos e a segurança da IoT
A Lei de Melhoria da Segurança Cibernética da IoT de 2020
Assinada em 4 de dezembro de 2020, essa lei exige que os dispositivos de IoT adquiridos pelo governo federal atendam aos padrões mínimos de segurança cibernética definidos pelo National Institute of Standards and Technology (NIST). Esses padrões incluem as publicações especiais 800-53 do NIST, voltadas para o controle de sistemas de informação, incluindo controle de acesso, resposta a incidentes e proteção do sistema, e 800-183, que se concentram em considerações de segurança e privacidade para dispositivos de IoT. A lei especifica que os dispositivos de IoT devem ter identificadores exclusivos e autenticação robusta (Gerenciamento de Identidade), criptografia forte para dados em repouso e em trânsito (Proteção de Dados), procedimentos para atualizações oportunas e seguras (Gerenciamento de Patches) e configurações seguras (Gerenciamento de Configuração).
Ordem Executiva 14028
A Ordem Executiva 14028 pretende ajudar o governo dos EUA e o setor privado a melhorar a segurança contra ameaças cibernéticas. A estrutura estabelecida esclarece como melhorar a segurança cibernética da IoT nos Estados Unidos e oferece soluções. Por exemplo, a EO 14028 exige que as organizações definam três medidas, como a verificação do código do aplicativo, a criação de uma lista de materiais de software (SBOM) e a proteção do processo de desenvolvimento.
Lei de segurança de IoT da Califórnia (SB-327)
Em vigor a partir de 1º de janeiro de 2020, a lei exige que os fabricantes de dispositivos de IoT habilitem recursos de segurança razoáveis e adequados à função do dispositivo, aos dados coletados e transferidos; foi criada para proteger dados e hardware contra qualquer tipo de acesso, destruição ou divulgação não autorizada. O SB-327 descreve os dispositivos de IoT como qualquer objeto capaz de se conectar à Internet, incluindo dispositivos domésticos, como termostatos inteligentes e wearables. Os fabricantes que vendem na Califórnia devem cumprir as disposições da lei, garantindo que os dispositivos atendam aos padrões de segurança. A não conformidade pode levar a ações de fiscalização por parte do Procurador Geral da Califórnia ou dos promotores distritais locais.
Leis estaduais de privacidade
Diversos estados, como Califórnia e Nova York, implementaram suas próprias legislações de privacidade de dados. A Lei de Privacidade do Consumidor da Califórnia (CCPA) e a Lei de Direitos de Privacidade da Califórnia (CPRA) ampliam os direitos de privacidade e a proteção dos consumidores, garantindo o direito de acessar, excluir e restringir a coleta de dados, além de estabelecer medidas de segurança para informações sensíveis. Já a Lei SHIELD de Nova York exige que empresas que lidam com dados de residentes do estado adotem programas robustos de segurança cibernética, incluindo dispositivos IoT.
Reino Unido: Aderindo aos padrões globais
A Lei de Segurança de Produtos e Infraestrutura de Telecomunicações (PSTI)
O Reino Unido introduziu recentemente a PSTI com novos requisitos de segurança de produtos para dispositivos conectados, incluindo dispositivos de IoT, como alto-falantes inteligentes, dispositivos conectados e determinados produtos para operação de computadores, além de fornecer atualizações sobre o regime de infraestrutura de telecomunicações do Reino Unido. A lei contém duas partes principais: 1) para dispositivos conectados e 2) emendas ao código de comunicações eletrônicas do Reino Unido. De acordo com a lei, os fabricantes de dispositivos de IoT devem fornecer informações claras sobre os períodos de suporte, garantindo que os consumidores sejam informados sobre a duração das atualizações de segurança e do suporte técnico para seus dispositivos. Além disso, a Lei PSTI exige que os fabricantes implementem procedimentos robustos para relatar problemas de segurança, facilitando respostas imediatas a vulnerabilidades e aprimorando o ecossistema geral de segurança cibernética da IoT.
Cingapura e a segurança da IoT na região Ásia-Pacífico
O esquema de rotulagem de segurança cibernética (CLS)
A Cyber Security Agency of Singapore (CSA) criou o Cybersecurity Labelling Scheme (CLS) para dispositivos conectados ao consumidor, com o objetivo de fortalecer a proteção da IoT. O esquema classifica os dispositivos inteligentes conforme seus níveis de segurança cibernética, permitindo que os consumidores identifiquem produtos mais seguros antes da compra.
Além de informar os consumidores, o CLS beneficia os fabricantes ao destacá-los no mercado competitivo e incentivá-los a desenvolver dispositivos e soluções mais protegidos. O esquema também inclui acordos de reconhecimento mútuo, promovendo padrões globais de segurança:
Finlândia: um Memorando de Entendimento (MoU) permite o reconhecimento mútuo de rótulos de segurança cibernética entre Cingapura e Finlândia, facilitando a conformidade e o acesso ao mercado.
Alemanha: um Acordo de Reconhecimento Mútuo (MRA) com a Alemanha garante que os dispositivos certificados pelo Selo de Segurança de TI da Alemanha sejam reconhecidos pelo CLS de Cingapura, promovendo processos de certificação simplificados.
Requisitos regulatórios para atualizações de software
Os requisitos específicos variam entre as regiões, mas muitos atos de segurança cibernética compartilham aspectos técnicos em comum. Vamos explorar os principais pontos que se aplicam à maioria deles:
Codificação segura. A higienização da memória, a validação de entrada e as bibliotecas seguras podem ser exemplos marcantes das práticas.
Requisitos criptográficos. Algoritmos criptográficos são frequentemente exigidos por atos e projetos de lei, pois essa é uma das principais direções dentro da criptografia de dados e do tratamento de ameaças em evolução.
Protocolos de atualizações seguras. Os protocolos HTTPS e TLS para entrega de atualizações são especificados em muitos regulamentos. Isso inclui atualizações OTA (Over-the-Air) para firmware seguro e atualizações de software para dispositivos de IoT.
Assinatura digital. A assinatura de atualizações criptográficas provavelmente será um requisito em muitas regiões para garantir a autenticidade e evitar o acesso não autorizado durante a transferência de dados.
Inicialização segura e proteção contra reversão. Alguns regulamentos podem exigir esses recursos para evitar instalações mal-intencionadas de firmware ou a manipulação das atualizações.
Descubra informações mais detalhadas sobre as atualizações de IoT e os principais participantes.
O papel das atualizações over-the-Air (OTA) na segurança cibernética
As atualizações Over-the-Air (OTA) ajudam a manter a segurança cibernética no cenário regulatório em evolução. Essas atualizações tratam de vulnerabilidades, bugs e, muitas vezes, implicam em melhorias de desempenho. Veja a seguir como as atualizações OTA proporcionam segurança:
Correção de vulnerabilidades. As atualizações OTA fornecem alterações de código que abordam vulnerabilidades identificadas, reduzindo o risco de exploração por agentes mal-intencionados.
Atualizações de criptografia. As atualizações podem introduzir novos algoritmos de criptografia ou corrigir os pontos fracos dos existentes, fortalecendo os mecanismos de proteção de dados.
Correções de bugs. As atualizações OTA podem resolver bugs de software, que tornam o sistema mais vulnerável e instável.
As normas de segurança cibernética incentivam os fabricantes a usar métodos eficientes e seguros para atualizações, motivando-os a priorizar as atualizações OTA como um aspecto fundamental da abordagem de segurança cibernética da IoT. Isso garante que os usuários recebam os patches de segurança mais recentes. Saiba mais sobre as atualizações OTA em nossa Base de Conhecimento.
Como as atualizações OTA se relacionam com as regulamentações: Exemplo da Mendor
Muitas empresas como a Mender podem ajudar os provedores de IoT a criar ecossistemas resilientes que protegem os usuários, economizam recursos e controlam os projetos de IoT em tempo real. Vamos examinar os detalhes de como as atualizações OTA da Mender funcionam dentro das principais regulamentações:
Regulamentação | Principais requisitos | Abordagem do Mender |
Lei de Resiliência Cibernética (CRA)
| Atualizações obrigatórias de segurança Priorizar a segurança em todo o ciclo de vida | Atualizações seguras com HTTPS, TLS e assinatura digital Inicialização segura e controle de acesso baseado em função (RBAC) |
Diretiva NIS/NIS2
| Medidas de segurança robustas para infraestruturas críticas Medidas de segurança harmonizadas em todos os estados-membros Divulgação oportuna de vulnerabilidades | Atualizações seguras, inicialização segura, RBAC Console centralizado para gerenciar dispositivos distribuídos globalmente Aplicação simplificada de patches com automação de campanhas |
Lei PSTI do Reino Unido
| Mecanismos de atualização seguros Informações claras sobre os períodos de suporte | Atualizações seguras com HTTPS, TLS e assinatura digital Implementação simplificada de patches |
Lei de segurança de IoT da Califórnia (SB-327) | Práticas de segurança padronizadas | Impõe práticas de codificação segura em todo o ciclo de vida da atualização |
GDPR | Controle do usuário sobre os dados | Ferramentas de transparência para a comunicação de informações atualizadas |
A IoT e a segurança cibernética são inseparáveis. O número crescente de atos de segurança cibernética reflete um compromisso global com práticas seguras de desenvolvimento e atualização de software. Com a implementação das proteções técnicas necessárias, os fabricantes podem não apenas obter conformidade, mas também demonstrar seu compromisso com a construção de confiança com seus usuários no mundo interconectado.