Os fabricantes e construtores de dispositivos IoT precisam começar a proteger os dispositivos agora, pois espera-se que a comunidade mais ampla de construtores adote as orientações da Lei de Segurança Cibernética da IoT.
A Lei de Segurança Cibernética da IoT é um bom começo para os profissionais da IoT implementarem mais recursos de segurança nos dispositivos. No entanto, proteger os activos através de medidas proactivas, incluindo avaliações de vulnerabilidade e programas de divulgação, são opções que poderiam apoiar a comunidade mais ampla de construtores na luta contra os maus actores.
Assinado em lei em dezembro de 2020, o legislação bipartidária força qualquer dispositivo de Internet das Coisas (IoT) adquirido com dinheiro do governo a atender aos padrões mínimos de segurança.
Embora a lei signifique que os governos podem esperar dispositivos IoT mais seguros, a responsabilidade recai sobre os construtores e fabricantes de dispositivos para reforçar a segurança dos dispositivos.
Os construtores precisam agir agora para proteger os dispositivos
A implementação de medidas de segurança tornou-se mais essencial para aqueles que fornecem ao governo, embora o panorama mais amplo da IoT seja por vezes caracterizado como o Velho Oeste, dada a sua falta de padrões de segurança comuns e rigorosos.
Apesar disso, é extremamente importante que os fabricantes de dispositivos implementem medidas de segurança cibernética agora, enfatizou o fundador e CEO da empresa de software de segurança IoT BG Networks, Colin Duggan. Ele alertou que os dispositivos IoT são os principais alvos de atividades maliciosas.
Não há absolutamente nenhuma dúvida de que agora e no futuro os criminosos e os Estados-nação adversários estão à procura e expõem pontos fracos nos dispositivos IoT que estão ligados em rede – tal como estão actualmente a expor pontos fracos nos sistemas de TI, disse ele.
Duggan sugeriu que os agentes maliciosos testassem constantemente os limites dos seus alvos. Hack de câmera de segurança Verkadas destacam que esses atores não precisam de uma intenção clara por trás deles, pois um suposto ponto de vista ideológico motivou o desejo de penetrar nos dispositivos.
O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) estabeleceu o Estrutura de segurança cibernética, mas não é uma abordagem única para todos.
Os construtores e fabricantes de dispositivos devem observar que alguns dispositivos precisam ser mais seguros do que outros – ou os dados que contêm são mais sensíveis ou as violações podem causar possíveis problemas operacionais ou de segurança, já que muitos dispositivos IoT controlam coisas e ações físicas, disse Duggan.
Yaniv Nissenboim, vice-presidente de desenvolvimento de negócios da Vdoo, concordou com Duggan, indicando que os fabricantes de dispositivos deveriam começar a “mapear essas diretrizes agora” para que possam estar prontos para agir e mitigá-las assim que as novas regulamentações realmente tomarem forma.
Impacto a longo prazo da Lei de Segurança Cibernética da IoT
No curto prazo, a cibersegurança dos dispositivos IoT não será mais considerada uma reflexão tardia, com o mercado privado recebendo uma luz brilhante no céu para seguir como exemplo.
O impacto a longo prazo da lei, no entanto, impõe maior responsabilidade aos fabricantes de dispositivos para que pensem seriamente sobre as implementações de segurança.
Brian Carpenter, diretor de desenvolvimento de negócios da CyberArk, enfatizou que os fabricantes e construtores de dispositivos devem considerar como essas regulamentações pendentes serão aplicadas e como os clientes podem gerenciar e proteger conexões de e para dispositivos IoT.
“Os clientes… não querem soluções de segurança mais isoladas que gerenciem uma parte de seus riscos – eles precisam de uma visão única de seus riscos para gerenciá-los adequadamente”, disse Carpenter.
Os construtores de IoT que criam dispositivos com medidas maiores e eficazes, como atualizações seguras de firmware, patches e gerenciamento de identidade, serão capazes de se adequar às estratégias de mitigação de risco de seus clientes e obter uma vantagem competitiva, disse ele.
Os construtores e fabricantes de dispositivos não eram o foco desta legislação – depois de políticos bipartidários dos EUA terem feito uma infinidade de alterações regulamentares destinadas a impedir que nações desonestas interferissem na infra-estrutura tecnológica do país. Embora esta questão tenha crescido ao longo do tempo, com vários diplomas legislativos destinados a conter a destruição causada por fenómenos como Rússia, China, Irão e Coreia do Norte, esta mudança específica certamente ajudará os construtores no longo prazo.
Ao fornecer diretrizes sobre o que constitui uma segurança forte, os fabricantes precisarão, em última análise, atender às necessidades dos clientes, com as diretrizes do NIST provavelmente se transformando em nova legislação, seja em nível federal ou estadual, sugeriu Carpenter.
Uma definição ampla é uma boa definição
Duggan disse que a definição da legislação para dispositivos IoT “é boa porque dispositivos com interfaces de rede podem potencialmente adicionar vulnerabilidades à rede”.
A Lei de Segurança Cibernética da IoT definição do que constitui um dispositivo IoT afirma: um dispositivo deve “ter pelo menos um transdutor (sensor ou atuador) para interagir diretamente com o mundo físico, ter pelo menos uma interface de rede”.
Duggan disse que isso significa que a lei lança uma ampla rede, ao mesmo tempo que deixa claro que smartphones ou laptops não estão incluídos, pois “a implementação de recursos de segurança cibernética já é bem compreendida”.
A limitação que ele apontou, no entanto, dizia respeito à falta de um mandato específico que forçaria as agências governamentais a adicionar segurança cibernética aos dispositivos.
Duggan referiu-se à Comissão Económica das Nações Unidas para a Europa (UNECE) Regulamentos automotivos WP.29, que afirma que até julho de 2024 todos os veículos recém-produzidos deve incluir a cibersegurança baseada numa abordagem de segurança desde a concepção e são capazes de realizar atualizações de software.
Ele descreveu a Lei de Cibersegurança da IoT “não tão forte quanto os requisitos da UNECE” e que, em termos de melhoria da segurança, combinar o que a UNECE está fazendo seria um bom passo. “Esse regulamento [UNECE] está a forçar mudanças na indústria automóvel para implementar amplamente a necessária segurança cibernética nos automóveis”, acrescentou.
Em termos de outras limitações impostas aos fabricantes e construtores de dispositivos, Nissenboim lembrou que a lei se aplica apenas a empresas que vendem dispositivos IoT ao governo federal. Apesar disso, admitiu que os governos estaduais e as empresas privadas também procurarão adotar os seus princípios e diretrizes.
“Além disso, há um conjunto crescente de normas e regulamentos internacionais de segurança cibernética da IoT em desenvolvimento”, disse ele, acrescentando que os regulamentos ajudarão a impor níveis de segurança mais elevados nos milhares de milhões de dispositivos conectados produzidos todos os anos em vários sectores.
Questões ainda a serem resolvidas com a Lei de Segurança Cibernética da IoT
Embora as regulamentações tenham sido elogiadas pelos observadores, permanecem problemas para os fabricantes e construtores de dispositivos – especialmente aqueles que não vendem ao governo dos EUA.
Os construtores precisam recuar para avaliar as implicações contínuas da lei. Embora a lei não os obrigue a implementar avaliações de segurança nos dispositivos, mas à medida que o número de ataques dispara, a orientação pode ser necessária para evitar violações.
Nissenboim disse que tais análises e monitoramento terão que ser automatizados e gerenciados tanto pela segurança do produto quanto pelas partes interessadas da engenharia, que terão que assumir esses processos importantes.
Carpenter, da CyberArk, alertou que as conexões remotas a dispositivos IoT ainda oferecem um grande desafio em termos de atualizações de firmware, gerenciamento de credenciais e manutenção.
Carpenter expressou esperança de ver algumas questões relacionadas às questões atualmente não regulamentadas nas diretrizes finais; “especialmente porque a força de trabalho continua a proliferar”, acrescentou.
- Vantagem
- Visando
- Ativos
- Automatizado
- automotivo
- indústria automobilística
- bipartidário
- corpo
- violações
- construtor
- negócio
- carros
- Causar
- causado
- Chefe executivo
- desafiar
- alterar
- de referência
- comum
- comunidade
- Empresas
- Empresa
- Congresso
- Dispositivos conectados
- Coneções
- continua
- Os criminosos
- Clientes
- Cíber segurança
- dados,
- Desenvolvimento
- Dispositivos/Instrumentos
- Diretor
- Econômico
- Eficaz
- Engenharia
- Europa
- Funcionalidades
- Federal
- Governo federal
- caber
- Foco
- seguir
- fundador
- futuro
- Bom estado, com sinais de uso
- Governo
- Governos
- Crescente
- orientações
- Destaques
- Como funciona o dobrador de carta de canal
- HTTPS
- Identidade
- gerenciamento de identidade
- Impacto
- Incluindo
- indústria
- Infraestrutura
- intenção
- Internacionais
- Internet
- internet das coisas
- iot
- Dispositivo IoT
- dispositivos muito
- questões
- IT
- Julho
- laptops
- Escritórios de
- Legislação
- Nível
- leve
- principal
- de grupos
- mercado
- dinheiro
- monitoração
- líquido
- rede
- redes
- Nova legislação
- números
- oferecer
- Opções
- Outros
- Outros
- Patches
- privado
- Produzido
- Produto
- Programas
- Regulamento
- regulamentos
- Requisitos
- Risco
- Mitigação de riscos
- Segurança
- Setores
- segurança
- Software de segurança
- Baixo
- Smartphones
- So
- Software
- Soluções
- padrões
- começo
- Estado
- Unidos
- sistemas
- Tecnologia
- teste
- O Futuro
- tempo
- nos
- Governo dos EUA
- Unido
- nações unidas
- Atualizações
- Veículos
- Ver
- vulnerabilidades
- vulnerabilidade
- Ocidente
- QUEM
- Força de trabalho
- mundo
- ano