O Instituto Europeu de Normas de Telecomunicações (ETSI) divulgou diretrizes destinadas a reforçar a segurança cibernética e a proteção de dados de dispositivos IoT de consumo.
Com um número crescente de dispositivos domésticos ligados à Web, estas diretrizes servem como um lembrete oportuno das vulnerabilidades que acompanham a conveniência e a conectividade.
“Os consumidores dependem cada vez mais de dispositivos conectados para transações seguras, tornando essential que os fabricantes conquistem essa confiança – priorizando a segurança desde o design”, disse Jan Ellsberger, Diretor Geral do ETSI.
“Essas diretrizes visam abordar as vulnerabilidades mais significativas e estou confiante de que eles ajudam a criar um ecossistema de IoT mais seguro, desde que permaneçamos vigilantes – sabendo muito bem que esse trabalho nunca está “concluído”.
Resolvendo falhas básicas de segurança de IoT do consumidor
O documento sublinha que não pretende fornecer soluções exaustivas para todas as preocupações de segurança, proteção de dados e privacidade relacionadas com a IoT do consumidor. Em vez disso, visa as vulnerabilidades mais prementes e generalizadas, oferecendo um “nível básico de segurança e proteção de dados”.
De acordo com o relatório, esta linha de base foi projetada para proteger contra “ataques elementares a fraquezas fundamentais de design, como o uso de senhas facilmente adivinháveis”.
O escopo do documento abrange uma infinidade de dispositivos IoT de consumo, desde assistentes domésticos inteligentes e aparelhos conectados até rastreadores de saúde vestíveis e câmeras inteligentes.
Em explicit, as diretrizes levam em consideração as restrições dos recursos do dispositivo, que podem afetar as capacidades de segurança, conforme observado no relatório: “Os recursos típicos do dispositivo que podem restringir as capacidades de segurança são o fornecimento de energia, largura de banda de comunicação, poder de processamento ou (não) capacidade de memória volátil”.
Medidas proativas para gestão de vulnerabilidades
Uma secção significativa das directrizes centra-se na gestão de vulnerabilidades. O ETSI afirma a necessidade de os fabricantes manterem um “dever de cuidado para com os consumidores e terceiros”, implementando um programa de Divulgação Coordenada de Vulnerabilidade (CVD).
Esta iniciativa CVD visa garantir que os fabricantes estejam preparados para lidar com vulnerabilidades de segurança de forma responsável, protegendo assim os seus produtos contra a exploração maliciosa.
As diretrizes recomendam que os fabricantes publiquem uma “política de divulgação de vulnerabilidades”, estipulando – no mínimo – informações de contato para relatar problemas, prazos para confirmar o recebimento de relatórios de vulnerabilidade e atualizações de standing. Esta transparência é considerada important para manter a confiança e a eficácia na gestão de vulnerabilidades.
Manter o software program IoT do consumidor atualizado
O ETSI destaca a importância de manter o software program atualizado com os patches de segurança mais recentes. O documento ressalta o papel do fabricante em garantir que “todos os componentes de software program em dispositivos IoT de consumo que não sejam imutáveis por motivos de segurança sejam atualizáveis com segurança”. Os fabricantes são incentivados a separar as atualizações de segurança das atualizações de recursos para evitar complicações e garantir a entrega oportuna.
À medida que os dispositivos de consumo se tornam mais integrados em aspectos críticos da vida, o fornecimento de atualizações é considerado essential para manter a segurança. “As atualizações de segurança devem ser oportunas”, determina o documento, reconhecendo as complexidades inerentes envolvidas na implantação de atualizações em tempo hábil.
Garantindo a proteção de dados
Além da cibersegurança, a proteção de dados continua a ser um ponto focal das diretrizes do ETSI. Com muitos dispositivos IoT processando dados pessoais, a importância de proteger essas informações não pode ser exagerada.
As diretrizes do ETSI afirmam a necessidade de os fabricantes fornecerem “informações claras e transparentes sobre quais dados pessoais são processados e para quais finalidades”.
Os desenvolvedores de produtos IoT são incentivados a implementar mecanismos para que os usuários retirem o consentimento para o processamento de dados, garantindo o cumprimento dos requisitos regulamentares e a proteção dos dados pessoais.
O documento estipula ainda que a recolha de dados deve ser limitada ao necessário para a funcionalidade pretendida, defendendo a utilização de técnicas de anonimização para salvaguardar a privacidade dos utilizadores.
Protegendo a comunicação e o armazenamento
Uma das principais disposições é a comunicação segura e o armazenamento de parâmetros críticos de segurança. As diretrizes do ETSI insistem que “os parâmetros de segurança sensíveis no armazenamento persistente devem ser armazenados de forma segura pelo dispositivo IoT do consumidor”.
Usando mecanismos como armazenamento criptografado e elementos seguros, espera-se que os fabricantes mitiguem os riscos associados ao comprometimento dos parâmetros de segurança.
Além disso, o ETSI dá importância à comunicação segura de dispositivos IoT de consumo, afirmando que estes dispositivos “devem utilizar as melhores práticas de criptografia para comunicar de forma segura”.
Ao priorizar o uso de implementações criptográficas avaliadas, as diretrizes visam garantir o manuseio seguro de dados em interfaces de rede.
Construindo resiliência contra interrupções
A resiliência dos dispositivos IoT dos consumidores contra interrupções, seja nas redes de dados ou na energia, é outro aspecto crítico abordado pelas diretrizes.
Espera-se que os produtos “permaneçam operacionais e funcionais localmente no caso de perda de acesso à rede e se recuperem de forma limpa no caso de restauração de uma perda de energia”. Esta disposição é particularmente significativa para manter a confiança do consumidor e evitar implicações de segurança associadas a interrupções de dispositivos.
À medida que a IoT se torna cada vez mais enraizada em funções pessoais e sociais essenciais, a resiliência contra perturbações continua a ser elementary.
As diretrizes enfatizam a ordem durante as reconexões da rede e promovem sistemas que minimizam solicitações simultâneas de dispositivos IoT, reduzindo assim o risco de negações de serviço.
Apelo à ação para fabricantes de IoT de consumo
Com foco no fortalecimento dos princípios fundamentais de segurança, as diretrizes do ETSI visam ajudar os fabricantes a promover ecossistemas IoT mais seguros e confiáveis.
O relatório conclui com uma nota de cautela e antecipação, sugerindo que à medida que as medidas de segurança melhoram, futuras revisões das directrizes poderão exigir as disposições actualmente recomendadas.
Ao estabelecer estas normas, o ETSI está a preparar o caminho para um futuro de IoT mais seguro, onde os benefícios da conectividade não surgem à custa da segurança e da privacidade.
(Imagem por Pete Linforth)
Veja também: Robôs de IA com jailbreak: pesquisadores soam alarme sobre falhas de segurança
Quer aprender sobre a IoT com os líderes do setor? Confira Exposição de tecnologia IoT acontecendo em Amsterdã, Califórnia e Londres. O evento abrangente é co-localizado com outros eventos importantes, incluindo Segurança cibernética e exposição de nuvem, Expo IA e Large Knowledge, Conferência de Automação Inteligente, Exposição de Computação de Bordae Semana da Transformação Digital.
Discover outros futuros eventos de tecnologia empresarial e webinars desenvolvidos pela TechForge aqui.