Cada vez mais dispositivos estão conectados à Internet, não apenas no setor privado, mas também na indústria. Isso torna a produção mais eficiente e cada vez mais automatizada, o que economiza custos e mão de obra. A Internet das Coisas (IoT - Internet of Things) está, portanto, se espalhando rapidamente e o número de dispositivos conectados está aumentando significativamente.
Mas com a crescente dependência de dispositivos IoT, a necessidade de fortes medidas de segurança cibernética tornou-se ainda mais urgente. Os legisladores reconheceram isso. Para proteger os dados importantes armazenados nesses dispositivos, os governos de todo o mundo introduziram regulamentações para melhorar a segurança padrão dos dispositivos IoT. O que você tem que prestar atenção? Uma olhada nos regulamentos ajuda.
Regulamentos de IoT na UE e nos EUA
Nos Estados Unidos, o IoT Cybersecurity Improvement Act foi aprovado em 2020 e o Instituto Nacional de Padrões e Tecnologia (NIST) foi encarregado de criar um padrão para dispositivos IoT. Em maio de 2021, o governo Biden aprovou uma ordem executiva para melhorar a segurança nacional de TI. Então, em outubro de 2022, a Casa Branca lançou um panfleto apresentando um rótulo para dispositivos IoT, começando com roteadores e câmeras domésticas, para indicar seu nível de segurança e torná-lo visível à primeira vista.
Na União Europeia, o Parlamento Europeu introduziu a Lei de Cibersegurança e a Lei de Resiliência Cibernética, que impõem vários requisitos aos fabricantes antes que um produto possa receber a marcação CE e ser colocado no mercado europeu. Isso inclui estágios de avaliação e relatórios, bem como lidar com ataques cibernéticos ou vulnerabilidades ao longo do ciclo de vida do produto. O Regulamento Geral de Proteção de Dados (GDPR) também se aplica a empresas que operam na UE e as obriga a implementar medidas técnicas e organizacionais adequadas para proteger dados pessoais.
elementos-chave
Para cumprir os regulamentos, os fabricantes devem implementar os seguintes elementos-chave:
- Atualizações de software: Os fabricantes devem oferecer a possibilidade de atualizações de firmware e garantir a validade e integridade das atualizações, especialmente patches de segurança.
- proteção de dados: A regulamentação segue o conceito de "minimização de dados", ou seja, apenas os dados necessários são coletados com o consentimento do usuário, mas os dados confidenciais são armazenados de forma segura e criptografada.
- avaliação de risco: Os desenvolvedores devem conduzir o gerenciamento de riscos durante a fase de design e desenvolvimento e durante todo o ciclo de vida do produto, incluindo a análise de CVEs (vulnerabilidades e exposições comuns) e o lançamento de patches para novas vulnerabilidades.
- configuração do dispositivo: os dispositivos devem ser lançados com uma configuração de segurança padrão que remova componentes perigosos, feche interfaces quando não estiver em uso e minimize a superfície de ataque para processos por meio do “princípio do menor privilégio”.
- Autenticação e autorização: Serviços e comunicações devem exigir autenticação e autorização, com proteção contra ataques de login de força bruta e uma política de complexidade de senha.
- Comunicação segura: as comunicações entre ativos de IoT devem ser autenticadas, criptografadas e usar portas e protocolos seguros.
No entanto, a conformidade com esses regulamentos pode ser desafiadora devido à sua complexidade. Para simplificar o processo, várias certificações e normas como UL MCV 1376, ETSI EN 303 645, ISO 27402 e NIST.IR 8259 foram introduzidas para dividir os regulamentos em etapas práticas.
As empresas que desejam proteger seus dispositivos IoT contra ameaças iminentes devem, portanto, usar soluções que protejam seus dispositivos com o mínimo de esforço e incluam um serviço de avaliação de risco que pode ser incorporado em um dispositivo IoT. Dessa forma, um dispositivo pode ser protegido contra ameaças de TI durante toda a sua vida útil. Na melhor das hipóteses, a solução deve exigir recursos mínimos e poder ser integrada a um produto sem a necessidade de alterar o código. Dessa forma, os dispositivos IoT podem operar com segurança e tirar o máximo proveito deles.
Mais em Checkpoint.com
Sobre o ponto de verificação A Check Point Software Technologies GmbH (www.checkpoint.com/de) é um fornecedor líder de soluções de segurança cibernética para administrações públicas e empresas em todo o mundo. As soluções protegem os clientes contra ataques cibernéticos com uma taxa de detecção líder do setor de malware, ransomware e outros tipos de ataques. A Check Point oferece uma arquitetura de segurança multicamada que protege as informações corporativas em nuvem, rede e dispositivos móveis, e o sistema de gerenciamento de segurança "um ponto de controle" mais abrangente e intuitivo. A Check Point protege mais de 100.000 empresas de todos os portes.