Inscreva-se no The Softtek Blog
O investimento em IOT aumentou e a resistência à adoção diminuiu, de acordo com uma pesquisa conduzida pela Zebra Technologies Corporation. No entanto, apesar desse aumento, os medos da insegurança do dispositivo IOT ainda estão presentes. Em outubro de 2016, a botnet Mirai acumulou um enorme exército de botnet de dispositivos conectados, que foi eventualmente usado em um ataque distribuído de negação de serviço (DDoS) que superou as capacidades de alguns dos maiores provedores de Internet do mundo e derrubou a Internet pela costa leste dos Estados Unidos.
Os autores de Mirai começaram a construir sua ferramenta como adolescentes, acumulando uma horda de zumbis de IoT usando técnicas conhecidas (e facilmente evitáveis) por décadas. Infelizmente, a norma para dispositivos IOT é a segurança Lax: senhas simples, criptografadas (não modificáveis) e sistemas operacionais que não podem ser corrigidos ou atualizados com proteção de segurança.
Nesse mesmo ano, o Parlamento da União Europeia instituiu o regulamento geral sobre a proteção de dados (RGPD) e forneceu uma transição de dois anos para a sua implementação. Maio de 2018 marcou o início do incumprimento e a aplicação de sanções e multas rigorosas.
No entanto, um estudo de pesquisa 2018 abrangente da cybersecurity insiders indicou que apenas 7% das organizações pesquisadas cumpriram plenamente. Quase 60% quebrou as regras no momento da pesquisa e indicou ainda que não tinham pessoal perito ou orçamento para implementar as mudanças necessárias.
No nível específico, a adoção de dispositivos IoT se destaca na área Ásia-Pacífico, onde, de acordo com uma pesquisa conduzida pela sociedade da Internet, sete em cada dez entrevistados disseram que já tinham pelo menos um dispositivo IOT e quase metade disse que tinham pelo menos Três.
A segurança dos dados, no entanto, foi uma grande preocupação. Cerca de 60% entrevistados que não possuem atualmente um dispositivo de IOT citam a falta de certeza de que seus dados pessoais seriam protegidos como uma razão para não possuir um.
A maioria dos entrevistados expressa preocupação com:
Apesar das sérias preocupações com a segurança e a privacidade da IoT, muitos inquiridos não tomaram medidas para se protegerem de ameaças de IOT. Apenas metade das pessoas com pelo menos um dispositivo IoT alterou a palavra-passe predefinida em todos os dispositivos IoT e apenas uma em cada três leu a política de privacidade que acompanha o dispositivo.
Entre aqueles que não mudaram a senha padrão em seu dispositivo, os 30% fizeram a decisão de não usar uma senha e os 10% não sabiam como Alterá-lo. Cerca de metade dos entrevistados dizem que seus dispositivos não têm uma senha, mas também pode ser possível que eles não sabiam que seus dispositivos o têm.
Embora possa haver uma maior conscientização sobre a necessidade de segurança e privacidade da IoT, os esforços também devem ser feitos para capacitar os consumidores com opções, ferramentas e recursos para assumir o controle de sua segurança e privacidade. Os dispositivos incluem instruções claras sobre como alterar a senha padrão e ajustar as configurações de segurança e privacidade, bem como apresentar avisos de privacidade e opções facilmente compreensíveis para os clientes em configurações ou compra de um dispositivo IoT.
Rajnesh Singh, diretor da Ásia-Pacífico da sociedade da Internet, disse:
“É necessário garantir que os fabricantes e fornecedores de produtos e serviços de IoT protejam os consumidores e a privacidade dos seus dados. Atualmente, as medidas atuais não coincidem com o grau de preocupação dos atuais e futuros proprietários de dispositivos IOT. “
Como mencionado acima, a adoção de dispositivos IoT em empresas está aumentando, no entanto, há uma grande disparidade entre a medida em que as organizações estão adotando IOT e sua disposição de segurança cibernetics.
Embora a maioria das organizações planeje aumentar a adoção de tecnologias de IoT, apenas 28% consideram que as estratégias de segurança específicas da IOT são “muito importantes”, de acordo com o relatório de prontidão de cibersegurança da IOT, publicado pela Trustwave.
O relatório também fornece fortes evidências de expansão de IoT. 64 das organizações pesquisadas implementaram algum nível de tecnologia de IOT, enquanto outros 20% planejam fazê-lo nos próximos 12 meses.
Ironically,o 57% cita interesses da segurança como a barreira do número um à adopção mais adicional de IOT, seguido por “não relevante às operações” em um 38%, e a “falta do orçamento” em uns 27%.
Neste ponto e evitando repetir a situação de Asía-Pacifico, em 14 de outubro de 2018, no Reino Unido, o departamento de digital, cultura, mídia e esporte (DCMS) publicou seu “código de prática para a segurança do consumidor IOT”.
Desenvolvido ao longo de dois anos, em conjunto com o centro nacional de cibersegurança (NCSC). O documento procura “apoiar todas as partes envolvidas no desenvolvimento, fabrico e retalho de IOT para os consumidores individuais” e criar um ambiente onde os produtos são “seguros”.
Para esse fim, o código define treze passos práticos e focados em resultados que as organizações podem tomar para implementar soluções de segurança apropriadas para seus produtos.
É importante notar que, no desenvolvimento das diretrizes, o DCMS aproveitou as normas e orientações existentes do setor privado, do governo e da Academia, incluindo o resumo da edição 2016 do Conselho Atlântico, “casas inteligentes e Internet das coisas. “
Mapeando o relatório
O código destaca suas três primeiras diretrizes: senhas exclusivas, implementação de uma política de divulgação de vulnerabilidades e manutenção de software atualizada, como prioridades. Da mesma forma, o resumo de casas inteligentes aponta para esses três princípios, oferecendo os maiores benefícios de segurança de curto prazo.
O documento contém mapas das diretrizes do cartão ou para: “manter o software atualizado”, “garantir que os dados pessoais estão protegidos”, “facilitar a instalação e manutenção de dispositivos IOT”, ” minimizar as superfícies de ataque expostas “e” tornar os sistemas resistentes à perturbação “.
Finalmente, em um nível de política mais amplo, o problema com o Smart Homes que é evidente no código é que os produtos de IoT futuros devem seguir a filosofia “seguro por design”. O resumo do problema indica que a segurança que não é “incorporada” deve ser incluída após a resolução de problemas e segurança que é simplesmente “on” é mais dispendiosa e menos eficaz do que a segurança incorporada desde o início do ciclo de vida de um produto.
Uma filosofia de design segura dá maior controle ao consumidor, aumenta a confiança entre consumidores e produtores e facilita o desenvolvimento contínuo da indústria. O código ecoa esses sentimentos e explica em seu Sumário executivo que o objetivo do código é “garantir que os produtos são seguros por design e tornar mais fácil para as pessoas a permanecer seguro em um mundo digital.”
Implementação pelo governo do Reino Unido
As ambições mais amplas do DCMS demonstram a intenção de implementar o código através de meios voluntários e regulamentares. É importante ressaltar que os parceiros da indústria HP e Centrica já assinaram formalmente o código e muitos dispositivos já implementam alguns ou todos esses elementos.
Ao abrigo de um regime de rotulagem voluntária, os produtores fornecerão aos consumidores as informações importantes que actualmente carecem. Continuando a tendência da educação dos consumidores, o governo do Reino Unido planeja apoiar as organizações de consumidores usando o código como base para a qualificação do produto, guias de compra e o guia de segurança para avaliar produtos IoT em todas as fases do seu ciclo de vida.
Além disso, como os Estados Unidos, o Reino Unido identificou uma escassez significativa de profissionais de cibersegurança treinados. Isso, combinado com o rápido desenvolvimento da tecnologia de IOT, significa que há uma falta de capacidade para proteger produtos e serviços de IOT de ameaças de cibersegurança cada vez mais complexas.
Portanto, através de seus cursos de verão CyberFirst, o governo britânico tem como objetivo educar a próxima geração de profissionais de tecnologia de segurança da IOT.
Embora os regimes não vinculativos sejam úteis, o governo britânico também planeia colocar determinadas directrizes numa base regulamentar. A oitava Diretriz “assegura que os dados pessoais estão protegidos” já podem ser legalmente aplicados através da lei de proteção de dados. O código também pode ser usado como base para tomar medidas regulatórias contra produtos específicos, como a Alemanha proibindo smartwatches infantis, que considera dispositivos de espionagem não garantidos.
Finalmente, o governo britânico pretende trabalhar com parceiros internacionais na indústria, organismos de normalização e governos. Com base nos Estados Unidos, onde a harmonização já pode ser visto através de leis como o projeto de lei semelhante, a Internet das coisas lei de melhoria da cibersegurança (IOT) de 2017, que se aplica a dispositivos de IOT adquiridos pelo governo.
O fato de que tão poucas organizações parecem anexar grande importância às políticas e tecnologias de segurança específicas da IoT é alarmante, especialmente porque os vendedores de negócios têm sido aviso dos perigos por anos. Faz sentido que a superfície de ataque da IOT seja grande e sempre se expanda, abrindo a rede não apenas para ataques direcionados a organizações individuais, mas também para tipos de dispositivos em toda a IOT.
Todas as políticas de segurança devem abranger a IOT, especialmente quando os regulamentos recebidos, como o GDPR, impõem sanções econômicas severas para violações de dados. O fato de que alguns podem ocorrer através da IoT não será uma desculpa.