0
0
A regulamentação da Internet das Coisas (IoT) sempre foi um assunto controverso. Aqueles contra alegam que ela impede o crescimento de uma indústria nascente, enquanto aqueles que a defendem argumentam que vê a adoção das melhores práticas da indústria e ajuda a estabelecer padrões.
Em um esforço para superar a divisão, o Departamento de Digital, Cultura, Mídia e Esporte (DCMS) lançou seu Código de Prática em 2018. Consagrados nele estavam 13 princípios “Secure by Design” destinados a ajudar os fabricantes a implementar controles de segurança e oferecer um nível básico de atendimento ao cliente. O Código de Conduta foi voluntário e sem repercussões, portanto, sem dentes, razão pela qual muitos acreditam que sua adoção foi medíocre.
No entanto, muita coisa aconteceu desde 2018. A UE, por meio do ETSI, introduziu a EN303 645 , o primeiro padrão do setor aplicável globalmente em dispositivos de consumo conectados à Internet em 2020 com base no Código de Prática. Isso faz com que os fabricantes ou um terceiro designado forneçam documentação sobre o dispositivo em teste (DUT), uma Declaração de Conformidade de Implementação (ICS) e Informações Adicionais de Implementação para Teste (IXIT).
O DUT é então avaliado de acordo com as diretrizes ETSI TS 103 701, que detalham os testes e a metodologia a ser usada para avaliar os dispositivos em relação à EN303 645. Isso nos aproximou muito de um padrão real de fato para a IoT.
Uma linha na areia
Mais tarde, no mesmo ano, o governo do Reino Unido admitiu que “muitos produtos inseguros conectados ao consumidor permanecem no mercado e precisamos tomar medidas”. Seguiu-se uma consulta, que levou à elaboração do Projeto de Lei de Segurança do Produto e Infraestrutura de Telecomunicações (PSTI), que se concentra na segurança da IoT, 5G e banda larga.
O PSTI leva apenas as três principais diretrizes do Código de Conduta, que também estão na EN303 645: proibição de senhas padrão universais, meios para gerenciar relatórios de vulnerabilidades e duração mínima para atualizações de segurança. Essas são as práticas consideradas como apresentando os maiores riscos para a segurança da IoT, mas esse foco estreito também viu uma enxurrada de críticas à legislação. No entanto, realisticamente, esses requisitos foram feitos apenas para traçar uma linha na areia. A ideia é começar com esses controles antes de introduzir outros requisitos mais adiante, como proteção de dados, software/hardware projetado com segurança, privacidade, resiliência e suporte ao usuário.
Anteriormente anunciado no discurso da rainha em maio, espera-se que o PSTI seja aprovado em 2023, quando entrará em vigor em todo o Reino Unido. No entanto, muitos dos que participaram da consulta acham que levarão até dois anos para se tornarem totalmente compatíveis. Essa visão foi ecoada em um relatório da Internet of Things Security Foundation, que descobriu que 79% das empresas devem falhar nas regulamentações previstas.
Garantia como pioneiro
Embora o governo estivesse feliz em apoiar o PSTI, não chegou a exigir a garantia do produto. Por enquanto, permanecerá voluntário, embora a lei inclua a provisão para mandato em um estágio posterior. Mas é essa garantia que agora está liderando o caminho. O DCMS ajudou a financiar a implantação de esquemas de garantia que levaram a IASME a lançar seu Esquema de Segurança IoT assegurado em 2021. Ele permite que os fabricantes marquem seus produtos para demonstrar que alcançaram um certo nível de segurança.
O esquema IASME está alinhado com a EN 303 645 do ETSI, o PSTI, e também está mapeado para o IoTSF Security Compliance Framework. Possui três níveis de segurança: o nível Básico exige essencialmente a conformidade com os três requisitos PSTI/top três do padrão ETSI, o nível Prata a conformidade com os requisitos obrigatórios do ETSI e as disposições de proteção de dados e o nível Gold com os requisitos obrigatórios do ETSI, bem como todos os requisitos adicionais recomendados pelo ETSI e disposições de proteção de dados. Os fabricantes que atenderem aos critérios poderão exibir o crachá relevante em seu dispositivo IoT.
Dada a fraca adoção do Código de Conduta, o IASME queria garantir que as barreiras à entrada fossem mínimas, de modo que o esquema pretende ser acessível, desejável e viável. Ele exige que o solicitante trabalhe em oito categorias de perguntas sobre os controles de segurança implementados no dispositivo conectado e quaisquer serviços associados. Eles cobrem questões como senhas e credenciais, vulnerabilidades e anomalias, software, configuração segura, comunicações e uso de dados.
Um membro do conselho da organização solicitante deve então declarar que as reivindicações são verdadeiras antes de enviar a solicitação por meio de um portal para revisão por um avaliador aprovado. Tudo isso deve ser feito em seis meses. Como o processo é autodirigido até este ponto, o avaliador desempenha um papel crucial ao fornecer feedback da perspectiva do usuário e ajudar o fabricante a atender aos critérios necessários para atingir o nível de certificação desejado. Se todos os critérios forem atendidos e o avaliador aprovar a inscrição, o credenciamento poderá ser concedido em menos de 24 horas.
A resposta do mercado
Curiosamente, todos aqueles que vimos se candidatarem ao esquema escolheram o Gold porque querem ser vistos aderindo aos níveis mais altos e tem atraído algumas grandes marcas internacionais de consumo. Os jogadores menores que anteriormente tinham dificuldade em entender e navegar na burocracia envolvida no Código de Práticas/ETSI também valorizaram a orientação e o toque humano de um avaliador.
A teoria é que o esquema de garantia do produto estimulará a conformidade antes do PSTI, tornando a transição muito mais fácil para o setor de IoT, e o fato de muitos terem mirado alto sugere que a abordagem está funcionando. Os fabricantes gostam da visibilidade conferida pelo selo, que passa a ser um diferencial no mercado, além de garantir a conformidade futura. É por esses motivos que muitos observam o lançamento da garantia com interesse.
Os esquemas de marca de kit de IoT variam internacionalmente, desde rótulos que denotam conformidade com um conjunto de critérios de segurança cibernética, até um único rótulo que atesta que os recursos básicos de segurança são fornecidos, vários níveis ou até mesmo um rótulo que lista informações de segurança cibernética sobre o dispositivo IoT (muito parecido com os ingredientes lista que você vê em itens alimentares).
Garantia nos EUA
Nos EUA, o NIST foi encarregado de identificar e recomendar os principais elementos que devem ser adotados em um programa de garantia semelhante pela Ordem Executiva do Presidente Biden para “Melhorar a segurança cibernética da nação” em 2021. for Consumer IoT em fevereiro deste ano com base no NISTIR 8259, um conjunto de documentos que definem os recursos de segurança cibernética para dispositivos IoT a partir de uma análise de padrões e orientações internacionais.
Assim como o DCMS, o NIST tem defendido uma declaração de conformidade, testes/inspeções de terceiros e certificação de terceiros. Difere, no entanto, porque suas recomendações são “baseadas em resultados”, nenhuma avaliação de conformidade única será adotada e um único rótulo binário foi sugerido para atuar como um “selo de aprovação”. Isso mostrará que um padrão básico foi alcançado, com informações adicionais possivelmente disponibilizadas on-line por meio de um link ou código QR escaneável ou acessível (por exemplo). Os critérios de linha de base se concentrarão na identificação de ativos, configuração do produto, proteção de dados, controle de acesso à interface, atualizações de software, conscientização do estado de segurança cibernética, documentação, recepção de informações e consultas, disseminação de informações e educação e conscientização do produto.
O NIST não supervisionará o programa e um “proprietário do esquema”, responsável pela implementação e comercialização do esquema, ainda não foi nomeado. Esse proprietário pode decidir adaptar os resultados e/ou evidências de suporte para diferentes produtos ou optar por introduzir níveis. A sugestão é que essas camadas sejam baseadas em risco, de modo que os dispositivos que representam um risco maior para o usuário ou para o ambiente em que são implantados ou que precisam ser avaliados de forma diferente sejam obrigados a atender a um padrão mais alto.
Garantia global
O NIST também afirma que, como esse programa não funcionará isoladamente, o proprietário pode querer alinhar o programa com outros padrões internacionais de IoT e esquemas de kitemark. Essa “harmonização” é desejável, pois evita o risco de fragmentação que pode ser um desafio para a indústria. A harmonização é amplamente adotada entre os padrões de consumo, como CE e seu equivalente pós-Brexit, UKCA , e garante que um fabricante só precise atender aos critérios e passar por testes de conformidade uma vez, e não em todos os mercados.
Será interessante ver o sucesso dessas marcas de pipa no incentivo à adoção das melhores práticas do setor. Mas, a julgar pela resposta ao esquema IASME, a aceitação pode ser extremamente positiva. Ambos os esquemas procuraram ativamente tornar o processo de certificação desejável e viável, com o NIST procurando promover a inovação, evitar que ela seja onerosa e torná-la utilizável e relevante para uma base diversificada de produtos e casos de uso. Mas suas recomendações são amplas e não chegam a conceber um processo real e viável. O esquema ainda precisa ser implementado e submetido aos rigores do mundo real e, ao contrário do esquema IASME, não é um precursor da regulamentação formal.
Então, como será um futuro mais formalizado e regulamentado para a IoT? A indústria já foi comparada ao Velho Oeste, pois havia uma grande liberdade de mercado, mas também um grau de ilegalidade e vulnerabilidades facilmente resolvidas. O PSTI será efetivamente o novo xerife da cidade, estabelecendo a lei, embora em apenas três princípios de design.
Resta saber como isso será aplicado e por quem, mas o fato de os fabricantes serem obrigados a cumprir pode mudar radicalmente o setor. Uma vez que um fabricante teve que observar um conjunto de princípios em um mercado e implementar os controles necessários, faz sentido usá-los em outros mercados. O que significa que esses esquemas de kitemark e o poder de compra do consumidor realmente podem ser suficientes para iniciar uma segurança de IoT mais eficaz.
FONTE: HELPNET SECURITY