0
0
Jane Waterfall, gerente de conteúdo do Consórcio IASME, explica como sistemas — como aquecimento, ar-condicionado, detectores de fumaça e alarmes de fumaça — podem se conectar para gerar, coletar e analisar dados para monitorar o ambiente, a fim de melhorar a eficácia do serviço.
Os sensores e dispositivos conectados e incorporados que compõem a Internet das Coisas (IoT) contêm software que fornece a esses sistemas sua “inteligência”. Todos os softwares contêm milhões de linhas de código, e estes inevitavelmente contêm alguns erros.
No mundo da cibersegurança, os erros são chamados de vulnerabilidades e podem ser o equivalente a uma janela deixada aberta para os cibercriminosos ganharem acesso.
Aqui reside o paradoxo: As centenas de dispositivos IoT trazidos para ajudar a tornar um edifício mais seguro podem criar gateways abertos para os hackers acessarem não apenas o dispositivo com a vulnerabilidade, mas toda a rede de TI a que o dispositivo está conectado.
A segurança cibernética está preocupada em impedir o acesso não autorizado a um edifício ou à rede e dados de uma empresa. Muitos sistemas de segurança física agora incluem inúmeros dispositivos conectados com acesso remoto da nuvem, assemelhando-se intimamente a uma arquitetura de TI.
A segurança cibernética é vista como essencial para a tecnologia que se conecta à Internet. No entanto, se você considerar o fato de que muitos recursos em edifícios inteligentes ainda contêm defeitos críticos e ignoram as melhores práticas, do ponto de vista da segurança, muitos sistemas inteligentes estão longe de serem inteligentes.
A Segurança Cibernética Essencial para IoT
IoT é um alvo muito atraente para hackers, até porque inúmeros dispositivos IoT tornam mais simples para os invasores roubar dados valiosos, assumir o controle ou interromper um sistema ou acessar prêmios maiores dentro de uma rede.
Atacar o físico é muitas vezes parte de um ataque maior onde seu papel é agir como uma porta de entrada mais fácil para outro sistema.
A segurança dos sistemas de IoT está um pouco por trás do nível de segurança da maioria dos computadores de negócios, com alguns especialistas em segurança estimando que está no estágio em sua jornada onde a segurança da informação estava há 15 anos. Os dispositivos de IoT do consumidor e aqueles encontrados em muitos edifícios inteligentes frequentemente não têm nem mesmo o básico no local, deixando os dispositivos e as redes vulneráveis a ataques cibernéticos.
O padrão ETSI EN 303 645 foi criado por uma equipe de especialistas de toda a União Europeia — na indústria, na academia e no governo — para evitar ataques prevalentes em larga escala contra dispositivos inteligentes. A norma, lançada em 2020, descreve 13 requisitos para estabelecer uma linha de base de segurança para produtos de consumo conectados e fornece uma base para futuros esquemas de certificação de IoT.
A nova legislação que entrará em vigor no Reino Unido em um futuro próximo trará alguma melhoria muito necessária para a segurança dos dispositivos IoT do consumidor. A nova legislação especificará três recursos de segurança obrigatórios que estão alinhados com os três principais requisitos do Padrão Técnico Europeu para Segurança de IoT (ETSI).
Segurança Física para proteger a TI
Da mesma forma que a segurança cibernética é necessária para proteger a tecnologia de segurança física, as práticas de segurança física são essenciais para ajudar a proteger a tecnologia da informação.
O controle de acesso é um dos princípios fundamentais da segurança cibernética, cobrindo a precaução essencial de controlar quem pode acessar seus dispositivos, contas e dados. O controle técnico inclui a criação de contas de usuários para uso diário e a limitação do acesso às contas administrativas às pessoas que precisam delas para suas funções.
O controle de acesso também inclui acesso físico a equipamentos e instalações. Isso incluiria, por exemplo, proteção contra pessoas não autorizadas andando sem controle em um escritório ou sala de servidor, ou mesmo apenas olhando através de uma janela.
A regra do “menos privilégio” é uma maneira segura de trabalhar. Isso simplesmente significa que os funcionários recebem todos os recursos e dados necessários para desempenhar suas funções, mas não mais. A mesma regra pode ser aplicada ao acesso a diferentes partes das instalações comerciais. As medidas de controle de acesso físico podem incluir o uso de um cartão-chave ou varredura biométrica para entrar no prédio e controlar ainda mais o controle de acesso para diferentes escritórios, garantindo que as telas do computador não sejam visíveis da janela e que os dispositivos em uso para acessar dados organizacionais bloqueiem automaticamente após um período de inatividade.
A segurança física e a segurança cibernética têm sido vistas há muito tempo como setores separados, mas com o surgimento de edifícios inteligentes e a interdependência de sistemas físicos com redes baseadas na Web ou na nuvem, as fronteiras entre os dois estão se tornando menos visíveis.
Organizações, gerentes de instalações e pessoas do setor de segurança precisam encontrar maneiras de identificar, mitigar e responder a riscos em várias operações de segurança quando a área de superfície desses riscos é maior e em expansão contínua.
Convergência de segurança
A convergência de segurança é a prática de integrar segurança física e segurança da informação dentro de projetos e organizações. A ideia é gerenciar o risco total para ativos, propriedades, sistemas e redes em uma estratégia holística de segurança, ancorada por práticas e metas compartilhadas.
A convergência efetiva de segurança precisa de uma mudança de cultura da de departamentos siloed com fontes de financiamento separadas e estratégias para uma de inclusão e colaboração. O setor de segurança sabe que precisa aumentar a conscientização sobre as violações da IoT, fornecer educação, compartilhar melhores práticas e acelerar o desenvolvimento e adoção de padrões de segurança cibernética.
Boas estratégias de segurança focam em pessoas, processos e tecnologia, incentivam o treinamento e a educação para suas equipes e priorizam trabalhar com provedores confiáveis que usam produtos e tecnologia garantidos para conectar seus ativos de construção.
A IASME desenvolveu o esquema de certificação IoT Security Assured para fornecer uma maneira acessível e alcançável para os fabricantes demonstrarem a segurança de seus dispositivos conectados à Internet e mostrarem que estão em conformidade com a segurança das práticas recomendadas.
Quando o emblema do esquema IoT Security Assured for exibido no dispositivo, ele tranquilizará os usuários finais de que seus dispositivos incluem os recursos de segurança mais importantes.
O esquema IoT Security Assured está alinhado com o padrão técnico global líder em segurança de IoT, o EN 303 645 da ETSI e com a iminente legislação e orientação de segurança de IoT do Reino Unido.
Dentro do esquema IoT Security Assured, existem três níveis de segurança aos seus certificados:
- O nível básico: Este nível está alinhado com a legislação proposta no Reino Unido e abrange os três principais requisitos do padrão ETSI.
- O nível prata: Isso está alinhado com os 13 requisitos obrigatórios do ETSI e disposições de proteção de dados.
- O nível Ouro: Isso está alinhado com os 13 requisitos obrigatórios do ETSI, bem como todos os requisitos recomendados pelo ETSI e provisões adicionais de proteção de dados.
Um sistema de gerenciamento de segurança da informação (ISMS) como o padrão IASME Governance é uma abordagem sistemática documentada que aborda pessoas, processos e tecnologia. O padrão de Governança integra segurança cibernética e segurança física, ajudando as organizações a incorporar uma boa consciência de segurança, conhecimento e comportamento em suas práticas como negócios como de costume.
Esta história apareceu pela primeira vez na IFSEC Global, parte da Informa Network, e um fornecedor líder de notícias, recursos, vídeos e white papers para a indústria de segurança e incêndio. A IFSEC Global abrange desenvolvimentos em tecnologias físicas há muito estabelecidas — como vigilância por vídeo, controle de acesso, alarmes de intrusos/incêndios e proteção — e inovações emergentes em segurança cibernética, drones, edifícios inteligentes, automação residencial, Internet das Coisas e muito mais.
FONTE: DARK READING