Check Point detalha elementos-chave que fabricantes de IoT têm de implementar

A Internet of Things (IoT) está a expandir-se rapidamente e o número de dispositivos conectados está a aumentar a um ritmo sem precedentes. Isto, juntamente com a crescente dependência destes dispositivos, enfatiza a necessidade premente de mudanças na cibersegurança.

A Check Point relembra que, a fim de proteger as informações pessoais armazenadas nestes dispositivos conectados, os governos de todo o mundo começaram a introduzir regulação destinada a melhorar a sua segurança padrão.

Nos Estados Unidos, o IoT Cybersecurity Enhancement Act foi aprovado em 2020 e o National Institute of Standards and Technology (NIST) foi encarregue de criar uma norma de cibersegurança para a IoT. Em maio de 2021, a administração Biden emitiu uma Ordem Executiva para melhorar a segurança cibernética nacional, e em outubro de 2022, a Casa Branca emitiu uma nota informativa para implementar uma etiqueta para dispositivos IoT, começando pelos routers domésticos e câmaras, para indicar o seu nível de cibersegurança.

Por outro lado, na União Europeia, o Parlamento Europeu introduziu a Lei de Cibersegurança e a Lei de Ciber-resiliência, que impõem vários requisitos que os fabricantes devem cumprir antes de um produto poder receber a marcação CE e ser colocado no mercado europeu. Isto inclui fases de avaliação e comunicação e gestão de ataques cibernéticos ou vulnerabilidades ao longo de todo o ciclo de vida do produto. Além disso, o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês) também se aplica às empresas que operam na UE, exigindo a implementação de medidas técnicas e organizacionais adequadas para a proteção de dados pessoais.

Contudo, a fim de cumprir estes novos regulamentos e normas de segurança, a Check Point Software detalha seis elementos-chave que os fabricantes de dispositivos IoT terão de começar a implementar:

• Atualizações de software: os fabricantes devem fornecer a opção de atualizações de firmware e garantir a sua validade e integridade, especialmente para os patches de segurança;
• Proteção de dados: os regulamentos seguem o conceito de minimização de dados, recolhendo apenas os dados necessários com o consentimento do utilizador e tratando e armazenando de forma segura os dados sensíveis de forma encriptada;
• Avaliação de riscos: os fabricantes devem seguir um processo de gestão de risco durante a fase de conceção e desenvolvimento e durante todo o ciclo de vida do produto, incluindo a análise de vulnerabilidades e exposições comuns (CVE, na sigla em inglês) e a libertação de patches para novas vulnerabilidades;
• Configuração de dispositivos: os dispositivos devem ser entregues com configurações de segurança por defeito e ter os componentes perigosos removidos, as interfaces fechadas quando não estão a ser usadas e uma superfície de ataque minimizada através do princípio do menor privilégio para processos;
• Autenticação e autorização: serviços e comunicações devem exigir autenticação e autorização, com proteção contra ataques de login por força bruta e uma política de complexidade de passwords;
• Comunicação segura: a comunicação entre os ativos da IoT deve ser autenticada e encriptada, utilizando protocolos e portas seguras.

No entanto, o cumprimento destes regulamentos pode ser um desafio devido à sua complexidade. Para facilitar o processo, existem várias certificações e normas tais como UL MCV 1376, ETSI EN 303 645, ISO 27402 e NIST. O IR 8259 foi introduzido para decompor os regulamentos em etapas práticas.

“Com a introdução da Quantum IoT Embedded pretendemos ajudar os fabricantes a proteger os seus dispositivos com um esforço mínimo”, diz Bruno Duarte, Security Engineer Team Leader da Check Point Software Portugal. “A solução inclui um serviço de avaliação de risco e a solução independente Nano Agent que pode ser integrada em dispositivos IoT para fornecer proteção em tempo real contra ciberataques”.