- Uma lei federal promulgada recentemente nos Estados Unidos visa tornar os dispositivos de Internet das Coisas (IoT) mais seguros e pode ser um divisor de águas para os fabricantes de dispositivos e as empresas que fornecem esses artefatos para o governo.
- Muitos sistemas embarcados, incluindo IoT, carecem de controles básicos de segurança. As razões para isso incluem restrições de hardware, custos de segurança e pressa para colocar os dispositivos no mercado.
- A expectativa é que os efeitos da nova lei também afetem o mercado consumidor de IoT – o que significa que todas as empresas envolvidas na concepção, produção e fornecimento de componentes e produtos de IoT deveriam começar a pensar desde já em incorporar segurança em seus projetos de produtos de IoT.
Assinado pelo presidente dos EUA em 4 de dezembro, a IoT Cybersecurity Improvement Act de 2020 (IoT CIA) é a primeira lei federal que regula a segurança de dispositivos IoT, mas ela não deve ser surpresa para quem trabalha na área.
O Congresso propôs várias versões e realizou diversas audiências de comitês sobre segurança cibernética de IoT. Ao final, o conteúdo da lei atual acabou ficando semelhante aos primeiros esboços. Depende agora do National Institute of Standards and Technology (NIST) formalizar as regulamentações de IoT em articulação com a academia e o setor privado.
A Califórnia e vários outros estados influentes, além da União Europeia e do Reino Unido, estão se movimentando para regulamentar o setor de IoT, que é bastante carente de normas. As ações deles tiveram grande impacto nas leis globais de privacidade e segurança – assim como o NIST, que recentemente elaborou uma proposta de padrão para IoT e ajudou a desenvolver frameworks de melhores práticas em cibernética e privacidade.
O que a IoT CIA regulamenta
A lei considera que um dispositivo IoT tenha pelo menos um sensor ou atuador para interagir diretamente com o mundo físico, pelo menos uma interface de rede e a capacidade de funcionar por conta própria, não apenas como parte de um sistema maior. A lei exclui smartphones, laptops e outros dispositivos de computação.
A definição não é muito clara. Será que as novas regras se aplicam a sistemas de controle de automação industrial (IACS, na sigla em inglês), como sistemas de produção em uso no Bureau of Engraving and Printing, agência do Tesouro dos EUA responsável pela produção de papel-moeda? Elas se aplicam a sistemas de gestão predial (BMS, na sigla em inglês) usados em muitas instalações do governo americano? Caso sim, o governo e o setor privado podem esperar impactos substanciais.
A lei se aplica a dispositivos de IoT de propriedade de uma agência ou controlados por ela, conectados a um sistema de informação federal – definido pelo NIST como “um sistema de informação usado ou operado por uma agência executiva, por um contratante de uma agência executiva ou por outra organização em nome de uma agência executiva”.
Entre os requisitos da IoT CIA:
- Dispositivos de propriedade do governo federal ou controlados por ele que se conectam a um sistema de informação federal precisam cumprir as diretrizes que o NIST deverá elaborar até 4 de março. Caberá ao diretor do NIST revisar os requisitos a cada cinco anos para mantê-los atualizados com a tecnologia e os padrões mais recentes.
- O Office of Management and Budget deve exigir que as agências civis federais tenham políticas de segurança da informação compatíveis com as diretrizes do NIST dentro de 180 dias após a redação final dessas diretrizes (ou setembro de 2021).
- As regras federais de aquisição de IoT devem ser atualizadas para refletir as novas diretrizes.
- As agências federais agora serão obrigadas a adquirir, obter e renovar contratos apenas para dispositivos IoT que atendam às diretrizes de segurança.
- Agências federais e contratadas que fornecem sistemas de informação a elas devem ter políticas de divulgação de vulnerabilidades. Contratados e subcontratados envolvidos no desenvolvimento e venda de produtos IoT para o governo devem relatar as vulnerabilidades e como elas foram resolvidas.
Por que a lei é necessária? Vulnerabilidades e riscos de IoT
A maneira como as agências federais usam a IoT varia, e apenas uma pequena parte do mercado geral de IoT é constituída por clientes federais. Mas o uso da IoT pelo governo tende a apoiar processos críticos. Isso significa que uma violação pode ter sérias ramificações. Cada dispositivo IoT conectado a uma rede federal adiciona outra camada de vulnerabilidade a um ataque cibernético.
As agências usam dispositivos IoT para:
- Rastrear equipamentos, como veículos da frota ou bens da agência.
- Coletar dados ambientais. Os sensores da Environmental Protection Agency (EPA) em uma boia no rio Charles de Boston, por exemplo, monitoram a temperatura da água, o pH, os níveis de oxigênio e a proliferação de bactérias nocivas.
- Fazer vigilância. As torres de vigilância autônomas do Department of Homeland Security usam inteligência artificial para detectar e identificar “itens de interesse” para a segurança de fronteira.
Os proprietários de dispositivos devem protegê-los e monitorá-los para salvaguardar seus próprios ambientes e impedir que agentes mal-intencionados usem seus sistemas para atacar terceiros, como aconteceu no ataque DDoS da rede de robôs Mirai em 2016. Os proprietários e fabricantes de dispositivos IoT devem trabalhar juntos para adquirir, instalar, configurar e monitorar de maneira segura esses dispositivos IoT.
Embora a segurança tenha feito grandes avanços nos últimos anos, muitos sistemas embarcados, incluindo IoT, ainda carecem de controles básicos de segurança. As razões incluem restrições de hardware, custos de segurança e pressa para colocar os dispositivos no mercado.
- O hardware: as restrições nos dispositivos IoT impedem os controles de segurança padrão. Para usar controles tradicionais, como criptografia, é necessário aumentar a carga de sistemas com largura de banda limitada. Usar infraestruturas de chave pública (PKI, na sigla em inglês) significaria ter que atualizar certificados regularmente. Adicionar módulos de segurança de hardware (HSM, na sigla em inglês) aos produtos os tornaria mais caros. Além disso, rastrear a autenticidade e integridade dos componentes da IoT é difícil, porque a cadeia de suprimentos é muito complexa – tão difícil que um mecanismo confiável para verificar a integridade ainda não foi inventado.
- O firmware: o aumento do trabalho remoto aumentou os desafios do firmware de IoT. Um código mal escrito ou um backdoor inserido de forma maliciosa, incluindo código fornecido por terceiros, como “bibliotecas” de código, pode representar um risco oculto para uma empresa. O código de terceiros é especialmente difícil de rastrear, mas a National Telecommunications and Information Administration está desenvolvendo orientações para uma lista de materiais de software, ou seja, um inventário de componentes de software. Os dispositivos IoT costumam executar sistemas operacionais leves e de função única que tendem a não ter controles de segurança adequados. Esses dispositivos geralmente não são gerenciados, dificultando a correção do firmware. Além disso, a maioria dos dispositivos IoT carece de diretrizes de proteção e oferece apenas recursos mínimos para as configurações de auditoria.
- A rede: protocolos inseguros representam riscos à confidencialidade. Os dispositivos usam uma variedade de protocolos abertos e proprietários para se comunicar entre si e com sistemas externos como Bluetooth, Zigbee e Z-Wave, entre outros. Muitos desses protocolos não enfatizam a segurança, e isso pode levar à perda de dados de telemetria, aos chamados ataques man-in-the-middle ou à perda total do controle do dispositivo.
Revise seu portfólio de produtos e contratos para verificar se a nova lei afetará sua empresa.
Você faz dispositivo, firmware ou componentes de IoT para agências federais ou seus contratados?
Se sua empresa pode ser afetada, verifique se você já está alinhado (ou trabalhando para ficar alinhado) com a orientação existente do NIST e de outras agências federais e grupos setoriais.
Seu planejamento deve se concentrar em requisitos de segurança elevados, relatórios de vulnerabilidade, rastreabilidade de componentes de hardware e software e uma verificação completa dos riscos da cadeia de suprimentos de hardware e software.
Preste muita atenção ao NIST IR 8259 – Foundational Cybersecurity Activities for IoT Device Manufacturers. Como é o NIST que vai escrever as diretrizes obrigatórias, pressupõe-se que essas diretrizes vão seguir de perto esse documento.
As agências federais agora precisarão avaliar seus fabricantes de dispositivos IoT quanto à conformidade com as diretrizes da IoT CIA, além de observar as leis de segurança da informação existentes, incluindo a Federal Information Security Management Act (FISMA) e a Federal IT Acquisition Reform Act (FITARA).
Envolva-se em grupos de trabalho da indústria e contribua para o desenvolvimento das diretrizes em colaboração com o NIST.
No desenvolvimento de suas diretrizes, o NIST vai colaborar com o setor privado e especialistas acadêmicos. Esse período de colaboração é um excelente momento para participar do processo e influenciar os resultados.
Orientações existentes sobre cibersegurança da Internet das Coisas (IoT) |
|---|
| IoT Device Cybersecurity Guidance for the Federal Government NIST SP800-213 |
Foundational Cybersecurity Activities for IoT Device Manufacturers |
IoT Device Cybersecurity Capability Core Baseline |
IoT Non-Technical Supporting Capability Core Baseline |
Creating a Profile Using the IoT Core Baseline and Non-Technical Baseline |
Profile Using the IoT Core Baseline and Non-Technical Baseline for the Federal Government |
Requisitos de desenvolvimento de produto e 62443-4-2: Requisitos técnicos de segurança para componentes IACS |
| Pré e Pós-Gestão de Mercado de Cibersegurança em Dispositivos Médicos – Food and Drug Administration (FDA) Link |
| Padrões ISO Padrões ISO29147 and 30111 |
Contatos
.jpg.pwcimage.105.105.jpg)
