Os regulamentos de segurança de IoT mais recentes têm alcance suficiente?

Tem havido uma onda de regulamentações em todo o mundo, à medida que os governos buscam abordar a segurança da IoT. É um passo positivo, indicando que o mercado está amadurecendo, mas regulamentar o espaço da IoT tem seus desafios. Esses movimentos inevitavelmente encontraram resistência daqueles que sugerem que podem criar montanhas de resíduos de IoT e outros que dizem que podem impedir a inovação.

Conseqüentemente, cada legislação é ligeiramente diferente. Mas como essas regulamentações irão moldar a evolução da regulamentação que virá, tornando importante considerarmos as medidas que estão sendo tomadas, onde elas se destacam e onde são insuficientes, diz Ken Munro, sócio da Pen Test Partners.

1. The IoT Cybersecurity Improvement Act 2017 (EUA): Com o objetivo de controlar a IoT dentro do governo dos EUA, a Lei de Melhoria da Segurança Cibernética da IoT pode ter implicações profundas para o desenvolvimento da IoT. Os dispositivos não devem apresentar falhas de segurança conhecidas no banco de dados NIST, devem oferecer suporte a atualizações, devem usar credenciais fixas ou codificadas para administração remota, atualizações e comunicação e as vulnerabilidades devem ser divulgadas e reparadas. No entanto, limitar as falhas ao NIST pode fazer com que problemas comuns não listados, como injeção de SQL em aplicativos de clientes, sejam negligenciados. Ele também falha em reconhecer que muitos protocolos de RF são projetados para usar nenhuma credencial, portanto, esses dispositivos precisariam ser descartados ou atualizados para suportar um protocolo sem fio mais rígido. A lei ainda não foi aprovada e outros na mesa incluem Smart IoT Act, DIGIT Act, Security IoT Act, Cyber ​​Shield Act e IoT Consumer TIPS Act.
2. Lei de Cibersegurança (UE): Em vigor a partir de maio de 2018, a legislação verá a Agência da União Europeia para Rede e Segurança da Informação (ENISA) se tornar a agência de segurança cibernética e uma estrutura de certificação criada para certificar carros conectados e produtos inteligentes em todos os estados membros da UE. A Lei de Segurança Cibernética será obrigatória apenas para Infraestrutura Nacional Crítica. Os fabricantes podem solicitar que seus dispositivos IoT sejam classificados em um esquema de certificação como "básico", "substancial" ou "alto", mas o sistema é voluntário. Em uma tentativa de atraí-los, aqueles que buscam o nível "básico" podem "realizar eles próprios testes de conformidade". A documentação afirma que a ENISA terá o poder de “emitir avisos dirigidos aos fornecedores e fabricantes para melhorar a segurança”, mas não há menção de como isso será aplicado. Ele faz provisões para reclamações, permitindo que lobistas e pesquisadores de segurança denunciem e divulgem de forma responsável em todo o sindicato.
3. SB-327 (EUA): Aprovado em agosto de 2018, o SB-327 torna a Califórnia o primeiro estado dos EUA a regulamentar a tecnologia inteligente. Ele exige alguns padrões básicos de segurança para dispositivos de consumo e entrará em vigor a partir de janeiro de 2020. No entanto, a redação é vaga se referindo à segurança “apropriada” que é “projetada para proteger”. A maioria dos dispositivos pode alegar ter a intenção de proteger o dispositivo / dados, evitando assim os requisitos. Torna obrigatórias as senhas exclusivas, mas não resolve a questão de saber se há uma boa fonte de entropia no dispositivo. Os varejistas também estão fora do gancho, o que poderia ver os mercados atulhados com tecnologia não compatível antes de 2020. Não há requisitos declarados para que esses dispositivos ofereçam suporte a atualizações.
4. Código de prática para a segurança de IoT do consumidor (Reino Unido): Com base na proposta preliminar Secure by Design lançada em março, a CoP emitida pelo Digital, Culture, Media and Sport (DCMS) agora incorpora o Regulamento Geral de Proteção de Dados (GDPR). Embora de amplo alcance, fornecendo diretrizes para fabricantes, desenvolvedores de aplicativos móveis, provedores de serviços e varejistas, é voluntário. A CoP declara que as senhas padrão não devem ser usadas, as credenciais e os dados confidenciais de segurança devem ser armazenados com segurança e o software deve ser mantido atualizado. No entanto, embora recomende o uso de uma política de divulgação de vulnerabilidade, não exige que os fornecedores emitam uma correção. No entanto, é um passo muito positivo para a segurança da IoT do consumidor.

O que está claro é que as autoridades são a favor de uma abordagem suave e branda que levanta a questão:esses padrões serão observados voluntariamente? Os fornecedores de IoT estão sob intensa pressão para colocar seus produtos no mercado. Para eles, a adoção de qualquer forma de regulamentação por conta própria exigiria que houvesse uma vantagem significativa para eles ... ou repercussões.

É aqui que o próprio mercado pode aplicar mais pressão. Dê aos consumidores o direito de devolver bens inteligentes vulneráveis ​​para crédito, consagrando isso na legislação de padrões comerciais. Incentive o setor de varejo a se comprometer a não estocar dispositivos vulneráveis. Os fabricantes teriam então mais incentivos para capitular, inscrever-se em esquemas de classificação e submeter seus dispositivos a testes.

No momento, é muito cedo para dizer quão eficaz será a autorregulação. Precisamos deixar a legislação cair e dar ao setor a chance de se adaptar ao que pode ser um momento crucial para a IoT. Só então podemos avaliar onde precisamos aplicar mais medidas punitivas.

O autor deste blog é Ken Munro, parceiro, Pen Test Partners. Ele informa regularmente os departamentos do governo do Reino Unido e dos Estados Unidos, além de estar envolvido com vários conselhos de consumidores da UE sobre a regulamentação da IoT.