Protegendo dispositivos IoT do consumidor:Por que um padrão global é necessário

Para os consumidores, o crescimento da Internet das Coisas (IoT) significa que mais e mais objetos em suas casas estão agora conectados à Internet e estão potencialmente em risco de ataques cibernéticos ou de revelar dados pessoais em violações de privacidade.

Nos últimos anos, disse Alex Leadbeater, presidente da ETSI Comitê Técnico de Segurança Cibernética (TC CYBER), tem havido um número crescente de relatórios desse tipo de problema de IoT do consumidor. Por exemplo, pesquisadores de segurança descobriram recentemente que ZipaMicro , um hub de casa inteligente, usava a mesma chave privada em cada hub, codificada nos dispositivos. Combinado com senhas embaralhadas que encontraram na internet, isso permitiu aos pesquisadores abrir fechaduras controladas pelo hub.

Dispositivos de risco incluem brinquedos conectados, que podem conter câmeras e microfones que podem ser acessados ​​remotamente. Além dos ataques pela internet, alguns brinquedos agora usam Bluetooth, o que é uma fraqueza potencial. Alto-falantes inteligentes, como Amazon 'S Echo também são vulneráveis ​​a hackers ouvindo conversas privadas.

Esses tipos de problemas geralmente são corrigidos rapidamente pelos fornecedores de dispositivos, uma vez que são alertados sobre novos produtos, mas isso pode ser tarde demais e há uma abordagem inconsistente para consertar ou recuperar aqueles que já estão no mercado. Os governos estão tentando trazer legislação para impor padrões mais elevados - por exemplo, o Reino Unido está prestando consultoria sobre novas leis, que podem incluir a rotulagem obrigatória de produtos e padrões mínimos. Os EUA não estão muito atrás, com a Califórnia já banindo as senhas padrão genéricas. Em termos de proteção de dados, existem leis, como o GDPR da UE, que se aplicam a todas as informações pessoais armazenadas.

Mas isso pode dificultar a vida dos fornecedores de produtos - como eles podem garantir que atendam a diferentes conjuntos de requisitos de maneira econômica em diferentes países, em um mercado em rápida mudança onde as regulamentações ainda estão sendo definidas?

Padrão fornece recomendações de segurança

Para resolver esse problema, a ETSI anunciou recentemente o ETSI TS 103 645, o primeiro padrão global para segurança IoT do consumidor. O novo padrão visa estabelecer uma referência de como as empresas devem proteger quaisquer produtos de consumo que serão conectados à Internet e promover as melhores práticas.

Ao mesmo tempo, ele foi escrito com foco nos resultados em vez de em metodologias específicas, o que significa que há flexibilidade suficiente para permitir que as empresas inovem e encontrem a melhor solução para seus produtos específicos. O padrão visa atender às necessidades de uma ampla gama de dispositivos conectados, incluindo brinquedos, rastreadores de fitness vestíveis, assistentes domésticos inteligentes, TVs inteligentes, fechaduras e sistemas de automação residencial.

Vejamos os conselhos do novo padrão do ETSI e como ele tornará os dispositivos de consumo conectados mais seguros.

Requisitos do dispositivo

Em primeiro lugar, o padrão diz que todas as senhas de dispositivos devem ser exclusivas - superando o problema hoje em que muitos produtos são vendidos com um nome de usuário e senha padrão, que os usuários muitas vezes não alteram. Ele também diz que deve ser impossível redefinir a senha de volta ao padrão. É surpreendente que muitos produtos no mercado ainda não atendam a este ou outros requisitos mais básicos do novo padrão.

A proteção de dados pessoais é uma parte importante do padrão e requer que todas as informações confidenciais sejam armazenadas com segurança - tanto nos próprios dispositivos quanto em quaisquer serviços relacionados, como na nuvem. Os dispositivos não devem ter credenciais codificadas, pois são relativamente fáceis de descobrir.

Os produtos precisam tornar mais fácil para os consumidores excluir seus dados pessoais quando quiserem, com instruções claras fornecidas. Da mesma forma, a instalação e o uso de dispositivos IoT devem ser simples e bem documentados. Os dados também devem ser protegidos e criptografados quando estão sendo comunicados. Os dispositivos devem fornecer proteção adequada contra ataques de criptografia.

Todos os dispositivos conectados precisam seguir boas práticas de engenharia de segurança, como fechar software não utilizado e portas de rede para minimizar o risco de ataque. Todos os dados inseridos devem ser validados, para evitar explorações, como o uso de valores fora do intervalo. Os dispositivos também devem ser capazes de verificar seu software usando algum tipo de mecanismo de inicialização segura baseado em hardware e lidar com qualquer falha de energia ou rede com êxito.

Além dos requisitos para os próprios dispositivos, o padrão ETSI tem demandas específicas para fornecedores de produtos. Isso inclui buscar e agir sobre as vulnerabilidades prontamente.

E o software do dispositivo deve ser capaz de ser atualizado com facilidade e segurança.

Aumentando a confiança do consumidor

Os consumidores estão justificadamente preocupados com a segurança da IoT. O novo padrão é uma forma inestimável para os fornecedores reconstruírem a confiança de seus clientes. Seguindo suas orientações, os fabricantes podem garantir que seus produtos atendam aos níveis adequados de segurança e privacidade. Isso significa que os clientes estão protegidos e as empresas podem evitar violações caras e o impacto da publicidade negativa.

Mais importante ainda, o padrão ETSI é uma mudança radical para os consumidores, dando-lhes a confiança de que sua segurança, privacidade e segurança não serão colocadas em risco pelo uso de dispositivos conectados.

Você pode ler o padrão ETSI aqui

O autor é Alex Leadbeater, presidente do Comitê Técnico de Segurança Cibernética ETSI (TC CYBER).