A lei de segurança da IoT exige padrões

Para muitas equipes de desenvolvimento de IoT, a segurança continua sendo um item da lista de desejos que não vale o custo e o esforço necessários para implementação em um produto de consumo. Os consumidores não parecem dispostos a pagar a mais por recursos aprimorados de segurança cibernética ou evitar produtos sem esses recursos. As atividades legislativas, no entanto, estão começando a tornar a segurança um requisito legal para projetos de IoT de consumidor.

Falando na IoT World Today's IoT Security Summit, a gerente de programa do Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA, Katerina Megas, apontou que a legislação que exige que dispositivos IoT incorporem segurança já está em vigor em alguns estados e está sendo adicionada a lei federal também. Em janeiro de 2020, observou Megas, tanto a Califórnia quanto o Oregon promulgaram leis que exigem que os fabricantes de dispositivos conectados em seus estados equipem seus dispositivos com “recursos de segurança razoáveis”. Além disso, vários estados adicionais - incluindo Illinois, Massachusetts, Nova York e Virgínia - têm legislação semelhante pendente ou em consideração.

Megas também observou que o governo dos EUA está começando a criar uma legislação que exige a segurança da IoT. A Câmara dos Representantes dos EUA, por exemplo, apresentou o H.R. 1668 - A Lei de Melhoria da Segurança Cibernética da Internet das Coisas de 2020 em março. A lei exige a criação de “padrões e diretrizes para o Governo Federal sobre o uso adequado e gerenciamento por agências de dispositivos de Internet das Coisas de propriedade ou controlados por uma agência e conectados a sistemas de informação de propriedade ou controlados por uma agência, incluindo segurança mínima da informação requisitos para o gerenciamento de riscos de segurança cibernética associados a tais dispositivos. ” Foi aprovada pela Câmara e pelo Senado e foi sancionada em 4 de dezembro; as normas e diretrizes devem ser publicadas em até 90 dias.

Leis que obrigam a implementação de recursos de segurança em dispositivos IoT agora estão começando a ser promulgadas.

Embora o H.R. 1668 se aplique apenas aos sistemas IoT usados ​​pelo governo dos EUA, ele marca o início dos mandatos de segurança cibernética que, em última instância, se aplicarão aos EUA também para sistemas industriais e de consumo. Em 2019, o Congresso estabeleceu a Cyberspace Solarium Commission para desenvolver uma abordagem estratégica para os EUA se defenderem no ciberespaço. O primeiro relatório dessa comissão continha mais de 80 recomendações, incluindo mais de 50 propostas legislativas para ajudar a implementar a estratégia de defesa em camadas da comissão. Muitas dessas propostas não afetam apenas os sistemas do governo, mas também se aplicam aos sistemas industriais e de consumo.

Três propostas específicas merecem atenção aguda das equipes de desenvolvimento de IoT. Um apela aos EUA para aprovar uma lei de segurança de IoT exigindo "medidas de segurança razoáveis" em alinhamento com as recomendações do NIST, como NISTIR 8259 - Atividades de segurança cibernética fundamentais para fabricantes de dispositivos de IoT. Outra proposta exige o estabelecimento de uma Autoridade Nacional de Certificação e Rotulagem de Segurança Cibernética, que verificará a conformidade dos dispositivos de IoT com os requisitos. Além disso, esta proposta exige que essa autoridade expanda seu escopo além dos sistemas IoT federais e industriais para abranger produtos eletrônicos pessoais e de consumo.

A terceira proposta que merece atenção tem o potencial de anular quaisquer objeções econômicas à implementação da segurança da IoT no design que possam permanecer. Esta proposta prevê o estabelecimento de responsabilidade para os montadores de bens finais. Se implementado, os fabricantes de dispositivos IoT para venda serão responsáveis ​​por danos caso seus dispositivos deixem de proteger contra vulnerabilidades conhecidas. Em outras palavras, a segurança da IoT se tornará um recurso “obrigatório”, independentemente de estimular os consumidores a gastar mais ou não. O risco de não implementar a segurança será simplesmente muito alto.

Os “recursos de segurança razoáveis” que toda essa legislação exige ainda estão, por enquanto, apenas vagamente definidos. Nas leis da Califórnia e do Oregon, de acordo com Megas, a definição de "razoável" simplesmente exige medidas que sejam apropriadas para a função do dispositivo e as informações que ele manipula, e procuram prevenir o acesso não autorizado, divulgação, uso, modificação ou destruição de essa informação. Medidas específicas não são definidas.

Nem é provável que sejam. Como Megas apontou na apresentação, uma filosofia orientadora para o NIST ao recomendar medidas de segurança cibernética é que um tamanho não serve para todos. Medidas específicas, portanto, não estão sendo codificadas nessas leis. Em vez disso, os esforços estão adotando uma abordagem baseada em resultados. As leis que estão chegando, que exigirão projetos de IoT para implementar a segurança cibernética, não especificarão como isso deve ser feito. Essa determinação continuará com as equipes de desenvolvimento. Mas a necessidade de segurança de IoT e a funcionalidade de sua implementação estão a caminho de evoluir do bom senso para um requisito legal.

>> Este artigo foi publicado originalmente em nosso site irmão, EDN.