O padrão ETSI IoT:os reguladores estão fazendo o suficiente para proteger os dispositivos IoT?

O anúncio de um novo padrão para a segurança da Internet das Coisas (IoT) pelo ETSI comitê técnico em junho de 2020 foi muito bem-vindo na indústria de infosec. O ETSI EN 303 645 estabelece uma linha de base de segurança para produtos conectados à Internet e estabelece 13 disposições que descrevem as etapas que os fabricantes podem seguir para proteger os dispositivos e garantir a conformidade. Alan Grau , vice-presidente de IoT e soluções incorporadas, Sectigo relatórios.

A nova regulamentação segue uma tendência crescente de legisladores e reguladores despertando para a questão urgente da segurança cibernética na Internet das Coisas. Na sequência do SB-327 da Califórnia, que entrou em vigor no início de 2020, e do modelo "Rascunho de Código de Prática:Protegendo a Internet das Coisas para os Consumidores" da Austrália 2019, ficou claro que os governos e organismos internacionais estavam começando a lidar com o desafio de frente.

Quando o Reino Unido anunciou sua nova estrutura de IoT em janeiro de 2020, a mudança reforçou o argumento de que a segurança da IoT havia sido insuficiente por anos e os reguladores estavam prontos para alterá-la.

No entanto, a questão permanece:essas legislações e padrões estão fazendo o suficiente para lidar com a segurança dos dispositivos IoT?

O papel da legislação na proteção da IoT

Por muitos anos, os dispositivos operariam em redes proprietárias fechadas, protegidas por um perímetro defensável. Com o advento da Internet, esses sistemas tornaram-se cada vez mais ligados entre si via TCP / IP. Os benefícios disso foram muito discutidos, sendo os dispositivos IoT uma peça central na vida dos consumidores, bem como nas redes das empresas. E seu crescimento continua imparável:casa de analistas IDC prevê que até 2025, haverá 41,6 bilhões de dispositivos IoT conectados em uso.

No entanto, o consenso legislativo não tem conseguido acompanhar esse crescimento. À medida que o mercado se expandiu, novos fornecedores e fabricantes frequentemente reduziram os preços dos concorrentes, para criar uma oferta de mercado popular e acessível. Cortar custos pode colocar as soluções no mercado rapidamente, mas muito poucos estão investindo tempo e foco organizacional para incorporar níveis apropriados de autenticação e segurança.

Na ausência de uma estrutura legislativa de IoT eficaz, os fabricantes passaram décadas produzindo dispositivos com pouca ou nenhuma segurança embutida, muitas vezes apenas com credenciais estáticas como barreira para os criminosos cibernéticos. A menos que a segurança se torne obrigatória, os fabricantes continuarão a economizar em detrimento da segurança. Somente a legislação e a governança completa podem garantir que a segurança da IoT seja implementada por design, no ponto de fabricação e durante todo o ciclo de vida do dispositivo.

Os pequenos passos em direção à segurança

Por um lado, é ótimo ver etapas progressivas feitas para proteger os dispositivos IoT. Por outro lado, é claro que ainda há mais mudanças a serem feitas e um consenso mais amplo precisa ser alcançado.

Olhando para os EUA, por exemplo, o SB-327 estabeleceu uma estrutura clara para os fabricantes usarem ferramentas de segurança e autenticação de próxima geração. Foi um passo importante, projetado para atingir botnets que revelaram sérias inadequações nas práticas de segurança anteriores. Infelizmente, era uma legislação isolada, específica para o estado da Califórnia e não vinculativa nacionalmente.

Olhando através das lentes da ETSI EN 303 645, uma conclusão semelhante pode ser alcançada. Isso é o resultado da colaboração entre figuras da indústria, acadêmicos e governos e, ainda assim, o novo padrão não é exeqüível e legalmente vinculativo.

Embora apresente um único objetivo para os fabricantes e as partes interessadas da IoT, ainda haverá alguns na indústria que tendem a implementar processos de segurança frouxos, porque é mais barato e muitas vezes simplesmente porque eles podem, sem serem responsabilizados.

É importante criar padrões com visão de futuro que abordem o desafio da segurança em toda a IoT, mas isso precisa ser complementado com uma agenda legislativa, que garanta que os fabricantes obedeçam a uma estrutura de segurança cibernética ao criar dispositivos.

Por que integrado é melhor

É claro que os governos e os órgãos do setor precisam ser mais ativos na criação de um consenso de segurança de IoT, mas há algumas discussões sobre quais são as melhores práticas para proteger esses dispositivos. Algo que agora é comumente conhecido é a importância da segurança embutida e da autenticação PKI no ponto de fabricação. Com cadeias de suprimentos cada vez mais complicadas, a ênfase está no OEM para garantir que o dispositivo seja seguro no momento em que é criado.

Para autenticar e criptografar o dispositivo, a PKI precisa ser embutida para que não possa ser violada ao longo da cadeia de suprimentos por agentes mal-intencionados. Somente se o chipset for autenticado e protegido por certificados desde o estágio de fundição de fabricação, ele permanecerá seguro durante todo o ciclo de vida do dispositivo.

Cadeias de suprimentos globais - hora dos padrões globais?

A IoT está trazendo conectividade sem paralelo entre dispositivos, pessoas e empresas, mas também traz riscos para redes domésticas e empresariais. O enorme crescimento da indústria complicou o processo de fabricação, de modo que agora os dispositivos são criados em cadeias de suprimentos de grande complexidade e além de fronteiras internacionais.

Para enfrentar esse desafio problemático, é hora de as legislaturas trabalharem juntas para criar um consenso global que proteja os dispositivos em todos os estágios de seu ciclo de vida. Somente dessa forma as cadeias de suprimentos e produtos finais permanecerão seguros, e os riscos à propriedade, à vida e à segurança dos dados serão mantidos sob controle.

O autor é Alan Grau, vice-presidente de IoT e soluções incorporadas da Sectigo.