A Importância da Preparação para o Novo Panorama do Regulamento de Segurança Cibernética IoT

A Importância da Preparação para o Novo Panorama do Regulamento de Segurança Cibernética IoT

A Internet of things (IoT) está a expandir-se rapidamente

Nos Estados Unidos, o IoT Cybersecurity Improvement Act foi aprovado em 2020, e o National Institute of Standards and Technology (NIST) foi encarregue de criar um padrão de segurança cibernética para dispositivos IoT

A Check Point introduziu o Quantum IoT Embedded para ajudar os fabricantes a garantir os seus dispositivos com um esforço mínimo.

Segundo a Check Point Software, fornecedor líder mundial de soluções de segurança cibernética, a Internet of things (IoT) está a expandir-se rapidamente, e o número de dispositivos conectados está a aumentar a um ritmo acelerado. Com a crescente dependência dos dispositivos da Internet das coisas, a necessidade de medidas fortes de cibersegurança tornou-se pertinente. Para proteger a informação pessoal armazenada nestes dispositivos, os governos de todo o mundo introduziram regulamentos destinados a melhorar a segurança padrão dos dispositivos de Internet sem fios.

Regulamentos de Segurança Cibernética da Internet sem fios nos EUA e na UE

Nos Estados Unidos, o IoT Cybersecurity Improvement Act foi aprovado em 2020, e o National Institute of Standards and Technology (NIST) foi encarregue de criar um padrão de segurança cibernética para dispositivos IoT. Em Maio de 2021, a administração Biden lançou uma Ordem Executiva para melhorar a segurança cibernética nacional, e em Outubro de 2022, a Casa Branca lançou uma Ficha Informativa para implementar um rótulo para dispositivos IoT, começando por routers e câmaras domésticas, para indicar o seu nível de segurança cibernética.

Na União Europeia, o Parlamento Europeu introduziu a Lei de Cibersegurança e a Lei de Ciber-Resiliência, que impõem vários requisitos a cumprir pelos fabricantes antes de um produto poder receber a marcação CE e ser colocado no mercado europeu. Isto inclui fases de avaliação e de comunicação e gestão de ciberataques ou vulnerabilidades ao longo de todo o ciclo de vida do produto. O Regulamento Geral de Proteção de Dados (GDPR) também se aplica às empresas que operam na UE e exige que estas implementem medidas técnicas e organizacionais adequadas para proteger os dados pessoais.

Elementos-chave do Regulamento de Segurança da IOT

Para cumprirem os regulamentos, os fabricantes devem implementar os seguintes elementos-chave:

1. Atualizações de software: Os fabricantes devem fornecer a opção de atualizações de firmware e assegurar a validade e integridade das atualizações, particularmente para os patches de segurança.

2. Proteção de dados: Os regulamentos seguem o conceito de "minimização de dados", recolhendo apenas os dados necessários com o consentimento do utilizador e tratando e armazenando de forma segura os dados sensíveis de uma forma codificada.

3. Avaliação dos riscos: Os programadores devem seguir um processo de gestão de risco durante a fase de conceção e desenvolvimento e durante todo o ciclo de vida do produto, incluindo a análise das Vulnerabilidades e Exposições Comuns (CVE) e a libertação de patches para novas vulnerabilidades.

4. Configuração do dispositivo: Os dispositivos devem ser lançados com uma configuração por defeito de segurança e ter os componentes perigosos removidos, as interfaces fechadas quando não estão a ser utilizadas, e uma superfície de ataque minimizada através do "princípio do menor privilégio" para processos.

5. Autenticação e Autorização: Os serviços e comunicações devem exigir autenticação e autorização, com proteção contra ataques de login por força bruta e uma política de complexidade de senha.

6. Comunicação Segura: A comunicação entre os ativos da IdC deve ser autenticada e encriptada, utilizando protocolos e portas seguras.

Regulamento de Navegação com Ponto de Verificação Quantum IoT Protect

No entanto, o cumprimento destes regulamentos pode ser um desafio devido à sua complexidade. Para facilitar o processo, várias certificações e normas tais como UL MCV 1376, ETSI EN 303 645, ISO 27402, e NIST.IR 8259 foram introduzidas para decompor a regulamentação em etapas práticas.

A Check Point introduziu o Quantum IoT Embedded para ajudar os fabricantes a garantir os seus dispositivos com um esforço mínimo. A solução inclui um serviço de avaliação de risco e um Nano Agent® que pode ser incorporado num dispositivo IoT para fornecer proteção em tempo de funcionamento do dispositivo contra ciberataques. O Nano Agent® é uma solução autónoma que pode ser adicionada a um produto sem alteração de código intrusivo e requer apenas recursos mínimos.