O desenvolvimento da segurança e regulamentação para dispositivos IoT se tornou uma séria preocupação para empresas de tecnologia e agências do governo. Isso porque foram registrados inúmeros casos de comprometimento dos dispositivos - como babás eletrônicas, geladeiras smart, termostatos, câmeras… - comprometendo o crescimento das redes IoT. Outro fator de alerta tem sido a coleta dos dados por empresas e provedores que colocam em risco a privacidade e impersonificação do usuário, devido à falta de transparência sobre quem tem acesso aos dados coletados e como estes são usados por terceiros.
Órgãos voltados à segurança cibernética estão fazendo publicações a fim de ajudar organizações a melhor entender e gerenciar os riscos de cibersegurança e privacidade associados aos dispositivos IoT. Duas publicações relevantes a serem apresentadas são: NISTIR 8228 e OWASP Internet of Things Project.
No documento NISTIR 8228 - Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks, desenvolvido pelo NIST, destacam-se 3 metas:
- Proteção do dispositivo
- Proteção dos Dados
- Proteção da Privacidade do Usuário
1. Áreas de mitigação de risco para proteger a segurança do dispositivo:
- Gerenciamento de ativos: mantenha um inventário atual e preciso de todos os dispositivos de IoT e suas características relevantes em todo o ciclo de vida dos dispositivos, a fim de usar essas informações para fins de segurança cibernética e gerenciamento de riscos de privacidade.
- Gerenciamento de vulnerabilidades: identifique e elimine vulnerabilidades conhecidas no software e no firmware do dispositivo IoT para reduzir a probabilidade e a facilidade de exploração e comprometimento.
- Gerenciamento de acesso: impeça o acesso físico e lógico não autorizado, o uso e a administração de dispositivos IoT por pessoas, processos e outros dispositivos de computação.
- Detecção de incidentes de segurança do dispositivo: monitore e analise a atividade do dispositivo IoT em busca de sinais de incidentes envolvendo a segurança do dispositivo.
2. Áreas de mitigação de risco para proteger a segurança de dados:
- Proteção de dados: impeça o acesso e adulteração de dados em repouso ou em trânsito que possam expor informações confidenciais ou permitir a manipulação ou a interrupção de operações do dispositivo IoT.
- Detecção de incidentes de segurança de dados: monitore e analise a atividade do dispositivo IoT em busca de sinais de incidentes envolvendo segurança de dados.
3. Áreas de mitigação de risco para proteger a privacidade das pessoas:
- Gerenciamento de fluxo de informações: manter um mapeamento atual e preciso do ciclo de vida das informações de PII (personally identifiable information).
- Gerenciamento de permissões de processamento de PII: mantenha as permissões de processamento de PII para evitar o processamento de PII não-autorizados.
- Tomada de decisão informada: permita que os indivíduos entendam os efeitos do processamento e das interações de PII com o dispositivo, participem da tomada de decisões sobre o processamento ou interação de PII e resolvam problemas.
- Gerenciamento de dados desassociados: identifique o processamento PII autorizado e determine como as PII podem ser minimizadas ou desassociadas de indivíduos e dispositivos IoT.
- Detecção de violação de privacidade: monitore e analise a atividade do dispositivo IoT em busca de sinais de violação envolvendo a privacidade de indivíduos.
Já a publicação OWASP IoT Project Top 10 apresenta os 10 principais aspectos que devem ser evitados quando construir, implementar ou gerenciar dispositivos IoT (coluna 3 da tabela).
Para melhor compreensão, a tabela abaixo resume as 2 tecnologias, agrupadas pelos objetivos de proteção indicados pelo NIST.
|
|
É altamente recomendado o estudo na íntegra de ambas publicações para àqueles que desejam se aprofundar no tema de segurança de IoT.
|
|
