Desafios da IoT a partir de um novo cenário de regulamentações da cibersegurança
27 de novembro de 2023Os ataques cibernéticos à IoT aumentam a cada dia, se tornando mais sofisticados, difundidos e destrutivos
Os ataques cibernéticos à Internet das Coisas (IoT) aumentam a cada dia e, infelizmente, estão se tornando mais sofisticados, difundidos e destrutivos para qualquer negócio.
Temos acompanhado um grande número de exemplos em que centenas de milhares de dispositivos conectados foram atacados por malware que se espalhou por toda a rede, infectando PCs, servidores e ativos internos com ransomware, mineradores de criptografia, cavalos de Troia, botnets e muito mais.
Com um aumento de 41% nos ataques cibernéticos contra dispositivos de IoT só este ano, é imperativo que reforcemos estes dispositivos vulneráveis com segurança de ponta e também por meio de regulamentações.
De acordo com a Statista, prevê-se que o número de dispositivos de Internet das Coisas (IoT) em todo o mundo quase duplique, passando de 15,1 bilhões em 2020 para mais de 29 bilhões de dispositivos IoT em 2030.
Nos Estados Unidos, a Lei de Melhoria da Cibersegurança da IoT foi aprovada em 2020 e o Instituto Nacional de Normas e Tecnologia (NIST) foi incumbido de criar uma norma de cibersegurança para dispositivos IoT.
Em outubro de 2022, a Casa Branca emitiu uma ficha informativa para implementar um rótulo para dispositivos IoT, começando com roteadores e câmaras domésticas que indicam o seu nível de cibersegurança.
Na União Europeia, o Parlamento Europeu introduziu a Lei de Cibersegurança e a Lei de Resiliência Cibernética, que estabelecem vários requisitos a serem cumpridos pelos fabricantes antes de um produto poder receber a certificação CE e ser comercializado na Europa.
Isto inclui fases de avaliação, comunicação e gestão de ciberataques ou vulnerabilidades ao longo do ciclo de vida do produto.
No Brasil, o Plano Nacional de Internet das Coisas foi instituído pelo Decreto nº 9.854, de 25 de junho de 2019, cujo objetivo é implementar e desenvolver a IoT no país, “com base na livre concorrência e na livre circulação de dados, observadas as diretrizes de segurança da informação e de proteção de dados pessoais”.
Assim, o plano visa melhorar a qualidade de vida das pessoas e promover ganhos de eficiência nos serviços.
Como os elementos-chave das regulamentações de segurança de IoT criam melhores práticas a serem adotadas:
– Atualizações de software: os fabricantes devem oferecer a opção de atualizações de firmware e garantir a validade e a integridade das atualizações, em especial no que se refere às correções de segurança.
– Proteção de dados: os regulamentos seguem o conceito de “minimização de dados”, recolhendo apenas os dados necessários com o consentimento do usuário e tratando e armazenando de forma segura os dados confidenciais de forma criptografada.
– Avaliação de riscos: os criadores devem seguir um processo de gestão de riscos durante a fase de projeto e desenvolvimento, ao longo do ciclo de vida do produto, incluindo a análise de vulnerabilidades e exposições comuns (CVE), além de lançar correções para novas vulnerabilidades.
– Configuração dos dispositivos: os dispositivos devem ser lançados com configurações de segurança predefinidas e ter os componentes perigosos removidos, as interfaces fechadas quando não estão a ser utilizadas e uma superfície de ataque minimizada através do “princípio do menor privilégio” para os processos.
– Autenticação e autorização: os serviços e as comunicações devem exigir autenticação e autorização, com proteção contra os ataques de força bruta ao início de sessão e uma política de complexidade das senhas.
– Comunicação segura: a comunicação entre os ativos de IoT deve ser autenticada e criptografada utilizando protocolos e portas seguros.
Além disso, com o aumento da dependência que as organizações têm dos dispositivos de IoT para operações diárias, é crucial que permaneçam vigilantes e proativas na segurança desses dispositivos, e as principais medidas que podem ser tomadas para melhorar a segurança dos dispositivos de IoT são:
1. Aquisição de dispositivos de IoT de marcas conceituadas que dão prioridade à proteção, implementando medidas de segurança dentro dos dispositivos antes da sua distribuição para o mercado.
2. Praticar políticas de complexidade de senhas e utilizar autenticação de múltiplos fatores (MFA) quando aplicável.
3. Assegurar que os dispositivos conectados sejam atualizados com o software mais recente e manter a boa integridade do dispositivo.
4. Aplicação de perfis de acesso à rede Zero Trust para os ativos conectados.
5 .Separar redes para TI e IoT sempre que possível.
À medida que a tecnologia continua evoluindo, o mesmo acontece com a sofisticação e a frequência dos ataques cibernéticos. Ao implementar medidas de segurança robustas e conhecer mais sobre as ameaças e práticas recomendadas mais recentes, as organizações podem proteger melhor a si mesmas e aos seus dispositivos IoT contra os cibercriminosos.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. é um fornecedor líder em soluções de cibersegurança para empresas privadas e governos em todo o mundo. O portfólio de soluções do Check Point Infinity protege organizações privadas e públicas contra os ataques cibernéticos de 5ª geração com uma taxa de detecção de malware, ransomware e outras ameaças que é líder de mercado.
O Infinity compreende quatro pilares principais, oferecendo segurança total e prevenção contra ameaças avançadas em ambientes corporativos: Check Point Harmony, para usuários remotos; Check Point CloudGuard, para proteger nuvens automaticamente; Check Point Quantum, para proteger perímetros de rede e data centers, todos controlados pelo gerenciamento de segurança unificado mais abrangente e intuitivo do setor; e Check Point Horizon, uma suíte de operações de segurança que prioriza a prevenção. A Check Point Software protege mais de 100.000 organizações de todos os portes.
Entrevista com Fernando Parlangeli, da emnify, sobre IoT e a Futurecom 2023
Como a IoT viabiliza as Smart Cities? Executiva lista 4 benefícios
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.