Saiba como adaptar-se ao novo panorama de cibersegurança IoT com a Check Point Software. Conheça os requisitos e certificações necessários.
Check Point Software explica como se adaptar ao novo panorama de cibersegurança IoT
Com a rápida expansão da Internet das Coisas (IoT), governos em todo o mundo estão introduzindo regulamentações para melhorar a segurança padrão desses dispositivos. Na União Europeia, o Parlamento Europeu introduziu a Lei de Cibersegurança e a Lei de Ciber-resiliência, que impõem vários requisitos que os fabricantes devem cumprir antes de um produto poder receber a marcação CE e ser colocado no mercado europeu.
Nos Estados Unidos, o IoT Cybersecurity Enhancement Act foi aprovado em 2020 e o National Institute of Standards and Technology (NIST) foi encarregue de criar uma norma de cibersegurança para a IoT. Em maio de 2021, a administração Biden emitiu uma Ordem Executiva para melhorar a segurança cibernética nacional, e em outubro de 2022, a Casa Branca emitiu uma nota informativa para implementar uma etiqueta para dispositivos IoT, começando pelos routers domésticos e câmaras, para indicar o seu nível de cibersegurança.
A Check Point Software explica que, a fim de proteger as informações pessoais armazenadas nesses dispositivos conectados, os governos de todo o mundo estão introduzindo regulações destinadas a melhorar a sua segurança padrão. Para cumprir esses novos regulamentos e normas de segurança, a Check Point Software detalha seis elementos-chave que os fabricantes de dispositivos IoT terão de começar a implementar:
1. Atualizações de software: os fabricantes devem fornecer a opção de atualizações de firmware e garantir a sua validade e integridade, especialmente para os patches de segurança.
2. Proteção de dados: os regulamentos seguem o conceito de “minimização de dados”, recolhendo apenas os dados necessários com o consentimento do utilizador e tratando e armazenando de forma segura os dados sensíveis de forma encriptada.
3. Avaliação de riscos: os fabricantes devem seguir um processo de gestão de risco durante a fase de conceção e desenvolvimento e durante todo o ciclo de vida do produto, incluindo a análise de vulnerabilidades e exposições comuns (CVE) e a libertação de patches para novas vulnerabilidades.
4. Configuração de dispositivos: os dispositivos devem ser entregues com configurações de segurança por defeito e ter os componentes perigosos removidos, as interfaces fechadas quando não estão a ser usadas e uma superfície de ataque minimizada através do “princípio do menor privilégio” para processos.
5. Autenticação e autorização: serviços e comunicações devem exigir autenticação e autorização, com proteção contra ataques de login por força bruta e uma política de complexidade de passwords.
6. Comunicação segura: a comunicação entre os ativos da IoT deve ser autenticada e encriptada, utilizando protocolos e portas seguras.
No entanto, o cumprimento desses regulamentos pode ser um desafio devido à sua complexidade. Para facilitar o processo, existem várias certificações e normas tais como UL MCV 1376, ETSI EN 303 645, ISO 27402 e NIST. O IR 8259 foi introduzido para decompor os regulamentos em etapas práticas.
“A introdução da Quantum IoT Embedded pretende ajudar os fabricantes a proteger os seus dispositivos com um esforço mínimo”, diz Bruno Duarte, Security Engineer Team Leader da Check Point Software Portugal. “A solução inclui um serviço de avaliação de risco e a solução independente Nano Agent que pode ser integrada em dispositivos IoT para fornecer proteção em tempo real contra ciberataques.”