Considerações para a segurança de dispositivos IOT

O desenvolvimento da segurança e regulamentação para dispositivos IoT se tornou uma séria preocupação para empresas de tecnologia e agências do governo.  Isso porque foram registrados inúmeros casos de comprometimento dos dispositivos - como babás eletrônicas, geladeiras smart, termostatos, câmeras… - comprometendo o crescimento das redes IoT.  Outro fator de alerta tem sido a coleta dos dados por empresas e provedores que colocam em risco a privacidade e impersonificação do usuário, devido à falta de transparência sobre quem tem acesso aos dados coletados e como estes são usados por terceiros.

Órgãos voltados à segurança cibernética estão fazendo publicações a fim de ajudar organizações a melhor entender e gerenciar os riscos de cibersegurança e privacidade associados aos dispositivos IoT. Duas publicações relevantes a serem apresentadas são: NISTIR 8228 e OWASP Internet of Things Project.

No documento NISTIR 8228 - Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks, desenvolvido pelo NIST, destacam-se 3 metas:

  1. Proteção do dispositivo
  2. Proteção dos Dados
  3. Proteção da Privacidade do Usuário

 

      1.  Áreas de mitigação de risco para proteger a segurança do dispositivo:

  • Gerenciamento de ativos: mantenha um inventário atual e preciso de todos os dispositivos de IoT e suas características relevantes em todo o ciclo de vida dos dispositivos, a fim de usar essas informações para fins de segurança cibernética e gerenciamento de riscos de privacidade.
  • Gerenciamento de vulnerabilidades: identifique e elimine vulnerabilidades conhecidas no software e no firmware do dispositivo IoT para reduzir a probabilidade e a facilidade de exploração e comprometimento.
  • Gerenciamento de acesso: impeça o acesso físico e lógico não autorizado, o uso e a administração de dispositivos IoT por pessoas, processos e outros dispositivos de computação.
  • Detecção de incidentes de segurança do dispositivo: monitore e analise a atividade do dispositivo IoT em busca de sinais de incidentes envolvendo a segurança do dispositivo.

 

      2.  Áreas de mitigação de risco para proteger a segurança de dados:

  • Proteção de dados: impeça o acesso e adulteração de dados em repouso ou em trânsito que possam expor informações confidenciais ou permitir a manipulação ou a interrupção de operações do dispositivo IoT.
  • Detecção de incidentes de segurança de dados: monitore e analise a atividade do dispositivo IoT em busca de sinais de incidentes envolvendo segurança de dados.

 

      3.  Áreas de mitigação de risco para proteger a privacidade das pessoas:

  • Gerenciamento de fluxo de informações: manter um mapeamento atual e preciso do ciclo de vida das informações de PII (personally identifiable information).
  • Gerenciamento de permissões de processamento de PII: mantenha as permissões de processamento de PII para evitar o processamento de PII não-autorizados.
  • Tomada de decisão informada: permita que os indivíduos entendam os efeitos do processamento e das interações de PII com o dispositivo, participem da tomada de decisões sobre o processamento ou interação de PII e resolvam problemas.
  • Gerenciamento de dados desassociados: identifique o processamento PII autorizado e determine como as PII podem ser minimizadas ou desassociadas de indivíduos e dispositivos IoT.
  • Detecção de violação de privacidade: monitore e analise a atividade do dispositivo IoT em busca de sinais de violação envolvendo a privacidade de indivíduos.

 

Já a publicação OWASP IoT Project Top 10 apresenta os 10 principais aspectos que devem ser evitados quando construir, implementar ou gerenciar dispositivos IoT (coluna 3 da tabela). 

Para melhor compreensão, a tabela abaixo resume as 2 tecnologias, agrupadas pelos objetivos de proteção indicados pelo NIST.

 

 

É altamente recomendado o estudo na íntegra de ambas publicações para àqueles que desejam se aprofundar no tema de segurança de IoT.

 

New call-to-action  

 
New call-to-action