Skip links

As 13 orientações do código de conduta para o consumidor de IoT

À medida que conectamos mais dispositivos à Internet, produtos e aparelhos que tradicionalmente funcionavam offline, agora passam a fazer parte da “Internet das coisas” (IoT).

A Internet das Coisas (IoT) representa um novo capítulo na história, de como a tecnologia se torna cada vez mais acessível, tornando a vida das pessoas cada vez mais fácil e agradável. Como as pessoas começam a confiar cada vez mais os seus dados pessoais aos dispositivos e aos serviços conectados à rede, a Cibersegurança destes produtos torna-se tão importante, quanto a segurança física de nossos lares.

O objetivo deste código de conduta é apoiar todas as partes envolvidas no desenvolvimento, fabricação, comercialização e consumo de IoT, com um conjunto de diretrizes para garantir que os produtos sejam desenhados e concebidos, de forma a promover a segurança necessária para as pessoas, em um mundo digital.

Este código de conduta reúne em treze diretrizes, voltadas para o alcance do objetivo acima mencionado, aspectos que já são amplamente considerados como boas práticas na segurança da IoT. Foi desenvolvido pelo Department for Digital, Culture, Media & Sport (DCMS), em conjunto com o National Cyber Security Centre (NCSC), com o engajamento de indústrias, associações de consumidores e universidades.

Introdução

A Internet das coisas (IoT) oferece grandes oportunidades para as pessoas. Contudo, existe um número significativo de dispositivos no mercado, que apresentam falhas em medidas de segurança básicas. As pessoas devem poder se beneficiar de tecnologias conectadas, porém com segurança. Ou seja, confiantes de que medidas adequadas de segurança e privacidade, estão em vigor para proteger suas atividades on-line.

Este código de práticas estabelece passos práticos para que as indústrias fabricantes e outras partes interessadas em IoT, melhorem a segurança dos seus produtos e serviços. A implementação das treze diretrizes abaixo oferecidas, contribuirá para a proteção da privacidade e da segurança dos consumidores, tornando mais fácil a utilização segura dos respectivos produtos e serviços. Elas também irão atenuar as ameaças de ataques distribuídos de negação de serviços (DDoS), os quais são comumente iniciados a partir de dispositivos e serviços IoT, com configurações de segurança inadequadas.

As diretrizes aqui apresentadas, reúnem o que é amplamente considerado como boa prática de segurança, para a IoT. Elas são focadas no resultado, ao invés de prescritivas, oferecendo às organizações a flexibilidade para inovar e implementar as soluções de segurança apropriadas para seus produtos.

Estas diretrizes não são uma bala de prata para resolver todos os desafios de segurança. Para que uma organização possa ter êxito na criação e produção de uma IoT segura, é necessário que haja uma mudança para uma mentalidade voltada a segurança, bem como para o investimento em um ciclo de vida seguro. Os produtos e serviços devem ser projetados e mantidos, do seu desenvolvimento e através de todo o seu ciclo de vida, com a segurança em mente. As organizações devem também avaliar regularmente os novos riscos de cibersegurança relevantes para os seus produtos e serviços, implementando as medidas adequadas para mitigá-los.

As cadeias de suprimento de produtos de IoT podem ser complexas e internacionais, muitas vezes envolvendo vários fabricantes de componentes e prestadores de serviços. O objetivo destas diretrizes é iniciar e facilitar uma mudança positiva para a segurança em toda a cadeia de suprimentos.

Vários órgãos internacionais estão desenvolvendo padrões e recomendações de segurança para IoT. Estas diretrizes foram projetadas para serem complementares e apoiar nos esforços e na adoção de padrões relevantes de segurança cibernéticos. Elas foram desenvolvidas com a participação direta da indústria, visando o alinhamento entre os esquemas de garantia futura das indústrias, com as expectativas de confiança do consumidor.

A implementação destas diretrizes pode ajudar as organizações a cumprir com as leis de proteção de dados aplicáveis, como por exemplo, o regulamento geral de proteção de dados (GDPR) da UE, o qual exige que os dados pessoais sejam processados de forma segura.

Público Alvo

Uma indicação é dada, em cada diretriz, sobre qual Stakeholder é o principal responsável pela implementação. Os Stakeholders são definidos como:

Fabricantes de dispositivos – A entidade que cria e/ou monta um produto acabado conectado à Internet. Um produto acabado, pode conter produtos de vários fabricantes.

Provedores de serviços IoT – Empresas que prestam serviços tais como redes, armazenamento em nuvem e transferência de dados, que são empacotadas como parte das soluções de IoT. Fornecedores de dispositivos conectados à Internet, oferecidos como parte do serviço.

Desenvolvedores de aplicativos móveis – Organizações que desenvolvem e fornecem aplicativos executados em dispositivos móveis. Estas aplicações são oferecidas, muitas vezes, como um meio de interação entre equipamentos em uma solução IoT.

Varejistas – São os vendedores de produtos e serviços IoT.

Diretrizes

1. A não utilização de senhas padrão

Todas as senhas nos dispositivos serão únicas e não serão redefinidas para qualquer valor padrão de fábrica universalmente conhecidos

Muitos dispositivos estão sendo vendidos com nomes de usuário e senhas universais (como admin, admin) os quais devem ser alterados pelo consumidor. Esta prática tem sido a fonte de muitos problemas de segurança em dispositivos e precisa ser eliminada. As melhores práticas em senhas e outros métodos de autenticação devem ser seguidas.

Público alvo: Fabricantes de dispositivos

2. Implementar uma política de divulgação de vulnerabilidades

Todas as empresas que fornecem dispositivos e serviços conectados à Internet, devem fornecer um ponto de contato público, como parte de uma política de divulgação de vulnerabilidades. Desta forma, permitirão que pesquisadores de segurança e outros interessados, possam relatar problemas encontrados. As vulnerabilidades divulgadas, devem ser priorizadas e tratadas com agilidade.

Tornar conhecidas as vulnerabilidades de segurança identificadas em seus produtos ou serviços, permitirá que as empresas responsáveis respondam com as respectivas soluções para eliminar às referidas ameaças. As empresas também devem continuamente monitorar, identificar e retificar, as vulnerabilidades de segurança identificadas em seus produtos e serviços, como parte do ciclo de vida do produto. As vulnerabilidades devem ser comunicadas diretamente às partes interessadas, tão logo sejam identificadas. Se isso não for possível, as vulnerabilidades podem ser comunicadas às autoridades responsáveis. Notas explicativas devem incluir mais detalhes sobre as diferentes abordagens, dependendo das circunstâncias. As empresas também são incentivadas a compartilhar informações com os órgãos competentes de cada segmento.

Público alvo: Fabricantes de dispositivos, provedores de serviços IoT e desenvolvedores de aplicativos móveis.

3. Manter o software atualizado

O software embarcado em dispositivos conectados à Internet, deve oferecer uma forma segura de atualização. As atualizações devem ser prontamente disponibilizadas e, sempre que possível, não prejudicar o bom funcionamento dos dispositivos e serviços. Uma política de descontinuidade dos dispositivos e serviços deve ser publicada, a qual deve indicar explicitamente o período para o qual um dispositivo e serviço receberá atualizações e suporte. A comunicação da necessidade de atualização do dispositivo, deve ser feita de forma clara, permitindo uma fácil implementação para os consumidores. Para dispositivos restritos, que não podem ser atualizados fisicamente, o produto deve ser isolável e substituível.

A disponibilização de patches de segurança também deve ser assegurada, de modo que sejam entregues através de um canal seguro. As funções básicas de um dispositivo devem, sempre que possível, ser mantidas durante uma atualização. Por exemplo, um dispositivo que utiliza um relógio, deve preservar as funções de horário atualizadas, um termostato deve preservar suas configurações anteriormente feitas, assim como um dispositivo de fechamento de portas de acesso, devem continuar com as funções de travar e destravar em funcionamento. Isso pode ser considerado apenas na fase de design do produto. Contudo, pode se tornar um problema de segurança crítico para alguns tipos de dispositivos e sistemas, se não forem contemplados os eventos de atualizações.

As atualizações de software devem ser fornecidas a partir da venda de um dispositivo e durante o período de utilização estimado. Este período de suporte e atualização de software, deve ser comunicado de forma clara para o consumidor, no ato da compra do produto. Os revendedores e/ou os fabricantes devem informar ao consumidor, quando uma atualização é necessária. Para dispositivos restritos, sem a possibilidade de atualização de software, as condições e o período de suporte de substituição devem ser comunicados de forma clara e inequívoca.

Público alvo: Fabricantes de dispositivos, provedores de serviços IoT e desenvolvedores de aplicativos móveis.

4. Armazenamento seguro de credenciais e dados confidenciais

Todas as credenciais devem ser armazenadas de forma segura, sejam credenciais para serviços ou dispositivos. Credenciais utilizadas no código do software dos dispositivos, não são aceitáveis.

A engenharia reversa em dispositivos e aplicativos, pode facilmente descobrir credenciais como nomes de usuários e senhas, quando codificados dentro do software. Métodos de ofuscação utilizados para dificultar ou criptografar tais informações embutidas, podem ser trivialmente quebrados. Os dados sensíveis, tais como chaves criptográficas, identificadores de dispositivo e vetores de inicialização, devem ser armazenados com artefatos de segurança adequados. Ou seja, mecanismos de armazenamento, assim como ambientes de execução seguros e confiáveis, devem ser utilizados.

Público alvo: Fabricantes de dispositivos, provedores de serviços IoT e desenvolvedores de aplicativos móveis.

5. Comunicação segurança

Todas as chaves de segurança, envolvendo qualquer acesso ou gerenciamento remoto, devem ser administradas de forma segura. As comunicações, mesmo quando em trânsito, devem ser criptografadas conforme as propriedades e a tecnologia sendo utilizada nos dispositivos e serviços.

O uso de padrões de internet abertos e revisados por profissionais credenciados é fortemente encorajado.

Público alvo: Fabricantes de dispositivos, provedores de serviços IoT e desenvolvedores de aplicativos móveis.

6. Minimize as superfícies expostas a ataques

Todos os dispositivos e serviços devem operar no “princípio do privilégio mínimo”; portas não utilizadas devem ser fechadas, o hardware não deve ter acessos desnecessariamente expostos, os serviços não devem estar disponíveis se não forem usados e o código, referente a operação de um serviço, deve ser restrito as funcionalidades necessárias para a execução do serviço. O software deve ser executado com privilégios adequados a segurança requerida nas respectivas funcionalidades.

O princípio do privilégio mínimo é um elemento fundamental das boas práticas de engenharia de segurança. É aplicável à IoT, bem como a qualquer outra tecnologia.

Público alvo: Fabricantes de dispositivos e provedores de serviços IoT.

7. Garantir a integridade do software

Software em dispositivos IoT, devem ser verificados através de mecanismos de inicialização segura. Se uma alteração não autorizada for detectada, o dispositivo deve alertar o consumidor/administrador, quanto ao problema identificado, estabelecendo apenas as conexões necessárias para a execução da função de alerta.

A capacidade de recuperação remota, em situações como esta, deve obedecer às boas práticas conhecidas, como por exemplo, o armazenamento local de uma versão estável (Backup). Isto permitirá, quando necessário, a recuperação e atualização segura do dispositivo. Esta ação evitará situações de negação de serviços e os retornos dispendiosos de recall e visitas de manutenção, evitando o risco de um invasor assumir o controle do dispositivo ao subverter uma atualização ou outros mecanismos de comunicação em rede.

Público alvo: Fabricantes de dispositivos

8. Garantir que os dados pessoais estejam protegidos

Quando os dispositivos e/ou serviços processam dados pessoais, devem fazê-lo de acordo com as previsões das leis aplicáveis, como por exemplo a lei de proteção de dados da União Européia, GDPR, e a lei de proteção de dados pessoais, 13.709/2018, no Brasil. Os fabricantes de dispositivos e os prestadores de serviços de IoT, devem oferecer aos consumidores informações claras e transparentes sobre como, por quem e para que fins, os seus dados estão a ser utilizados em cada dispositivo e serviço. Isso também se aplica a quaisquer terceiros que possam estar envolvidos (incluindo anunciantes). Quando os dados pessoais são processados com base no consentimento dos consumidores, este deve ser legalmente obtido. Deve ser garantido aos consumidores, a oportunidade de retirar/deletar seus dados a qualquer momento que desejarem.

Esta diretriz assegura que:

  1. Os fabricantes, prestadores de serviços e desenvolvedores de aplicativos IoT, atendam às obrigações de proteção de dados ao desenvolver e entregar produtos e serviços.
  2. Os dados pessoais são processados de acordo com a lei de proteção de dados.
  3. Os usuários são assistidos quanto a garantia de que as operações de processamento de seus dados, nos produtos e serviços adquiridos, são consistentes e ocorrem conforme as especificações.
  4. São fornecidos aos usuários, meios para preservar sua privacidade, através da configuração adequada das funcionalidades do dispositivo.

Público alvo: Fabricantes de dispositivos, provedores de serviços IoT e desenvolvedores de aplicativos móveis.

9. Torne os sistemas resilientes a interrupções

A resiliência deve ser incorporada aos dispositivos e serviços IoT, principalmente quando exigido para o uso adequado do dispositivo ou sistema. Deve-se levar em conta a possibilidade de interrupções na conexão e do fornecimento de energia. Na medida do possível, os serviços de IoT devem permanecer operando localmente, no caso de perda de rede, e devem recuperar seu funcionamento estável, no caso de recuperação por perda de energia. Os dispositivos devem restabelecer a conexão com a rede, de forma sincronizada e ordenada.

Cada vez mais os consumidores esperam poder utilizar sistemas e dispositivos IoT, os quais são utilizados em situações importantes e que necessitam de segurança, pois impactam na vida das pessoas. Manter os serviços em execução localmente, se houver uma perda de rede, é uma das medidas que podem aumentar a resiliência na utilização de serviços e dispositivos IoT. Outras medidas que podem ser implementadas é a construção da redundância dos serviços e processos de mitigação de riscos, contra os ataques de negação de serviços (DdoS). O nível de resiliência necessário para os serviços e dispositivos IoT, deve ser proporcionalmente determinado pelas necessidades de uso. Constantes considerações devem ser feitas, quanto a dependência dos serviços ou dispositivos IoT em relação a conexão com a rede e o fornecimento de energia elétrica, de forma a minimizar impactos negativos não inesperados, quando da ocorrência de tais eventos.

Público alvo: Fabricantes de dispositivos, provedores de serviços IoT

10. Monitorar dados de telemetria do sistema

Os dados de telemetria, coletados dos dispositivos e serviços IoT, como por exemplo dados de uso e medição, deverão ser monitorados quanto anomalias conforme os padrões de segurança estabelecidos.

O monitoramento da telemetria, incluindo dados de log, pode ser utilizado como procedimento para avaliação da segurança. Isto permitirá que circunstâncias incomuns sejam identificadas e tratadas rapidamente, minimizando os riscos de segurança e permitindo a rápida solução de problemas. Em conformidade com a diretriz 8, no entanto, o tratamento de dados pessoais deve ser evitado e os consumidores devem ser informados sobre quais dados serão obtidos e a razão para obtenção dos referidos dados.

Público alvo: Provedores de serviços IoT

11. Ofereça uma forma fácil para que os consumidores possam deletar seus dados pessoais

Os dispositivos e serviços devem ser configurados de forma que, os dados pessoais inseridos, possam ser facilmente removidos quando houver uma transferência de propriedade, ou quando o consumidor pretender descartar o dispositivo. Os consumidores devem receber instruções claras sobre como proceder para deletar os seus dados pessoais.

Mecanismos devem ser oferecidos, de forma a que os consumidores possam ter as condições de deletar seus dados pessoais ao doar ou vender seus dispositivos, serviços e respectivos aplicativos. Também devem ser contempladas situações de reciclagem e descarte.

Público alvo: Fabricantes de dispositivos, provedores de serviços IoT e desenvolvedores de aplicativos móveis.

12. Ofereça meios fáceis de instalação e manutenção dos dispositivos

Os processos de instalação e manutenção de dispositivos IoT, devem ser compostos de poucas etapas e devem seguir as melhores práticas recomendadas de utilização segura. Os consumidores devem também receber orientações claras para configurar a segurança do seu dispositivo.

Problemas de segurança causados por confusão ou configuração incorreta pelo consumidor, podem ser reduzidos e até mesmo eliminados. Quando não tratados adequadamente, tais aspetos como complexidade na configuração e interfaces de usuários com design pobre, podem comprometer a segurança dos equipamentos e serviços. A orientação clara para os usuários, sobre como configurar a segurança de seus dispositivos deve reduzir a exposição a ameaças.

Público alvo: Fabricantes de Dispositivos, Provedores de Serviços IoT e Desenvolvedores de Aplicativos Móveis.

13. Validar a inserção de Dados

A inserção de dados em dispositivos e serviços, seja via interfaces de usuário, transferidas através de interfaces de programação nos aplicativos (APIs) ou entre redes, devem sempre ser validadas.

Sistemas podem ser subvertidos por dados formatados incorretamente ou código transferido através de diferentes tipos de interface. Ferramentas automatizadas são frequentemente empregadas por invasores, a fim de explorar possíveis vulnerabilidades, as quais surgem como resultado da falta de validação de dados.

Os exemplos incluem, mas não estão limitados, a dados que:

  • Não são do tipo esperado. Por exemplo, um código executável em vez de texto introduzido pelo usuário.
  • Fora dos parâmetros esperados. Por exemplo, um valor de temperatura que está além dos limites de medição de um sensor.

Público alvo: Fabricantes de dispositivos, provedores de serviços IoT e desenvolvedores de aplicativos móveis.

A Oguini acredita que as diretrizes acima, apesar de simples e bem conhecidas no mercado de maneira geral, são muito frequentemente desconsideradas. Talvez por restrições no tempo de execução ou por limitações no budget dos projetos. Contudo e de acordo com as novas especificações e previsões legais sendo sancionadas, esta “economia” pode representar um custo muito maior, quando da necessidade de ressarcimento por danos causados.

Conforme amplamente mencionado no RSA Conference 2018, a colaboração entre todos os setores da sociedade organizada, bem como o investimento na formação de pessoas em cibersegurança, são algumas das mais importantes ações para preservação de uma sociedade mundial segura.

Traduzido de United Kingdom Department for Digital, Culture, Media & Sport.
Post original em https://www.gov.uk/government/publications/secure-by-design/code-of-practice-for-consumer-iot-security