Será solução legislar a segurança dos dispositivos IoT?

O Reino Unido avançou com uma proposta de legislação que visa a segurança dos dispositivos IoT, e pretendo assim fazer uma reflexão sobre se será esta a melhor resposta para enfrentar os desafios de segurança que se colocam com os dispositivos inteligentes.

De acordo com um artigo publicado recentemente pela BBC, a Ministra da Cultura, Comunicações e Indústrias Criativas, propôs legislar a introdução de um novo sistema de categorização que informe o cliente acerca do nível de segurança do dispositivo IoT.

Para ter uma dessas categorias, um dispositivo IoT necessitará de:

  • Contar com uma password única por defeito;
  • Indicar claramente por quanto tempo estarão disponíveis as atualizações de segurança;
  • Disponibilizar um contato público para reportar falhas.

A iniciativa, que faz parte da intenção do Reino Unido em tornar-se líder global em segurança online, segue os passos da legislação adotada na Califórnia e que entrará em vigor em 2020, a qual proíbe que os dispositivos ligados à Internet venham com passwords fracas por defeito. Tanto a proposta do Reino Unido como a atual legislação da Califórnia representam um avanço rumo à direção certa, ou pelo menos obrigará a que os fabricantes considerem a segurança desde o design e desenvolvimento de dispositivos IoT. Mas, será a legislação a resposta?

Façamos antes uma pausa para relembrar a que nos referimos aqui por dispositivos IoT. De acordo com a Lei da Califórnia, “significa qualquer dispositivo ou objeto físico que seja capaz de se ligar à Internet, seja de forma direta ou indireta, ao qual esteja atribuído um endereço IP ou Bluetooth”. Esta definição contempla uma ampla variedade de dispositivos, que vão desde carros, lâmpadas, computadores portáteis, termostatos até telemóveis, e uma interminável lista de outros dispositivos.

No meu escritório tenho um dispositivo de “alta voz” Bluetooth. Não tem password, não recolhe dados e tão pouco transmite o que seja, pelo menos até onde sei. Este dispositivo está contemplado pela legislação da Califórnia? Vai necessitar de uma password única?

Da mesma forma, uma pessoa interessada em comprar um automóvel Tesla no Reino Unido deverá esperar ver um selo nesse automóvel que indique que cumpre com os requisitos estabelecidos pela legislação de segurança para IoT? Ou cada dispositivo incluído no Tesla que se comunique de forma independente deveria ter um selo?

Tão inseguro

A necessidade de que as condições de segurança estejam presentes está fora de discussão. E a realidade indica que vários fabricantes de dispositivos IoT falharam na hora de tomar medidas razoáveis para fazer com que os seus dispositivos sejam seguros. Foi precisamente isto que levou os políticos a dedicar tempo a esta questão. No Reino Unido começou com um código de prática voluntário e é apenas o princípio até chegar à legislação.

Mas regra geral, as legislações sufocam as inovações. E a indústria da tecnologia tem vindo a afastar-se, cada vez mais, do uso de passwords. Bret Arsenault, Diretor de Segurança da Informação da Microsoft, referiu que 90% dos funcionários da Microsoft podem aceder à rede da empresa sem necessidade de password, já que a Microsoft prevê um “mundo sem passwords”. Os funcionários utilizam outras opções, incluindo Windows Hello e a app de autenticação (Authenticator), que oferece alternativas como o reconhecimento facial, impressão digital e duplo fator de autenticação.

Uma legislação que não seja efetiva até ao próximo ano e que, para já, não passe de uma proposta é propensa a estar desatualizada quando entrar em vigência. Obrigará os fabricantes de dispositivos a utilizar uma tecnologia que a indústria está a tentar abandonar em busca de opções mais seguras.

Numa análise recente de dados que foram expostos em falhas de segurança, o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido detetou que 23,2 milhões de contas de utilizadores em todo o mundo estavam protegidas com a password “123456”, e 7,7 milhões utilizaram “123456789” como password. Estes dados demonstram a falta de compromisso de grande parte dos consumidores na hora de assegurar as suas contas na Internet, o qual não faz mais do que criar oportunidades para hackers.

Recentemente, como orador em eventos de cibersegurança, tanto na Argentina como nos EE.UU, falei sobre a necessidade de qualquer pessoa ter em consideração a segurança sempre que liga um dispositivo a uma rede, especificamente em edifícios inteligentes. E uma das questões que coloquei à audiência teve exatamente o mesmo resultado em ambos os lugares: “quando utilizou pela última vez o sistema de informação e entretenimento no seu automóvel?”. O público ficou perplexo. Eram peritos em cibersegurança e, no entanto, ligam um dispositivo muito pessoal, como é o seu telemóvel a um sistema que nunca atualizam. Surpreendentemente, uma das pessoas que assistiu à conferência ligou-me no dia seguinte e disse-me que nem ele nem o distribuidor podiam atualizar o seu sistema apesar de estar desatualizado.

Imagine, por exemplo, daqui por alguns anos alguém a adquirir um novo e brilhante dispositivo doméstico IoT, com a sua etiqueta que mostra que tem uma password única, que terá atualizações durante cinco anos. No momento que for utilizá-lo pela primeira vez, para simplificar, estabelece a mesma password que utiliza noutros dispositivos IoT que tem em casa, liga o dispositivo e disfruta das suas funcionalidades. Quando o fabricante lhe envia uma notificação por e-mail a indicar que está disponível uma atualização do firmware, supondo claro que registou o dispositivo, você elimina o e-mail visto que o dispositivo está a funcionar e não acha necessário atualizar algo que funciona.

Apesar da legislação pretender que os dispositivos estejam mais seguros fora das caixas, o mais provável é que seja a educação e o compromisso dos consumidores os principais responsáveis por tornar os dispositivos IoT mais seguros para as suas casas. Pergunto-me se é possível fazer uma legislação para isto…

Por Tony Anscombe, Security Evangelist da ESET

1 COMENTÁRIO

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

sixteen − 13 =