A convergência de TI e segurança física iluminou a necessidade de padrões de interoperabilidade. Sem a adoção de padrões governamentais, a indústria de segurança iniciou um esforço bem-sucedido, por meio de diferentes organizações, para promulgar seus próprios padrões quando os equipamentos baseados em IP começaram a decolar.
As empresas de segurança, concorrentes no mercado, começaram a trabalhar juntas para criar padrões, facilitando a interoperabilidade e dando aos integradores a oportunidade de criar os melhores sistemas. Esse trabalho continua até hoje.
Mas a saga dos padrões ainda não acabou. Agora, o setor precisa de um novo conjunto de padrões: padrões de segurança cibernética. E os riscos em torno dos padrões de segurança cibernética são muito maiores. A falta de padrões de interoperabilidade era principalmente um inconveniente. A falta de padrões de segurança cibernética é extremamente perigosa.
Perigos da falta de segurança cibernética
Os padrões criam uma linha de base comum para produtos. De uma perspectiva de interoperabilidade, os padrões permitem que dispositivos de diferentes fabricantes trabalhem uns com os outros. Do ponto de vista da segurança cibernética, os padrões fornecem uma lista de verificação de requisitos que protegem os dispositivos de métodos de ataque cibernético conhecidos.
Imagine se você comprasse um carro sem piscas ou fechaduras ou mesmo freios. Todos esses recursos são necessários em carros modernos porque a indústria automotiva e os governos criaram padrões e leis que os exigem por motivos de segurança e proteção. No mundo da computação, requisitos semelhantes são adicionados aos nossos laptops, desktops e dispositivos móveis.
Quando você configura seu computador, é necessário definir uma senha. Firewalls são integrados a sistemas operacionais modernos e aplicativos de dispositivos móveis são colocados em área restrita, portanto, têm acesso limitado.
A maioria das pessoas usa os quatro sistemas operacionais mais populares – Windows, macOS, iOS e Android – e esses sistemas têm controles de segurança cibernética integrados da Microsoft, Apple e Google.
Mas e os dispositivos da Internet das Coisas (IoT)? A maioria dos dispositivos IoT é executada no Linux, o sistema operacional de código aberto gratuito. Embora o Linux seja compatível e atualizado regularmente, não há requisitos sobre como usá-lo e protegê-lo. Isso não é necessariamente uma coisa ruim para o amador, mas pode ser perigoso para um dispositivo comercial que é vendido a um usuário que coloca esse dispositivo desprotegido em sua rede doméstica ou empresarial.
À medida que as pessoas criam widgets de IoT, sua prioridade quase sempre se concentra na funcionalidade, e não na segurança cibernética. Na verdade, com kits pequenos e baratos para amadores, como o Raspberry Pi, quase qualquer pessoa pode construir um dispositivo IoT, e muitas pessoas o fazem. O setor de IoT como um todo está se movendo rapidamente e os entusiastas e as empresas estão criando dispositivos convenientes e conectados à Internet com um conhecimento limitado de segurança cibernética. De acordo com o Statista, haverá mais de 75 bilhões de dispositivos IoT conectados em uso até 2025.
Mesmo os fornecedores de dispositivos IoT empresariais estão errando o alvo. Não faz muito tempo que muitas câmeras de vigilância por vídeo comerciais foram configuradas com uma senha padrão. A maioria dos fornecedores removeu essas senhas padrão porque os usuários finais não estavam alterando a senha padrão e suas câmeras estavam sendo hackeadas.
Aqui está um pequeno segredo: os hackers criminosos adoram as configurações padrão. Eles procuram por senhas padrão, portas padrão e configurações padrão. Em seguida, eles concentram os ataques em todas as configurações padrão porque sabem que muitas pessoas não mudarão o padrão. Eventualmente, os fornecedores aprenderam a fazer alterações para proteger melhor seus clientes, como forçar os usuários finais a criar uma senha ao configurar seu dispositivo. Embora seja um progresso positivo, é muito melhor ser proativo do que reativo.
Sabemos como proteger um computador, agora precisamos adotar esses padrões e requisitos para dispositivos IoT .
Estágios iniciais: onde estamos hoje
Em 2017, observando a segurança física do mundo da computação, era evidente que o primeiro não havia adotado alguns dos controles básicos de segurança cibernética usados pelo último. No entanto, falava-se muito sobre cibersegurança no setor porque, apenas um ano antes, milhares de câmeras de vídeo IP, NVRs e roteadores domésticos em todo o mundo eram usados como parte de uma arma da Internet, o botnet Mirai.
O botnet Mirai foi usado em uma série de ataques de negação de serviço distribuído (DDoS) que derrubaram ou retardaram grande parte da Internet, incluindo Twitter, Netflix, Spotify, Airbnb, Reddit, Etsy, SoundCloud e The New York Times .
Desde então, a segurança cibernética se tornou não apenas um ponto de discussão no setor de segurança, mas também uma preocupação. Os usuários finais estão preocupados com o fato de que uma câmera ou NVR vulnerável será o vetor pelo qual um invasor violará sua rede. Essa é uma preocupação válida, mas eles precisam perceber que suas câmeras, gravadores e todos os seus dispositivos IoT são computadores e, tecnicamente, são provavelmente todos servidores da web Linux.
A boa notícia é que a segmentação de rede simples pode reduzir muito o risco de um dispositivo IoT ser a porta de entrada para um invasor obter acesso a sistemas e dados confidenciais. Então, qual é o papel das diferentes partes na proteção de um dispositivo? Quem é responsável por quê?
Primeiro, os fabricantes precisam criar segurança em seus produtos; isso é um dado. Mas os fabricantes não podem fazer muito quando se trata de proteger um dispositivo. Se o usuário final colocar uma câmera diretamente na Internet, esse dispositivo será atacado. Se o dispositivo tiver uma senha fraca ou vulnerabilidades não corrigidas, esses dispositivos não serão apenas atacados, mas provavelmente serão comprometidos.
O resultado final é o seguinte: todos têm responsabilidade quando se trata de segurança cibernética e o desafio é garantir que todos saibam qual é sua função na proteção de um dispositivo.
Cozinhar em cibersegurança
Os fornecedores precisam incorporar segurança cibernética aos produtos, os distribuidores e integradores precisam instalar os dispositivos de maneira segura e aconselhar os usuários finais sobre como gerenciar seus dispositivos com segurança, e os usuários finais precisam manter o dispositivo e corrigi-lo quando necessário. Se todos souberem e executarem suas funções, a ameaça de ataque cibernético será bastante reduzida.
Os fornecedores competem entre si no mercado, mas a única maneira de se defender contra uma ameaça comum, como os ciberataques, é trabalhar juntos. A boa notícia é que organizações como a Security Industry Association (SIA) criaram grupos de trabalho, como seu Conselho Consultivo de Segurança Cibernética, para reunir especialistas da indústria, fornecedores e partes interessadas, para discutir e resolver os desafios de proteger os produtos vendidos na indústria de segurança .
Outro exemplo de fornecedores trabalhando juntos são os esforços de 2019 vindos do Surveillance Camera Commissioner do Reino Unido, que coordenou fornecedores de câmeras de vídeo para trabalharem juntos para criar o programa Secure by Default para câmeras de vigilância por vídeo. Esse trabalho inovador estabeleceu um conjunto de padrões básicos de segurança cibernética para os fornecedores oferecerem suporte em seus produtos.
Embora a primeira iteração deste programa abordasse alguns dos controles mais básicos de segurança cibernética, o plano era adicionar mais controles ao longo do tempo. Isso permite que os fornecedores incorporem segurança em seus produtos, em vez de tentar instalá-los todos de uma vez.
Algum Progresso em Washington
Felizmente, há motivos para estar otimista sobre o progresso da segurança cibernética no espaço da IoT. Em dezembro HR 1668: O IoT Cybersecurity Improvement Act de 2020 tornou-se lei. Esta legislação representa um passo fundamental para a segurança da Internet. O projeto teve amplo apoio bipartidário e também foi endossado por várias empresas de tecnologia, incluindo BSA (The Software Alliance), Cloudflare, CTIA, Mozilla, Rapid7, Symantec e Tenable.
A nova lei estipula a criação de “padrões e diretrizes para o governo federal sobre o uso adequado e gerenciamento por agências de dispositivos da Internet das Coisas pertencentes ou controlados por uma agência e conectados a sistemas de informação de propriedade ou controlados por uma agência, incluindo segurança mínima da informação requisitos para o gerenciamento de riscos de segurança cibernética associados a tais dispositivos. ”
O Instituto Nacional de Padrões e Tecnologia (NIST) foi encarregado de criar o padrão e as diretrizes, que incluem desenvolvimento seguro, gerenciamento de identidade, patching e gerenciamento de configuração e muito mais.
A lei concede ao Escritório de Gestão e Orçamento dos Estados Unidos (OMB) seis meses para apresentar recomendações com base nos padrões e diretrizes do NIST. Sabiamente, a lei exige que o OMB consulte pesquisadores em segurança cibernética e especialistas da indústria do setor privado ao elaborar suas recomendações.
Os estados também estão entrando em ação. Nos últimos dois anos, Califórnia e Oregon aprovaram leis de segurança de IoT, enquanto Illinois, Kentucky, Massachusetts, Maryland, Nova York, Rhode Island, Vermont e Virgínia estão considerando uma legislação semelhante, de acordo com a BTB Security. A consideração e a aprovação da legislação sinalizam uma consciência crescente da ameaça que os dispositivos IoT inseguros representam para a Internet e para a nossa segurança digital coletiva.
róximas etapas para a indústria de segurança
Embora o setor de segurança tenha feito grandes avanços em segurança cibernética nos últimos quatro anos, há muito mais a ser feito. Além de padrões e leis, o setor como um todo precisa de mais educação e conscientização sobre segurança cibernética. É necessário que haja cursos e certificações de segurança cibernética independentes do fornecedor para o setor de segurança.
As empresas precisam contratar especialistas para incorporar a segurança cibernética em seus produtos e serviços, educar seus funcionários e ajudar a educar o setor. Felizmente, há evidências de que muito desse trabalho já está começando.
Esperamos ver alguns avanços rápidos nos próximos anos. Parte disso será impulsionado pela demanda dos clientes, alguns pela legislação e alguns por empresas que trabalham juntas para se defender contra um inimigo comum. O verdadeiro inimigo de qualquer dispositivo de computação são os hackers criminosos, e todos nós precisamos trabalhar juntos como aliados para criar um ciberespaço mais seguro.
João Marcelo de Assis Peres
joao.marcelo@guiadocftv.com.br
GuiadoCFTV
Avalie esta notícia, mande seus comentários e sugestões. Encontrou alguma informação incorreta ou algum erro no texto?
Importante: ‘Todos os Conteúdos divulgados decorrem de informações provenientes das fontes aqui indicadas, jamais caberá ao Guia do CFTV qualquer responsabilidade pelo seu conteúdo, veracidade e exatidão. Tudo que é divulgado é de exclusiva responsabilidade do autor e ou fonte redatora.’
Quer enviar suas notícias? Envie um e-mail para noticias@guiadocftv.com.br