Categories: InovaçãoSegurança

Grupo de gigantes de TI publica diretrizes de segurança para IoT

A proliferação de dispositivos conectados à Internet, que vai muito além de smartphones e computadores, trouxe um cenário completamente novo de (in)segurança. O ataque que deitou abaixo grandes sites na Internet em outubro, por exemplo, foi coordenado com recurso a web cams e outros aparelhos IoT. A ameaça é real.

“Embora os consumidores enfrentem ameaças de segurança e privacidades gerais em resultado de qualquer dispositivo conectado à Internet, a natureza da IoT de consumo é única porque pode envolver consumidores não técnicos ou desinteressados”, refere o relatório do BITAG, grupo do qual fazem parte gigantes como a Google, Intel e Microsoft.

A IoT também traz uma dificuldade acrescida de mapeamento dos dispositivos conectados, efeitos perversos em redes partilhadas e impactos noutros serviços web quando tais dispositivos são infetados com malware – precisamente o que aconteceu com as webcams que atacaram a Dyn.

“É relevante que o número e diversidade de dispositivos IoT de consumo esteja a crescer rapidamente, e que esses dispositivos muitas vezes funcionam de forma autónoma, sem intervenção humana”, sublinha o BITAG. Problema ainda maior: muitos não obedecem às regras de segurança mais básicas e rudimentares.

Eis as mais importantes diretrizes recomendadas pelo grupo:

Dispositivos IoT devem incluir as melhores práticas em software

Software sem vulnerabilidades conhecidas
Com mecanismos regulares de atualização
Autenticação forte por defeito
Configurações mais bem testadas e reforçadas

Melhores práticas em cifragem e segurança

O BITAG recomenda o uso de comunicações seguras com Transport Layer Security (TLS) ou Lightweight Cryptography (LWC)
Cifragem por defeito
Comunicações seguras de e para controladores IoT
Cifragem de dados sensíveis armazenados localmente
Autenticação de comunicações, pedidos de dados e alterações no software
Utilização de credenciais únicas para cada dispositivo
Utilização de credenciais que podem ser atualizadas
Desativação de portas e serviços desnecessários
Utilização de bibliotecas que são mantidas e suportadas

Comunicações devem ser restritas, não permissivas
Funcionamento primário deve continuar mesmo quando a ligação web é interrompida – por exemplo, uma lâmpada conectada deve continuar a dar luz sem internet – e mesmo quando o back-end na nuvem falha
Dispositivos IoT devem suportar IPv6 e DNSSEC
Sua política de privacidade deve ser fácil de encontrar e entender
A indústria IoT deve contemplar um programa de cibersegurança
A cadeia de fornecimento deve ser ativa na abordagem dessas questões.

O relatório completo pode ser encontrado aqui.

Leia também : Portugal é um dos países europeus mais afetados por Stalkerware

Ana Rita Guerra

Jornalista de economia e tecnologia há mais de dez anos, interessa-se pelas ideias disruptivas que estão a mudar a forma como se consome e se trabalha. Vive em Los Angeles e tem um gosto especial por startups, música, papas de aveia e kickboxing.