A Califórnia passou a segurança do dispositivo IoT do SB-327. Obriga os desenvolvedores de sistemas inteligentes a criar um par de nome de usuário / senha exclusivo para eles. O documento já foi assinado pelo governador do estado. Falamos sobre a opinião da comunidade e o impacto da nova lei no desenvolvimento da indústria.
/ Flickr / al king / ccQual é a essência
O SB-327 , chamado Segurança da Informação: Dispositivos Conectados,
foi desenvolvido pelos senadores da Califórnia desde fevereiro passado. "Dispositivos conectados", neste caso, refere-se a todos os dispositivos que possuem conexão à Internet, endereço IP ou Bluetooth.
A senadora Hannah-Beth Jackson, que é a autora do projeto,
disse que essa lei já existe há muito tempo. Segundo ela, os consumidores comuns raramente estão interessados nos problemas de segurança dos aparelhos que compram, porque os desenvolvedores não têm pressa em corrigir vulnerabilidades de segurança.
De particular importância é o problema no caso de brinquedos infantis. Como exemplo, em acréscimos ao projeto de lei, os senadores citam a situação com as bonecas My Friend Cayla (
análises do piso do Senado de 28/08/18 ). Eles podem se comunicar com crianças e encaminhar registros para os servidores do fabricante, por exemplo, para analisar uma pergunta e encontrar uma resposta para ela. Isso cria uma potencial vulnerabilidade para os dados pessoais da criança. Por esse motivo, a
venda de tais bonecas era geralmente
proibida na Alemanha.
O principal requisito da lei da Califórnia
é que cada fabricante de dispositivos IoT precisará fornecer a seus gadgets “equipamento de proteção apropriado”. O grau de proteção depende da função do dispositivo e das informações que ele usa e transmite.
A lei não diz o que se entende por "proteção adequada", mas os requisitos para os mecanismos de autenticação são explicitados. Se o dispositivo conectado tiver acesso à Internet, seu sistema de autenticação deverá atender a um dos dois critérios. Primeiro, o próprio fabricante cria combinações únicas de login e senha para cada dispositivo individual. O segundo - o desenvolvedor obriga o comprador a alterar os dados padrão de fábrica para login ao usar o equipamento pela primeira vez.
A lei abrange todas as empresas que fabricam ou vendem dispositivos de IoT na Califórnia. O SB-327 entrará em vigor em 1º de janeiro de 2020.
Opiniões sobre a lei
A nova lei foi cumprida ambiguamente. Alguns usuários e especialistas concordaram que a proibição de senhas padrão é pelo menos um pouco, mas aumentará a segurança dos dispositivos IoT. No entanto, a falta de outros requisitos específicos para os fabricantes confundiu a comunidade.
Os especialistas em segurança cibernética aprovaram a lei com ceticismo. Um dos principais críticos foi Robert Graham, especialista em segurança cibernética da Errata Security. Robert
escreve que a redação de "remédios" é muito vaga, por isso será difícil para as organizações definir critérios para atender aos requisitos da lei.
Além disso, é impossível especificar na lei maneiras de combater ameaças específicas, porque novos tipos de ataques aparecem constantemente. Graham acredita que as maneiras de proteger a IoT não podem ser definidas por lei, e o SB-327 aumentará apenas o custo de fabricação de dispositivos inteligentes.
A lei também é inútil na
opinião de Joe Lea, vice-presidente do produto Armis. Sua empresa está criando uma plataforma para proteger redes IoT. Segundo Joe, a segurança da Internet das coisas é um setor complexo que não se limita a problemas de senha de dispositivos.
Vários especialistas em segurança da informação apoiaram a nova lei. Uma dessas pessoas era Beau Woods, especialista em segurança do grupo de reflexão do Conselho Atlântico. Segundo ele, a formulação vaga da legislação foi usada intencionalmente. Isso permitirá que as empresas desenvolvam independentemente os requisitos de proteção do dispositivo.
Muitos especialistas acreditam que mesmo uma lei imperfeita é melhor que sua ausência. O autor e criptógrafo de segurança cibernética, Bruce Schneier,
disse que o SB-327 é um passo na direção certa, embora este documento não seja suficiente para regular completamente a IoT.
“A lei deve ajudar a resolver o problema do acesso não autorizado a dispositivos. No entanto, não é uma panacéia ”, comenta Sergey Belkin, chefe do departamento de desenvolvimento de serviços de aluguel de infraestrutura na nuvem 1cloud.ru . - Senhas únicas e fortes devem complicar o hacking de dispositivos inteligentes com a ajuda da pesquisa banal de dicionário. No entanto, existem muitas outras maneiras de obter acesso aos dispositivos, como a vinculação de DNS . Esse tipo de ataque afeta mais de meio bilhão de dispositivos IoT em todo o mundo. ”
Os usuários geralmente apóiam a iniciativa do governo da Califórnia. Residentes do Hacker News
observam que as senhas dos fabricantes podem ser muito previsíveis e correspondem ao número de série. Mas essa solução é melhor que a senha padrão para todos os dispositivos do mesmo modelo.
Alguns usuários acham a lei sem sentido. Um comentarista do Slashdot
indicou que, na maioria das vezes, os problemas de segurança dos dispositivos IoT não são resolvidos alterando a senha e estão associados a vulnerabilidades nos módulos de firmware e software. Por exemplo, em 2017, um bug foi
descoberto na biblioteca gSOAP, usada pelos fabricantes de dispositivos IoT. Durante a demonstração, especialistas em segurança invadiram uma câmera doméstica e receberam uma imagem dela.
Quem mais está redigindo leis para a IoT
Não é apenas a Califórnia que trabalha para proteger a Internet das coisas. No ano passado, vários projetos sobre esse assunto foram submetidos ao Congresso dos EUA. Entre eles estão o Securing IoT Act de 2017 e o Internet of Things Cybersecurity Improvement Act de 2017, que exige que as agências federais desenvolvam requisitos de segurança padrão para dispositivos IoT.
Antes disso, o governo dos EUA emitiu diretrizes para os fabricantes de dispositivos inteligentes, que coletavam recomendações para proteger os dados pessoais dos usuários. Por exemplo, esse
documento foi publicado em 2015 pela Federal Trade Commission (FTC).
/ Flickr / coniferconifer / CCNa Europa, também existem documentos semelhantes, em particular a
diretiva relativa à segurança de redes e sistemas de informação (Diretiva NIS), adotada em julho de 2016. Ele não lida diretamente com a Internet, mas estabelece requisitos para a proteção dos sistemas da empresa em áreas críticas: energia, finanças, saúde e setor de transporte. O documento contém apenas uma lista de regras, e cada estado da União Europeia deve determinar seus métodos de implementação de forma independente.
A lei de proteção de dispositivos IoT também está
sendo desenvolvida pelo governo australiano. Segundo os políticos, eles buscam criar um documento equilibrado que proteja os consumidores e não limite a inovação na IoT. Para fazer isso, o regulador está em diálogo com representantes do setor. Até agora, os políticos estão discutindo apenas os requisitos para os fabricantes de dispositivos inteligentes.
Assim, a lei da Califórnia foi a primeira a formular requisitos gerais para todos os fabricantes de dispositivos IoT. E, embora seja imperfeito,
acredita-se que a diretiva se tornará um guia para outros países e começará um trabalho ativo na segurança de dispositivos inteligentes.
Algum material fresco do nosso blog corporativo: