ENISA Publica Diretrizes sobre Segurança na Cadeia de Suprimentos de IoT

Relatório da Agência da União Europeia para Cibersegurança lançado esta semana (09-nov-2020) aborda todo ciclo de vida do desenvolvimento de produtos de Internet das Coisas, propondo medidas de segurança para cada uma das etapas.

A Agência da União Europeia para a Cibersegurança (ENISA) está lançando o documento “Diretrizes para a Segurança de Internet das Coisas – Cadeia de Suprimentos Segura para Internet das Coisas” (Guidelines for Securing the IoT – Secure Supply Chain for IoT), com diretrizes para proteger a Internet das Coisas (IoT – Internet of Things) que cobre toda a sua cadeia de abastecimento – incluindo hardware, software e serviços. A publicação se baseia nas “Boas Práticas para Segurança de IoT – publicação do Ciclo de Vida de Desenvolvimento de Software Seguro” (Good Practices for Security of IoT – Secure Software Development Lifecycle), com foco nos processos da cadeia de suprimentos usados para desenvolver produtos de IoT.

As cadeias de suprimentos enfrentam uma ampla gama de ameaças, desde ameaças físicas até ameaças à segurança cibernética. Como as organizações nem sempre podem controlar as medidas de segurança de seus parceiros da cadeia produtiva, as cadeias de suprimentos da IoT se tornaram um elo fraco para a segurança cibernética. Nem sempre as organizações têm visibilidade e compreensão de como a tecnologia que adquirem é desenvolvida, integrada e implantada.

O Diretor Executivo da ENISA, Juhan Lepassaar, declara que “Proteger a cadeia de abastecimento de produtos e serviços de TIC deve ser um pré-requisito para sua futura adoção, especialmente para infraestruturas e serviços críticos. Só então podemos colher os benefícios associados à sua implantação generalizada, como acontece com a IoT“.

No contexto do desenvolvimento das “Diretrizes para a Segurança da IoT” em questão, a ENISA conduziu uma pesquisa que identifica as seguintes questões como as duas principais ameaças à cadeia de fornecimento de IoT: a existência de componentes e fornecedores de terceiros não-confiáveis; e o gerenciamento de vulnerabilidades em componentes de terceiros. A publicação analisa as diferentes etapas do processo de desenvolvimento, explora as considerações de segurança mais importantes, identifica as boas práticas a serem levadas em consideração em cada etapa e disponibiliza informações adicionais sobre outras iniciativas, padrões e diretrizes.

Como acontece em muitas áreas da tecnologia, produtos “de prateleira” são usados para construir soluções de IoT. Dessa forma, de acordo com a ENISA, os conceitos de “Security by Design” (Segurança por Projeto) e “Security by Default” (Segurança por Padrão) são fundamentais para proteger essa tecnologia emergente. Dessa forma, a Agência Europeia optou por trabalhar com especialistas em IoT visando a criação de diretrizes de segurança englobando toda a vida útil dos dispositivos IoT. A proposta é reunir os principais atores da cadeia de suprimentos para adotar uma abordagem abrangente da segurança, aproveitar os padrões existentes e implementar os princípios da segurança por projeto, de modo a enfrentar as complexidades inerentes à Internet das Coisas.

Sobre a ENISA

ENISA é a Agência da União Europeia para a Cibersegurança Cibernética. A ENISA tem por objetivo alcançar um alto nível comum de Segurança Cibernética em toda a Europa. A ENISA foi criada em 2004 e fortalecida pela Lei de Cibersegurança da União Europeia. Entre as missões da ENISA estão o aumento da confiabilidade dos produtos, serviços e processos de TIC com esquemas de certificação de segurança cibernética, cooperação com os Estados-Membros e órgãos da UE e apoio à Europa na preparação para os desafios cibernéticos do futuro. Por meio do compartilhamento de conhecimento, capacitação e conscientização, a ENISA trabalha em conjunto com seus principais stakeholders para fortalecer a confiança na economia conectada, para aumentar a resiliência da infraestrutura da União e, em última instância, para manter a sociedade e os cidadãos europeus digitalmente seguros.

Trabalho da ENISA em IoT

Desde 2016 a ENISA vem trabalhando em boas práticas para proteger a IoT, publicando estudos sobre o cenário de ameaças e promovendo medidas de segurança. Entre as publicações da ENISA, destacam-se as seguintes:

* Escrito/adaptado a partir de informações disponíveis nas páginas https://www.enisa.europa.eu/news/enisa-news/iot-security-enisa-publishes-guidelines-on-securing-the-iot-supply-chain e https://www.enisa.europa.eu/about-enisa.