Novo padrão de Segurança Cibernética de IoT: O que os gerentes de produtos precisam saber

O rápido crescimento da Internet das Coisas (IoT) gera estatísticas que chamam bastante atenção. Por exemplo, Vernon Turner, presidente da International Data Corporation, prevê que haverá 80 bilhões de dispositivos conectados à Internet em 2025 – o que pode significar 152.200 dispositivos IoT conectados a cada minuto.

Mas grande poder traz grande responsabilidade. À medida que a área de superfície de ataque potencial se expande exponencialmente, os riscos para todos, de governos a corporações e indivíduos privados, se multiplicam. Por exemplo, o Security Intelligence relata que as redes botnets Mozi geraram recentemente um aumento de 500% nos ataques de IoT.

Para combater e controlar esses riscos no que ainda é um setor incipiente, o governo federal dos EUA introduziu uma legislação de segurança cibernética de IoT que terá implicações de longo alcance para as equipes de produtos de IoT em 2021 e além.

Na verdade, ele cria um padrão básico de segurança cibernética que todos devem cumprir.

Nesta postagem, você descobrirá:

Qual é o novo padrão de segurança cibernética;

Como isso afeta você;

O que você pode fazer sobre isso; e

Padrões internacionais de segurança cibernética dignos de nota.

Suponha que você esteja envolvido no projeto, fabricação e marketing de qualquer dispositivo IoT. Nesse caso, seja visando organizações do setor público ou indivíduos privados – a conformidade é essencial para garantir a viabilidade de seu produto no futuro.

Esta postagem do blog revela tudo o que você precisaria saber para minimizar os riscos e atender a padrões de segurança.

O que é?

Aqui está uma análise do novo padrão de segurança cibernética IoT:

A Lei de Melhoria da Segurança Cibernética da Internet das Coisas de 2020 exige uma segurança cibernética mais robusta de agências para dispositivos IoT de propriedade do Governo Federal.

Embora seu escopo pareça limitado, as disposições da Lei incluem instruções para o Instituto Nacional de Padrões e Tecnologia (NIST) para desenvolver padrões de segurança complementares e diretrizes para o uso apropriado e gerenciamento de todos os dispositivos IoT relevantes – incluindo o estabelecimento de requisitos mínimos de segurança cibernética para o gerenciamento de riscos.

Aparentemente, esta legislação diz respeito apenas aos contratantes de dispositivos IoT que fornecem ou licitam contratos governamentais no momento em que a conformidade com as diretrizes do NIST se tornará obrigatória em dezembro de 2022. Mas, como o governo dos EUA é um dos maiores consumidores do mundo, seus padrões mínimos entrarão em cascata em toda a indústria e criará um novo padrão de fato em segurança e rotulagem para todos os dispositivos conectados. Simplificando, todos os fabricantes de dispositivos IoT acabarão tendo que observar os padrões cibernéticos NIST IoT – mesmo no caso de se concentrar exclusivamente no mercado de consumo privado.

Quem isso afeta?

A conformidade atingirá as equipes de produtos com foco em produtos IoT industriais e domésticos. Mas se você é um fabricante de IoT que fornece produtos e serviços para o governo federal (ou está pensando em fazê-lo), deve tomar nota agora.

Para esclarecer, isso pode afetar seu negócio se estiver envolvido no desenvolvimento de produtos como:

Dispositivos agrícolas IoT inteligentes que o Departamento de Agricultura dos EUA (USDA) pode estar usando – como drones, detectores de movimento, detectores de luz, sistemas de irrigação inteligentes e ferramentas de análise de dados baseadas em nuvem para gerenciamento de plantações e gado.

Dispositivos de IoT de qualidade da água que estão sob a responsabilidade da Agência de Proteção Ambiental (EPA) – como sensores em bóias que monitoram a qualidade da água e monitoram a presença de substâncias prejudiciais à vida marinha e aos seres humanos.

Produtos seguros de processamento de passageiros, segurança e vigilância de IoT que seriam úteis para a Administração de Segurança de Transporte (TSA) – como câmeras de segurança inteligentes, dispositivos de reconhecimento facial e pontos de verificação automatizados.

Como isso lhe afeta?

Resumindo, o IoT Cybersecurity Improvement Act (2020) e os padrões NIST subsequentes exigem que a segurança cibernética seja uma prioridade em todo o ciclo de vida de um produto IoT.

Esses componentes principais esclarecem como sua equipe de produto IoT pode precisar se adaptar:

Os padrões e diretrizes do NIST para dispositivos IoT cobrirão o desenvolvimento seguro, patching e gerenciamento de configuração, bem como gerenciamento de identidade. Isso definirá um novo padrão nacional (EUA) que aborda (entre outras questões) as vulnerabilidades de longa data criadas pela configuração ineficaz de senhas seguras de dispositivos.

As diretrizes do NIST para a divulgação de vulnerabilidades de dispositivos IoT significam que haverá diretrizes rigorosas para relatar todas as vulnerabilidades de segurança cibernética em quaisquer dispositivos IoT pertencentes ou controlados por uma agência federal. O conteúdo relatado deve incluir a divulgação de cada vulnerabilidade, bem como a resolução. O requisito se aplica a contratados e subcontratados

A conformidade obrigatória do contratado com os padrões e diretrizes do NIST significa que, até dezembro de 2022, todas as agências federais estão proibidas de adquirir ou renovar um contrato para obter qualquer dispositivo IoT que o Chief Information Officer (CIO) considere não conforme.

Estas são as principais implicações da Lei da IoT. Mas se você ainda não lançou seus olhos sobre isso, agora é a hora de ler o rascunho de orientação do NIST sobre cibersegurança de dispositivos IoT para uma análise mais detalhada.

O que posso fazer sobre isso?

Como você pode ver, se você faz parte de uma equipe de produto de dispositivo IoT que busca novos negócios, é hora de colocar seu projeto cibernético em ordem – se ainda não o fez.

É aconselhável avançar para esse novo padrão o mais rápido possível. Pode ser o último prego no caixão para fabricantes ou marcas que colocam seus dispositivos em produção para acelerar as vendas.

Então, aqui estão alguns movimentos inteligentes que você pode fazer desde já:

Adote uma solução de segurança cibernética proativa que proteja os dispositivos IoT do consumidor durante todo o seu ciclo de vida. A aplicação de Endpoint Detection and Response (EDR) de computador a dispositivos IoT significa que as ameaças são constantemente monitoradas, os ataques são impedidos em tempo real e o fornecimento remoto seguro de atualizações de segurança regulares protege todos os produtos contra as ameaças mais recentes. Consequentemente, os compradores terão a tranquilidade de saber que esses dispositivos úteis, que são parte integrante da vida cotidiana em casa ou no trabalho, estarão seguros, protegidos e garantindo a privacidade.

Ofereça um sistema de segurança cibernética com monitoramento de segurança 24 horas por dia, 7 dias por semana – muitos dispositivos inteligentes baseados em nuvem sofreram ataques cibernéticos nos últimos anos, mas a aplicação de monitoramento de segurança 24 horas por dia, 7 dias por semana no nível do dispositivo pode atenuar isso.

• Identifique claramente seus dispositivos como compatíveis com os novos padrões – uma vez que os líderes de compras governamentais serão mantidos por novos e exigentes padrões de conformidade, torne essa parte de seus trabalhos mais fácil explicando claramente a aderência estrita de seu produto. A rotulagem transparente do produto alinhada aos novos padrões de proteção cibernética ganhará a confiança do cliente. Se o seu produto IoT já atende a todas as recomendações de segurança cibernética acima, “bravo”.

Regras e padrões internacionais

Não se esqueça de que, caso você esteja negociando em várias jurisdições internacionais, muitos governos estrangeiros e legisladores transnacionais também estarão reforçando seus padrões de segurança cibernética para dispositivos IoT, veja alguns exemplos que poderão impactar seu negócio:

As novas leis de segurança cibernética do Reino Unido exigirão que todos os produtos conectados ao consumidor cumpram três novos requisitos de segurança; uma política de divulgação de vulnerabilidade permitindo relatórios acessíveis de problemas de segurança, proibição de senhas padrão universais e um requisito no ponto de venda para divulgar a quantidade mínima de tempo durante o qual um dispositivo receberá atualizações de segurança.

• A Lei da Cibersegurança da União Européia permite um quadro de certificação de cibersegurança em toda a UE, criando esquemas para vários produtos e serviços de TIC. Cada esquema especifica as categorias relevantes de serviços e produtos, os requisitos de segurança cibernética, incluindo especificações técnicas e padrões, o nível pretendido de garantia e o tipo de avaliação.

As regras e regulamentações estão se tornando cada vez mais rígidas em todo o mundo, mas se sua equipe de produtos de IoT estiver de olho coletivo, você pode usar sua conformidade como uma oportunidade para alavancar a confiança do consumidor e as vendas – um bônus em vez de um fardo.

Em outras palavras, Cyber-as-a-Feature está definido para se tornar um diferenciador de marca de IoT ainda mais poderoso e deve ter um lugar de destaque em seu manual de marketing.

Principais vantagens

Esperamos que esta análise do novo padrão de segurança cibernética da IoT ajude a abrir seus olhos para novas oportunidades e desafios.

Aqui estão algumas dicas importantes a serem consideradas:

O novo padrão de segurança cibernética IoT foi definido para se tornar um novo padrão aplicado a todos os dispositivos conectados. Originalmente engendrado pelo governo federal para garantir o mais alto nível de proteção cibernética para compras governamentais, o poder e a influência do governo como o maior consumidor do país irão considerá-lo um novo padrão de fato para todos os dispositivos IoT ou conectados.

Os fabricantes de produtos IoT que já passaram do SBD para a segurança cibernética proativa ,que fornece segurança e privacidade abrangentes durante todo o ciclo de vida do dispositivo e protege a privacidade dos usuários estão à frente do jogo em termos de conformidade.

Países em todo o mundo estão aplicando padrões de segurança cibernética IoT igualmente robustos – observe se você comercializa internacionalmente.

Cyber-as-a-Feature (CaaF) pode ser usado como um diferenciador altamente persuasivo quando você está vendendo um dispositivo conectado, porque conforme a nova legislação de segurança cibernética é implementada em todo o mundo, a conscientização do cliente também aumentará.

O novo padrão de segurança cibernética é uma oportunidade para você posicionar sua empresa como uma empresa líder que valoriza a privacidade e a segurança – agarre-o com as duas mãos, pois os benefícios para o seu negócio são ilimitados.

Confira o nosso post sobre o novo padrão do NIST sobre IoT:

Fonte: www.iotforall.com

Posts relacionados: Trabalho remoto aumenta as ameaças de dispositivos IoT do consumidor / Dispositivos IoT possuem sérias deficiências de segurança e 6 Dicas simples para proteger dispositivos IoT