fbpx
ArtigosEm Destaque

A Internet das Coisas: Por que “Confiança por Design” é importante?

Por Steve Olshansky
Gerente de Programas de Tecnologia da Internet

Como vimos claramente nos últimos anos, proteções inadequadas de segurança e privacidade na Internet das Coisas (IoT) podem ter impactos devastadores − em usuários da Internet e infraestrutura básica. O ataque de negação de serviço (distributed denial of service, ou DDoS) distribuído pela rede de robôs Mirai em 2016 foi um exemplo dramático dos efeitos da falta de segurança nos dispositivos IoT, e os ursos de pelúcia conectados à CloudPets tiveram a venda suspensa pela maioria dos varejistas, após ter sido revelado que milhões de gravações de voz entre pais e seus filhos foram expostas. Mas as ameaças desses dispositivos inseguros não desaparecem quando eles são atualizados ou recuperados, já que frequentemente muitos deles ainda estão em serviço e ainda estão vulneráveis.

Por causa disso, a Internet Society está particularmente focada em melhorar a segurança e a privacidade da IoT do consumidor. Como uma área em rápido crescimento, ela é especialmente vulnerável e tem sido explorada por agentes maliciosos.

É por isso que incentivamos os fabricantes a adotarem a “Confiança por Design”.

“Confiança por Design” (Trust by Design) − um termo genérico que inclui Privacidade por Design e Segurança por Design − é um componente essencial de um ecossistema saudável da IoT. Ele tem implicações significativas além da IoT para a saúde da Internet como um todo, e para todos os seus usuários.

O conceito Privacidade pelo Design (Privacy by Design) foi desenvolvido nos anos 90 pela Dra. Ann Cavoukian, em resposta aos efeitos crescentes e sistêmicos das tecnologias da informação e dos sistemas de dados em larga escala. Desde então, tornou-se um conceito fundamental, subjacente a grande parte do trabalho sobre proteção de privacidade que se seguiu. Existem 7 princípios fundamentais:

  1. Proativo não reativo: preventivo não corretivo
  2. Privacidade como configuração padrão
  3. Privacidade incorporada ao design
  4. Funcionalidade total: soma positiva, não soma zero
  5. Segurança de ponta a ponta: proteção total do ciclo de vida
  6. Visibilidade e transparência: mantenha-as abertas
  7. Respeito pela privacidade do usuário: mantenha-o centrado no usuário

Embora todos os 7 princípios sejam essenciais, há uma ênfase especial em (especialmente para os fabricantes): a privacidade incorporada ao design.

“Medidas de privacidade são incorporadas ao design e arquitetura dos sistemas de TI e das práticas de negócios. Estas medidas não são anexadas como complementos após o fato. O resultado é que a privacidade se torna um componente essencial da funcionalidade principal que está sendo entregue. A privacidade é, portanto, integral ao sistema, sem diminuir a funcionalidade”.

Existem várias interpretações de Segurança por Design (Security by Design). A Open Web Application Security Project (OWASP) Foundation faz um bom trabalho ao explicar os princípios fundamentais:

  1. Minimize a área da superfície de ataque
  2. Estabeleça padrões seguros
  3. Princípio do menor privilégio
  4. Princípio da defesa em profundidade
  5. Falhe com segurança
  6. Não confie nos serviços
  7. Separação de funções
  8. Evite a segurança pela obscuridade
  9. Mantenha a segurança simples
  10.  Corrigir corretamente os problemas de segurança

Nós acreditamos que a segurança adequada deve ser incluída em todas as etapas do projeto e da arquitetura dos sistemas de IoT, não como uma reflexão tardia.

A Estrutura de Confiança de Segurança e Privacidade da IoT (IoT Trust Framework) da Online Trust Alliance (OTA, uma iniciativa da Internet Society) tem 40 princípios fundamentais que fornecem um conjunto de diretrizes para os fabricantes, à medida que eles projetam e desenvolvem produtos e serviços − com privacidade e segurança como prioridade máxima. Desenvolvido através de um processo multissetorial orientado por consenso, essa IoT Trust Framework é única por duas maneiras significativas:

  • Ela leva em consideração os problemas do ciclo de vida associados aos produtos e serviços da IoT.
  • Ela aborda todo o ecossistema, de forma holística, incluindo dispositivos/sensores, aplicativos móveis e serviços de back-end. A maioria das estruturas se concentra apenas nos dispositivos, mas um sistema é tão forte quanto seu elo mais fraco.

Há muita coisa que todos nós podemos fazer. Em particular, é importante que:

  • Os fabricantes tomem medidas positivas para melhorar a segurança e a privacidade dos dispositivos que produzem.
  • Os varejistas entendam o papel que desempenham e o impacto que podem ter quando levam em conta esses fatores ao decidir quais produtos vender.
  • Os consumidores informem a si mesmos, usando fontes confiáveis, para entender os aspectos de segurança e privacidade dos dispositivos da IoT que estão considerando comprar, ou que já estão usando.
  • Os formuladores de políticas e reguladores analisem os papéis que podem desempenhar e trabalhem em conjunto com outras partes interessadas para obter melhores resultados

Saiba mais sobre a Confiança por Design (em inglês aquie o que fabricantes, varejistas, consumidores e formuladores de políticas podem fazer:

Isenção de responsabilidade: Os pontos de vista expressos neste post são de responsabilidade do autor e podem ou não refletir as posições oficiais da Internet Society.

Associado da ABINC tem como benefícios:

+ Preços promocionais nos eventos da associação;

+ Ter acesso às demandas e necessidades de IOT do mercado (empresas e governo);

+ Networking com todo o ecossistema de IOT ABINC;

+ Ter seus casos de sucesso em IOT divulgados para todo o mercado.

Quanto maior for a nossa comunidade, mais forte e representativo será o nosso setor. Participe!

Clique aqui e saiba mais.

Fonte: Internet Society

Tags
Mais