Por meio do Conselho do Mundo Conectado do Fórum Econômico Mundial, líderes da Consumers International, do Cybersecurity Tech Accord e do I Am the Cavalry, representando mais de 400 organizações globalmente, colaboraram para reconhecer um consenso emergente sobre disposições básicas de cibersegurança para dispositivos IoT do consumidor.
Confira o documento na íntegra, em português:
Indústria, hackers e consumidores por uma base global para a segurança do IoT do consumidor
Dispositivos conectados à rede tornaram-se uma tendência dominante na evolução dos produtos de consumo. Hoje, desde TVs até relógios e geladeiras, fazem cada vez mais parte da internet das coisas (IoT). Enquanto esses dispositivos “inteligentes” oferecem inúmeros benefícios aos consumidores, também expõem indivíduos e organizações a riscos cibernéticos adicionais quando não são desenvolvidos e mantidos com a segurança em mente, frequentemente carecendo das capacidades de segurança dos produtos de computação tradicionais. Com bilhões de dispositivos de consumo conectados agora no mercado, e bilhões a mais prestes a serem lançados, há a necessidade de uma forte base global para a segurança do IoT na próxima geração de produtos de consumo.
Um consenso multistakeholder
Reunidos inicialmente por meio da plataforma de cooperação multistakeholder do Fórum Econômico Mundial, somos uma comunidade que reflete os interesses de pesquisadores de segurança, fornecedores de tecnologia e consumidores, alarmados pelos crescentes riscos decorrentes de dispositivos de IoT de consumo inseguros. Construir a próxima geração de produtos de consumo conectados de forma mais segura exigirá uma abordagem coesa e multistakeholder para a segurança.
Embora todos os stakeholders – fabricantes, distribuidores, fornecedores, reguladores e até mesmo os próprios consumidores – tenham papéis a desempenhar no desenvolvimento, implementação e uso seguro de produtos de IoT, a segurança do dispositivo requer que fabricantes e fornecedores que colocam dispositivos no mercado sigam as melhores práticas para garantir que os produtos sejam projetados com a segurança em mente. Com os dispositivos conectados de hoje tendo cadeias de suprimentos que se estendem ao redor do mundo, estabelecer uma base global reconhecida para a segurança do consumidor de IoT é um passo crítico em direção a um futuro digital mais resiliente e confiável.
Um consenso global para a segurança do consumidor de IoT
Damos as boas-vindas ao consenso global que se forma em torno de três capacidades-chave que podem começar a estabelecer uma base clara para a segurança do IoT do consumidor – (1) Sem senhas universais padrão; (2) Implementar uma política de divulgação de vulnerabilidades; e (3) Manter o software atualizado – e apoiamos essas como uma prioridade imediata para que fabricantes e fornecedores implementem a fim de melhorar a segurança dos dispositivos de IoT do consumidor. Além disso, nossa comunidade reconhece a importância de outras duas capacidades relacionadas à segurança de dados – (4) Comunicações seguras; e (5) Garantir que os dados pessoais estejam seguros. Juntas, essas cinco capacidades de dispositivos estão presentes em mais de 100 padrões, especificações e diretrizes em todo o mundo e estabelecem um nível mínimo de segurança que deve servir de base para todos os padrões, especificações e diretrizes de cibersegurança da IoT do consumidor.
Um padrão que defende essas capacidades é o EN 303 645, desenvolvido pelo Instituto Europeu de Normas de Telecomunicações (ETSI) como a primeira especificação globalmente aplicável da indústria que estabelece uma base para a segurança da IoT do consumidor. Apoiamos o processo colaborativo e rigoroso multistakeholder que deu origem a esse padrão, desenvolvido pela primeira vez pelo ETSI em 2019, antes de ser publicado em sua forma atual em 2020. Desde então, um número crescente de governos tem desenvolvido orientações, regulamentações e esquemas de rotulagem que refletem as 13 disposições deste padrão, mostrando que um consenso importante está emergindo.
O desenvolvimento e a implementação generalizados de padrões de segurança da IoT do consumidor permitirão um futuro em que todo consumidor possa esperar características básicas de segurança em cada dispositivo de IoT conectado. Isso é um passo fundamental no avanço da segurança do IoT em geral, que também deve se concentrar na segurança no nível da rede. Como uma comunidade global que representa uma diversidade de interesses e expertise, endossamos coletivamente essas cinco capacidades em particular – (1) Sem senhas universais padrão; (2) Implementar uma política de divulgação de vulnerabilidades; (3) Manter o software atualizado; (4) Comunicar de forma segura; e (5) Garantir que os dados pessoais estejam seguros – como uma base global para a segurança do dispositivo de IoT do consumidor. Incentivamos os governos a promoverem essas capacidades em particular para harmonizar ainda mais os padrões em torno das necessidades dos consumidores e chamamos os fabricantes e fornecedores de dispositivos de IoT a:
- Tomar medidas imediatas para garantir a implementação dessas cinco capacidades básicas e desenvolver um plano abrangente para adotar os elementos obrigatórios de todas as 13 disposições da ETSI EN 303 645 ou padrões equivalentes de base para IoT, diretrizes ou melhores práticas.
- Tomar medidas para garantir que os consumidores estejam cientes das informações de segurança, seja por meio de rotulagem de produtos ou outras formas de comunicação e/ou documentação.
Este documento pretende servir como ponto de partida para continuar construindo consenso e promovendo uma segurança robusta de dispositivos. Aqueles de nós que endossam esta declaração vêm de diferentes grupos de stakeholders, incluindo membros da indústria em várias fases da adoção dessas melhores práticas. Reconhecemos que implementar essas capacidades apresenta diferentes desafios para fabricantes e fornecedores ao redor do mundo. Reconhecemos também a ampla gama de atividades relevantes de stakeholders para este trabalho. Portanto, planejamos continuar trabalhando juntos por meio do Conselho sobre o Mundo Conectado do Fórum Econômico Mundial e do Centro de Cibersegurança sobre governança tecnológica e outros espaços para compartilhar recursos e fornecer orientação para isso. Isso inclui trabalhar para acompanhar e destacar quais empresas estão implementando essas disposições, mostrando progresso e destacando diferentes práticas e abordagens para o benefício de outros.
Para que sua organização endosse esta declaração ou para obter mais informações sobre como se envolver, por favor, entre em contato: info@cybertechaccord.org. Para conferir o documento original em inglês, acesse: https://cybertechaccord.org/industry-hackers-and-consumers-for-a-global-baseline-for-consumer-iot-security
Apoiadores (em ordem alfabética):
1) ABINC – Associação Brasileira de Internet das Coisas
2) ABO2O – Associação Brasileira Online to Offline
3) Accenture
4) AIMS360
5) AIQuatro
6) Arcelik
7) Archive360
8) Arm
9) AstraZeneca Brazil
10) Australian Communications Consumer Action Network
11) BigCloud Consultants
12) Binare.io
13) BlocPower
14) BrainBox AI Inc
15) Bsquare Corporation
16) BugCrowd
17) C4IR Brazil
18) C4IR Turkey
19) Carnegie Mellon University
20) Census Labs
21) Center for Internet Security
22) Check Point Software Technologies
23) Confederation For Consumer Organisations (TÖK)
24) Consumer Reports
25) Copper Horse Ltd
26) CUTS International
27) Cyber Threat Alliance
28) Cyber Threat Intelligence League
29) Cybereason
30) CyberPeace Institute
31) Cybersecurity Coalition
32) Cybersecurity Policy Working Group
33) Deloitte
34) Device Authority
35) Disclose.io
36) Euroconsumers
37) Ezrest e BiomarkerAi
38) Fluxus
39) Foundation for Consumer Rights (FUNDECOM)
40) F-Secure
41) Global Cyber Alliance
42) Google
43) Graymatics
44) Greenlight Information Services
45) GRIMM
46) HackerOne
47) HCL Technologies
48) Helpful Places, Inc
49) Hong Kong Consumer Council
50) Horizon Next Technology Co. Ltd.
51) HumanFirst
52) IAR Systems
53) iconectiv
54) ICS Village
55) Immersive Labs
56) Independent Security Evaluators
57) InfoCons Association
58) Institute for Security and Technology
59) IoT Security Foundation
60) IoT Security Trust Mark
61) IoT Village
62) Karsu
63) Kigen
64) Kudelski Group
65) LastWall
66) LEEDARSON IoT
67) Lexi Inc.
68) Libelium
69) Loudmouth Security
70) Luta Security
71) Madison Computer Works
72) Meddriven
73) MEXT Technology Center
74) Microsoft
75) Myanmar Consumers Union
76) NEC
77) Northwave
78) NTT
79) Pax8
80) Pentest Partners
81) Qualcomm Technologies, Inc.
82) Quantela
83) Queue Associates
84) QuintessenceLabs
85) Rapid7
86) Research Institute for Sociotechnical Cyber Security
87) Resecurity
88) SCYTHE
89) Secure Thingz
90) Sensoro
91) Signify
92) Silent Breach
93) Stratigos Security
94) Supply Chain Sandbox
95) Talion
96) The @ Company
97) The Cyber Security Agency of Singapore
98) The Department for Digital, Culture, Media and Sport (DCMS), UK Government
99) The PETRAS National Centre of Excellence for IoT Systems Cybersecurity
100) The Scientific and Technological Research Council of Turkey (TÜBİTAK) Informatics and
Information Security Research Center (BİLGEM)
101) The Victor Pineda Foundation / World Enabled
102) Thirdwayv
103) Transatel
104) Trinity Mobility Private Limited
105) TRTEST Test and Evaluation Inc.
106) Unitel S.A.
107) US Licensing Group
108) Validy Net
109) VDI – Associação de Engenheiros Brasil – Alemanha
110) Weevil Netherlands/Weevil Sverige
111) Which?
112) WISeKey
113) ZARIOT