ArtigosEm Destaque

IoT – Confiança por Design

O Quadro de Confiança de IoT da OTA

O advento de coisas conectadas em nosso dia a dia traz a promessa de conveniência, eficiência e discernimento, mas também cria uma plataforma para risco compartilhado. A Gartner projeta que mais de 20 bilhões de dispositivos estarão conectados até 2020. Variando de rastreadores de forma física, a termostatos inteligentes, bloqueios e eletrodomésticos, a Internet das Coisas (IoT) representa um enorme mercado e, em última análise, redefinirá como as pessoas irão interagir com o mundo ao seu redor.

A confiança do consumidor é fundamental para que a IoT prospere e cresça, mas muitos dos produtos e serviços atuais são lançados no mercado com o menor custo possível, com pouca consideração pelas proteções básicas de segurança e privacidade. Isso introduz vários níveis de risco, tanto para os usuários como para a própria Internet − desde vigilância inconsistente e comprometimento de dados a riscos físicos (por exemplo, bloqueios inteligentes) a câmeras de segurança, usadas como parte de uma rede de robôs para atacar a Internet. Como padrão, muitos coletam grandes quantidades de informações pessoais e confidenciais, que poderão ser compartilhadas e negociadas no mercado aberto. A maioria desses dispositivos não tem a funcionalidade (ou um método facilmente detectável) para remover facilmente os dados pessoais de alguém.

Na ausência de adoção de normas de segurança e práticas responsáveis de privacidade, estamos chegando a uma encruzilhada, onde a regulamentação poderá ser necessária. Entretanto, na realidade, a legislação por si só não será eficaz. A aprovação da regulamentação demorará muito e nunca acompanhará o cenário de ameaças em evolução.

Em resposta, mais de cem interessados, representando este ramo de atividades, o governo e advogados dos consumidores, contribuíram para um conjunto recomendado de ações básicas, como parte da Online Trust Alliance (OTA), que agora é uma iniciativa da Internet Society. A adoção deste Quadro de Confiança de IoT aumentará o nível de segurança dos dispositivos de IoT e serviços a eles relacionados, para melhor proteger os consumidores e a privacidade de seus dados. Este quadro serve vários propósitos, uma vez que:

  • Orienta o design do fabricante e do fornecedor de serviços e as opções de políticas de negócios, desde o projeto inicial até o ciclo de vida completo do produto,
  • Fornece aos compradores e canais de distribuição os filtros apropriados para avaliar a privacidade e a segurança, e
  • Dá aos formuladores de políticas os princípios de segurança necessários para uma defesa informada e política econômica.

Embora existam outras estruturas relacionadas à IoT, esse Quadro de Confiança da IoT é único, por duas razões significativas:

  • Ele abrange questões de segurança, privacidade e questões de sustentabilidade no longo prazo (ciclo de vida). Muitos outros focam apenas na segurança, ou na interoperabilidade ou privacidade, e poucos levam em conta os problemas de ciclo de vida associados a esses produtos e serviços, como fazer a transição de dados e contas associados a uma casa inteligente, ou o que fazer quando as atualizações de software não estiverem mais disponíveis para um dispositivo de longa duração, como um abridor de porta de garagem.
  • Holisticamente, ele aborda todo o ecossistema. Isso inclui dispositivos/sensores, aplicativos para dispositivos móveis e serviços de back-end. A maioria dos quadros se concentra apenas nos dispositivos, mas um sistema é tão forte quanto seu elo mais fraco.

O Quadro inclui uma lista de princípios acionáveis de oito categorias. Se forem seguidos, esses princípios poderão reduzir os riscos de segurança e privacidade, aumentar a confiança, permitindo que o ecossistema de IoT prospere:

  • Autenticação − autentique os dispositivos e usuários para impedir o acesso mal-intencionado.
  • Criptografia – criptografa, de forma abrangente, os dados para impedir a escuta ou o acesso a dados confidenciais.
  • Segurança − a segurança deverá ser incorporada a todas as áreas − dispositivos, aplicativos e serviços de back-end, oferecidos diretamente ou por terceiros. Testes e atualizações regulares deverão ser realizados para minimizar as vulnerabilidades.
  • Atualizações − informam os compradores sobre a atualização do dispositivo e fornece essas atualizações com segurança, com o mínimo de intervenção ou impacto do usuário (por exemplo, exigindo reconfiguração).
  • Privacidade − divulgue claramente políticas relacionadas à privacidade, como coleta e compartilhamento de dados, e limite a coleta àquela exigida para oferecer suporte à funcionalidade.
  • Divulgações − divulgações completas e facilmente detectáveis, abrangendo políticas de privacidade, coleta de dados, funcionalidade com ou sem conectividade e duração do suporte/patching, permitem decisões informadas do consumidor.
  • Controle − os consumidores têm escolhas e controle em relação aos dados coletados pelo dispositivo/serviço e a capacidade de transferir ou limpar os dados após a perda ou venda.
  • Comunicações − as comunicações do consumidor após a compra (por exemplo, informações de atualização/suporte) precisarão ser proativamente estabelecidas e protegidas, usando as melhores práticas recomendadas para limitar os ataques de engenharia social.

Garantir níveis adequados de segurança e privacidade para produtos e serviços de IoT é uma responsabilidade coletiva. Os princípios do Quadro poderão ser usados por uma ampla gama de partes interessadas, para cumprir seu papel na proteção dos usuários e da Internet:

  • Fornecedores de IoT e sua cadeia de suprimentos − seguindo esses princípios, os fornecedores poderão aumentar a confiança do mercado nas soluções de IoT. Para conscientizar e destacar os líderes que priorizam a segurança e a privacidade do consumidor, a Internet Society está pedindo aos fornecedores que se comprometam publicamente com os princípios do Quadro.
  • Canais de distribuição (pacotes de ofertas, varejistas) – os princípios do Quadro poderão ser usados como um filtro para determinar quais produtos transportar, garantindo melhor segurança e privacidade para os compradores. A Internet Society também está pedindo o compromisso público dessas partes interessadas para oferecer apenas produtos que apoiem os princípios do Quadro.
  • Formuladores de políticas e agências governamentais – a Internet Society está solicitando que os princípios do Quadro sejam usados para orientar políticas, leis e regulamentos associados a produtos e serviços de IoT de classes de consumidores, para reduzir os riscos de segurança e privacidade para consumidores e empresas. Os governos, como grandes compradores de soluções de IoT, também poderão usar o Quadro como base para os requisitos de compra.
  • Organizações de teste de consumo e revisão de produtos − a Internet Society está pedindo que os princípios do Quadro sejam incorporados aos processos de teste e revisão. Isso aumentará a conscientização dos consumidores quanto às suas opções de segurança e privacidade, e promoverá melhores decisões de compra.
  • Consumidores e empresas − consumidores e empresas poderão usar os princípios do Quadro como um guia para fazer escolhas informadas. Para facilitar isso, a Internet Society forneceu listas de verificação de consumidores e empresas, que resumem os princípios-chave.

Em resumo, a conveniência prometida, a eficiência e a percepção de uma Internet das Coisas conectada estão ameaçadas por riscos desnecessários introduzidos por meio de segurança e privacidade insuficientes na maioria dos produtos e atuais serviços de IoT. Um Quadro de Confiança da IoT da Internet Society identifica os principais requisitos que os fabricantes, provedores de serviços, distribuidores/compradores e responsáveis pelas políticas precisam entender, avaliar e adotar, para segurança e privacidade eficazes como parte da Internet das Coisas.

Para saber mais sobre o Quatro de Confiança e baixar a versão em Inglês, clique aqui (o documento está sendo traduzido para o Português e será publicado neste blog em breve).

Online Trust Alliance, uma iniciativa da Internet Society

Fonte: internetsociety.org

Artigo traduzido e compartilhado sob licença:

Creative Commons License

Tags
Mais