A Economia da Confiança: Superando Obstáculos para Melhorar a Segurança da IoT para o Consumidor

Por Ceren Ünal
Gerente Regional de Políticas − Europa

Em 2018, a Internet Society lançou a campanha Trust by Design (ou Confiança por Design, veja mais aqui), para garantir que os recursos de segurança e privacidade fossem incorporados aos produtos da Internet das Coisas (IoT). Focamos nossas atividades na IoT voltada ao consumidor, um segmento particularmente vulnerável, apesar de ter a maior participação no mercado da IoT. Acreditamos que a confiança deve ser um padrão e, por isso, trabalhamos com fabricantes e fornecedores para garantir que a privacidade e a segurança sejam incluídas na fase inicial dos projetos durante todo o ciclo de vida dos produtos, conforme descrito no OTA IoT Trust Framework (ou Estrutura de Confiança de Segurança e Privacidade da IoT, veja mais aqui). Nosso trabalho não para por aí, pois essa meta só poderá ser atingida quando os consumidores impulsionarem a demanda por recursos de segurança e privacidade como um diferenciador de mercado, e os formuladores de políticas criarem um ambiente político que fortaleça a confiança e possibilite a inovação.

Os dispositivos e serviços da IoT voltadas ao consumidor sem segurança adequada representam uma ampla gama de riscos, desde ameaças diretas à segurança e privacidade de seus proprietários, até os próprios dispositivos transformando-se em redes de robôs, que poderão iniciar ataques DDoS contra a Internet. À medida que cada vez mais dispositivos conectados, com pouca segurança, forem levados ao mercado, devido à competição e às preocupações com custos, a falta de confiança estará profundamente enraizada na economia. Para entender melhor os aspectos econômicos da segurança da IoT voltada ao consumidor, encomendamos um estudo independente conduzido pela Plum Consulting, que temos o prazer de compartilhar com você.

A economia da segurança dos produtos e serviços da IoT para o consumidor” analisa o mercado da IoT voltado ao consumidor e o atual estado de segurança (ou a falta dele), além de apontar os principais obstáculos econômicos para uma melhor segurança. Os consumidores muitas vezes não têm informações suficientes para identificar produtos com pouca segurança. Isso faz o investimento em segurança não ser visto como um diferencial competitivo para os fabricantes. Além disso, como o custo das violações de segurança recai sobre o proprietário do dispositivo ou sobre terceiros, e não sobre o fabricante, há pouco incentivo para os fabricantes investirem em segurança. Finalmente, a segurança efetiva por design requer habilidades especializadas, pode retardar o processo e pode custar mais. Devido a esses fatores, combinados com vieses cognitivos dos consumidores, os fabricantes tendem a priorizar a redução de custos e o envio rápido de produtos de IoT para o mercado.

Mas todos, de consumidores a formuladores de políticas, podem tomar medidas para incentivar os fabricantes e mudar a demanda do mercado por produtos com IoT mais seguros. Esta segurança varia de acordo com custos e dificuldades e vem com vantagens e desvantagens próprias. O relatório fornece uma taxonomia e apresenta recomendações para a indústria e os formuladores de políticas melhorarem a segurança da IoT para o consumidor, incluindo priorizar a educação do consumidor, alavancar procedimentos de aquisição pública para produtos com grande segurança, incentivar divulgações de vulnerabilidades, desenvolver uma marca de confiança (como um selo de garantia) para dispositivos seguros de IoT voltados ao consumidor, processar alegações enganosas sobre segurança e prescrever um conjunto geral de princípios de segurança. Os requisitos de segurança obrigatórios por meio de regulamentação são considerados um último recurso, e somente se todas as outras iniciativas não melhorarem a segurança no mercado da IoT para o consumidor.

A melhoria da segurança para o consumidor de produtos com IoT exige ações de um grupo diversificado de partes interessadas e suas ações se complementam. O complexo ecossistema da IoT é tão forte quanto seu elo mais fraco − e uma abordagem colaborativa à segurança é essencial para o sucesso. Apenas trabalhando em conjunto poderemos tornar mais segura a IoT para o consumidor. A economia também diz isso.

Associado da ABINC tem como benefícios:

+ Preços promocionais nos eventos da associação;

+ Ter acesso às demandas e necessidades de IOT do mercado (empresas e governo);

+ Networking com todo o ecossistema de IOT ABINC;

+ Ter seus casos de sucesso em IOT divulgados para todo o mercado.

Quanto maior for a nossa comunidade, mais forte e representativo será o nosso setor. Participe!

Clique aqui e saiba mais.

Isenção de responsabilidade: Os pontos de vista expressos neste post são de responsabilidade do autor e podem ou não refletir as posições oficiais da Internet Society.

Fonte: Internet Society

Artigo traduzido e compartilhado sob licença:

Creative Commons License

IoT – Confiança por Design

O advento de coisas conectadas em nosso dia a dia traz a promessa de conveniência, eficiência e discernimento, mas também cria uma plataforma para risco compartilhado. A Gartner projeta que mais de 20 bilhões de dispositivos estarão conectados até 2020. Variando de rastreadores de forma física, a termostatos inteligentes, bloqueios e eletrodomésticos, a Internet das Coisas (IoT) representa um enorme mercado e, em última análise, redefinirá como as pessoas irão interagir com o mundo ao seu redor.

A confiança do consumidor é fundamental para que a IoT prospere e cresça, mas muitos dos produtos e serviços atuais são lançados no mercado com o menor custo possível, com pouca consideração pelas proteções básicas de segurança e privacidade. Isso introduz vários níveis de risco, tanto para os usuários como para a própria Internet − desde vigilância inconsistente e comprometimento de dados a riscos físicos (por exemplo, bloqueios inteligentes) a câmeras de segurança, usadas como parte de uma rede de robôs para atacar a Internet. Como padrão, muitos coletam grandes quantidades de informações pessoais e confidenciais, que poderão ser compartilhadas e negociadas no mercado aberto. A maioria desses dispositivos não tem a funcionalidade (ou um método facilmente detectável) para remover facilmente os dados pessoais de alguém.

Na ausência de adoção de normas de segurança e práticas responsáveis de privacidade, estamos chegando a uma encruzilhada, onde a regulamentação poderá ser necessária. Entretanto, na realidade, a legislação por si só não será eficaz. A aprovação da regulamentação demorará muito e nunca acompanhará o cenário de ameaças em evolução.

Em resposta, mais de cem interessados, representando este ramo de atividades, o governo e advogados dos consumidores, contribuíram para um conjunto recomendado de ações básicas, como parte da Online Trust Alliance (OTA), que agora é uma iniciativa da Internet Society. A adoção deste Quadro de Confiança de IoT aumentará o nível de segurança dos dispositivos de IoT e serviços a eles relacionados, para melhor proteger os consumidores e a privacidade de seus dados. Este quadro serve vários propósitos, uma vez que:

  • Orienta o design do fabricante e do fornecedor de serviços e as opções de políticas de negócios, desde o projeto inicial até o ciclo de vida completo do produto,
  • Fornece aos compradores e canais de distribuição os filtros apropriados para avaliar a privacidade e a segurança, e
  • Dá aos formuladores de políticas os princípios de segurança necessários para uma defesa informada e política econômica.

Embora existam outras estruturas relacionadas à IoT, esse Quadro de Confiança da IoT é único, por duas razões significativas:

  • Ele abrange questões de segurança, privacidade e questões de sustentabilidade no longo prazo (ciclo de vida). Muitos outros focam apenas na segurança, ou na interoperabilidade ou privacidade, e poucos levam em conta os problemas de ciclo de vida associados a esses produtos e serviços, como fazer a transição de dados e contas associados a uma casa inteligente, ou o que fazer quando as atualizações de software não estiverem mais disponíveis para um dispositivo de longa duração, como um abridor de porta de garagem.
  • Holisticamente, ele aborda todo o ecossistema. Isso inclui dispositivos/sensores, aplicativos para dispositivos móveis e serviços de back-end. A maioria dos quadros se concentra apenas nos dispositivos, mas um sistema é tão forte quanto seu elo mais fraco.

O Quadro inclui uma lista de princípios acionáveis de oito categorias. Se forem seguidos, esses princípios poderão reduzir os riscos de segurança e privacidade, aumentar a confiança, permitindo que o ecossistema de IoT prospere:

  • Autenticação − autentique os dispositivos e usuários para impedir o acesso mal-intencionado.
  • Criptografia – criptografa, de forma abrangente, os dados para impedir a escuta ou o acesso a dados confidenciais.
  • Segurança − a segurança deverá ser incorporada a todas as áreas − dispositivos, aplicativos e serviços de back-end, oferecidos diretamente ou por terceiros. Testes e atualizações regulares deverão ser realizados para minimizar as vulnerabilidades.
  • Atualizações − informam os compradores sobre a atualização do dispositivo e fornece essas atualizações com segurança, com o mínimo de intervenção ou impacto do usuário (por exemplo, exigindo reconfiguração).
  • Privacidade − divulgue claramente políticas relacionadas à privacidade, como coleta e compartilhamento de dados, e limite a coleta àquela exigida para oferecer suporte à funcionalidade.
  • Divulgações − divulgações completas e facilmente detectáveis, abrangendo políticas de privacidade, coleta de dados, funcionalidade com ou sem conectividade e duração do suporte/patching, permitem decisões informadas do consumidor.
  • Controle − os consumidores têm escolhas e controle em relação aos dados coletados pelo dispositivo/serviço e a capacidade de transferir ou limpar os dados após a perda ou venda.
  • Comunicações − as comunicações do consumidor após a compra (por exemplo, informações de atualização/suporte) precisarão ser proativamente estabelecidas e protegidas, usando as melhores práticas recomendadas para limitar os ataques de engenharia social.

Garantir níveis adequados de segurança e privacidade para produtos e serviços de IoT é uma responsabilidade coletiva. Os princípios do Quadro poderão ser usados por uma ampla gama de partes interessadas, para cumprir seu papel na proteção dos usuários e da Internet:

  • Fornecedores de IoT e sua cadeia de suprimentos − seguindo esses princípios, os fornecedores poderão aumentar a confiança do mercado nas soluções de IoT. Para conscientizar e destacar os líderes que priorizam a segurança e a privacidade do consumidor, a Internet Society está pedindo aos fornecedores que se comprometam publicamente com os princípios do Quadro.
  • Canais de distribuição (pacotes de ofertas, varejistas) – os princípios do Quadro poderão ser usados como um filtro para determinar quais produtos transportar, garantindo melhor segurança e privacidade para os compradores. A Internet Society também está pedindo o compromisso público dessas partes interessadas para oferecer apenas produtos que apoiem os princípios do Quadro.
  • Formuladores de políticas e agências governamentais – a Internet Society está solicitando que os princípios do Quadro sejam usados para orientar políticas, leis e regulamentos associados a produtos e serviços de IoT de classes de consumidores, para reduzir os riscos de segurança e privacidade para consumidores e empresas. Os governos, como grandes compradores de soluções de IoT, também poderão usar o Quadro como base para os requisitos de compra.
  • Organizações de teste de consumo e revisão de produtos − a Internet Society está pedindo que os princípios do Quadro sejam incorporados aos processos de teste e revisão. Isso aumentará a conscientização dos consumidores quanto às suas opções de segurança e privacidade, e promoverá melhores decisões de compra.
  • Consumidores e empresas − consumidores e empresas poderão usar os princípios do Quadro como um guia para fazer escolhas informadas. Para facilitar isso, a Internet Society forneceu listas de verificação de consumidores e empresas, que resumem os princípios-chave.

Em resumo, a conveniência prometida, a eficiência e a percepção de uma Internet das Coisas conectada estão ameaçadas por riscos desnecessários introduzidos por meio de segurança e privacidade insuficientes na maioria dos produtos e atuais serviços de IoT. Um Quadro de Confiança da IoT da Internet Society identifica os principais requisitos que os fabricantes, provedores de serviços, distribuidores/compradores e responsáveis pelas políticas precisam entender, avaliar e adotar, para segurança e privacidade eficazes como parte da Internet das Coisas.

Para saber mais sobre o Quatro de Confiança e baixar a versão em Inglês, clique aqui (o documento está sendo traduzido para o Português e será publicado neste blog em breve).

Online Trust Alliance, uma iniciativa da Internet Society

Fonte: internetsociety.org

Artigo traduzido e compartilhado sob licença:

Creative Commons License