IoT e Leis de Privacidade

Os equipamentos inteligentes ou “Internet Of Things” como são conhecidos (IoTs) coletam dados o tempo todo.

Estes dispositivos são relógios (smart watchs), TVs (Smart TVs), aparelho de ar-condicionado, lâmpadas, chaves de automóveis ou casas, roupas, dentre outros.

Estamos cercados por eles em todos os lugares, todos mesmos, pois nos “toilletes” temos vasos sanitários inteligentes. E não estou falando dos confortáveis vasos sanitários de hotéis japoneses, com aquecedor etc. Foi desenvolvido pela Universidade de Stanford um dispositivo de análises clínicas que funcionará no vaso sanitário, permitindo que médicos possam acompanhar as análises clínicas dos pacientes no seu ambiente cotidiano, não mais através de exames laboratoriais semestrais ou anuais, enviados após sintomas graves. O Prof. Dr. Ganbhir que desenvolveu o algoritmo relata o seguinte:

“Há uma nova tecnologia de detecção de doenças no laboratório de Sanjiv “Sam” Gambhir, MD PhD, e sua principal fonte de dados é a número um. E número dois. É um banheiro inteligente. Mas não o tipo que levanta sua própria tampa em preparação para o uso; esse banheiro é equipado com tecnologia que pode detectar uma variedade de marcadores de doenças nas fezes e na urina, incluindo os de alguns tipos de câncer, como câncer colorretal ou urológico. O dispositivo pode ser particularmente atraente para indivíduos geneticamente predispostos a certas condições, como síndrome do intestino irritável, câncer de próstata ou insuficiência renal, e que desejam manter-se atualizados sobre sua saúde.”

Fonte: Stanford University – Smart toilet monitors for signs of disease

Como podem ver, os equipamentos inteligentes podem coletar dados das mais diversas fontes, e estes dados podem ter um propósito benéfico ou não.

O problema é exatamente este, se não sabemos o “propósito” da coleta da informação, como poderemos confiar?

É importante as empresas que desenvolvem seus projetos com IoTs, terem em mente que é necessário que todas partes envolvidas saibam quais informações estão sendo coletadas, para que serão utilizadas, e por quanto tempo serão armazenadas. Estes são os pontos chaves das leis de proteção de dados privados (GDPR europeia e LGPD no Brasil).

Uma vez que o “termo de consentimento de uso dos dados” seja claro, as leis não são um obstáculo para utilização das novas tecnologias.

Os cuidados com segurança da informação, quando trabalhados com IoTs, que coletam dados em tempo real, devem ser redobrados. Os perigos dos ataques cibernéticos a esses equipamentos podem ser gigantescos.

Uma arquitetura de dados prevendo uma camada de segurança que aplique algoritmos de predição e prescrição de reações mediante situações duvidosas, garantem sucesso contra ataques.

O uso de Inteligência Artificial para monitoramento do fluxo de dados coletados e recebidos dos equipamentos inteligentes tem sido utilizado com sucesso nas ferramentas de proteção de dados.

Algumas empresas como FICO (Fair Isaac Company) e ACI utilizam machine learning e IA nas suas soluções de segurança transacional, muito utilizadas por bancos e empresas de cartões de crédito.

Para pequenas empresas e para o cidadão comum, sugiro os seguintes cuidados para garantir a segurança dos seus dados e privacidade:

Fonte desconhecida

1) Evite usar Bluetooth

O Bluetooth é uma tecnologia sem fio para compartilhar dados a uma curta distância sem o uso da Internet. Vários dispositivos podem ser conectados ao mesmo tempo e sincronizar ou trocar informações. Ocorre que, não é 100% seguro, pois existem vários métodos projetados por hackers para Bluetooth.

2) Use uma senha forte

Aplique todas as regras que você conhece: use números, letras maiúsculas e minúsculas aleatórias e principalmente não use a mesma senha para todos os seus dispositivos.

3) Atualize seus dispositivos sempre que surgir uma nova versão

Pode ser cansativo, mas infelizmente, nenhum sistema é 100% seguro e os hackers são incansáveis na luta para decifrar o código ou passar pelo firewall de qualquer aplicativo. Sendo assim atualize seus equipamentos sempre, porém em uma rede segura (da sua casa ou empresa), nunca faça uma atualização em uma rede Wi-fi gratuita e aberta.

4) Instale e aplique uma VPN para proteção máxima

Uma das opções mais populares é recorrer aos provedores de redes privadas virtuais para seus serviços. As VPNs são extremamente práticas e úteis. Para quem não conhece, as VPNs criptografam seus dados, quando eles são transmitidos de um dispositivo para outro, e os possíveis invasores os veem como fluxos de caracteres incompreensíveis. Além disso, uma rede privada virtual pode mascarar seu endereço IP, tornando sua localização exata desconhecida. Ao ativar uma VPN no seu roteador Wi-Fi, você protege imediatamente todos os seus dispositivos IoT que estão na rede. Além disso, eles são compatíveis com a maioria dos dispositivos inteligentes, como roteadores, consoles de jogos, telefones celulares, TVs inteligentes e similares.

5) Não “Concorde” sem “LER” os termos

Você já fez isso tantas vezes que a frase quase perdeu o significado. Se puder, evite compartilhar suas informações pessoais nas mídias sociais. Por exemplo, evite fazer check-in em locais, pois esse é um sinal imediato e óbvio de que sua casa provavelmente está vazia por algum tempo. Além disso, suas informações pessoais podem acabar em sites diferentes, portanto, você deve ler as letras miúdas e proteger sua privacidade.

6) Crie sua solução IoT sobre a plataforma IoT compatível com GDPR e LGPD

Conforme comentei acima as regras de proteção de dados são muito simples no seu contexto geral, se os seus projetos seguirem princípios básicos de governança e controle você atenderá a ambas leis sem nenhum problema.

As regras de “ouro” são:

  • Proteja seus dados de visualizadores não autorizados (segurança, firewall, VPN);
  • Tenha documentado o processo de coleta, tratamento, armazenamento e destruição de dados (governança do ciclo de vida de dados);
  • Transparência (não use LETRAS MIUDAS ou FRASES COMPLICADAS para pegar a AUTORIZAÇÃO dos seus CLIENTES);

Aos usuários dos equipamentos inteligentes (smartphones, smart TVs, smart whach, etc), se não querem compartilhar suas informações, sigam os cuidados básicos de segurança digital, leia os termos de consentimento que todos os aplicativos pedem para você autorizar.

Tudo na vida tem seu preço”! Frase popular e antiguíssima, mas totalmente aplicável às tecnologias disruptivas.

Se queremos adotar IA para prevenir doenças e catástrofes, teremos que compartilhar cada vez mais informações, teremos cada vez menos privacidade, os interesses coletivos serão sempre sobrepostos aos interesses individuais.

Fontes: FICO, ACI, Comissão Europeia GDPR, Lei Geral de Proteção de Dados, Stanford University: Smart toilet monitors for signs of disease

Preocupações com privacidade e segurança contribuem para a desconfiança do consumidor em dispositivos conectados

Setenta e três por cento dos consumidores acham que as pessoas que usam dispositivos conectados devem se preocupar com espionagem e 63% deles acham que os dispositivos conectados são “assustadores” pela maneira como coletam dados sobre pessoas e seus comportamentos.

Uma pesquisa realizada em maio passado (2019) nos Estados Unidos, Canadá, Japão, Austrália, França e Reino Unido pela IPSOS Mori, em nome da Internet Society e da Consumers International, descobriu que 65% dos consumidores estão preocupados pela forma como os dispositivos conectados coletam dados. Mais da metade deles (55%) não confia em seus dispositivos conectados1 para proteger sua privacidade, e uma proporção similar (53%) não confia em dispositivos conectados para lidar com suas informações de maneira responsável.

Os resultados da pesquisa foram anunciados na Consumers International Summit 2019 em Lisboa, Portugal, para uma audiência de organizações de consumidores de todo o mundo, trabalhando em conjunto com representantes de empresas, da sociedade civil e dos governos.

Dispositivos conectados estão em toda parte, e muitas pessoas estão dispostas a fazer parte da revolução da Internet das Coisas (Internet of Things, ou IoT). Sessenta e nove por cento dos entrevistados disseram possuir dispositivos conectados, como medidores inteligentes, monitores de condicionamento físico, brinquedos conectados, assistentes domésticos ou consoles de videogame. No entanto, os testes realizados por várias organizações de consumidores descobriram que uma série de produtos é lançada no mercado com pouca consideração pelas proteções básicas de segurança e privacidade2. Os resultados da pesquisa mostraram que 77% dos consumidores nos mercados pesquisados disseram que informações sobre privacidade e segurança são considerações importantes em suas decisões de compra, e quase um terço das pessoas (28%) disseram que não possuem um dispositivo conectado e que não compram produtos inteligentes por causa dessas preocupações. Os consumidores veem isso tão amplamente quanto uma barreira, em vez de um custo.

“Os resultados da pesquisa ressaltam a necessidade dos fabricantes de dispositivos de IoT criarem seus dispositivos tendo em mente segurança e privacidade”, disse o presidente e CEO da Internet Society, Andrew Sullivan. “Segurança não deve ser uma reflexão tardia. Está claro que os fabricantes e varejistas precisam fazer mais para que os consumidores possam confiar em seus dispositivos de IoT”.

Os entrevistados também acreditam que a responsabilidade pelas preocupações com dispositivos conectados deve caber aos reguladores, fabricantes e varejistas. Oitenta e oito por cento dos entrevistados disseram que os reguladores devem garantir os padrões de privacidade e segurança da IoT, enquanto que 81% das pessoas disseram que os fabricantes precisam fornecer essa garantia, e 80% delas disseram que os varejistas devem abordar a privacidade e a segurança. Sessenta por cento dos participantes de todos os mercados acham que os consumidores são os principais responsáveis pela segurança e privacidade de seus dispositivos conectados.

Helena Leurent, Diretora Geral da Consumers International, disse que: “Os consumidores nos disseram que aceitam ter alguma responsabilidade pela segurança e privacidade de seus produtos de IoT, mas isso não é o fim da história. Eles e nós queremos ver ações tangíveis de fabricantes, varejistas e governos sobre essa questão. Este tem que ser um esforço coletivo, não apenas a responsabilidade de um grupo. Nós estamos aprofundando esta conversa com fabricantes. Juntos, estamos olhando para a oportunidade de criar uma tecnologia centrada nas pessoas, que elas não apenas gostem de usar, mas se sintam seguras ao fazê-lo. Ao fazer isso, as empresas poderão resolver as preocupações daqueles que não estão usando essa tecnologia, e abrir os benefícios da Internet das Coisas para todos”.

Outros resultados importantes dos participantes da pesquisa mostram que:

Estados Unidos

  • 85% dos americanos concordam que os fabricantes devem apenas produzir dispositivos conectados que protejam a privacidade e a segurança;
  • 82% dos americanos concordam que os varejistas devem garantir que os dispositivos conectados que vendem tenham bons padrões de privacidade e segurança;
  • 66% dos americanos que possuem dispositivos conectados concordam que eles são “assustadores” pela maneira como coletam dados sobre pessoas e seus comportamentos.

Reino Unido

  • 85% dos britânicos concordam que os fabricantes devem apenas produzir dispositivos conectados que protejam a privacidade e a segurança;
  • 86% dos britânicos concordam que os varejistas devem garantir que os dispositivos conectados que vendem tenham bons padrões de privacidade e segurança;
  • 59% dos britânicos que possuem dispositivos conectados concordam que eles são “assustadores” pela maneira como coletam dados sobre pessoas e seus comportamentos.

França

  • 84% dos franceses concordam que os fabricantes devem apenas produzir dispositivos conectados que protejam a privacidade e a segurança;
  • 83% dos franceses concordam que os varejistas devem garantir que os dispositivos conectados que vendem tenham bons padrões de privacidade e segurança;
  • 73% dos franceses que possuem dispositivos conectados concordam que eles são “assustadores” pela maneira como coletam dados sobre pessoas e seus comportamentos.

Canadá

  • 88% dos canadenses concordam que os fabricantes devem apenas produzir dispositivos conectados que protejam a privacidade e a segurança;
  • 85% dos canadenses concordam que os varejistas devem garantir que os dispositivos conectados que vendem tenham bons padrões de privacidade e segurança;
  • 68% dos canadenses que possuem dispositivos conectados concordam que eles são “assustadores” pela maneira como coletam dados sobre pessoas e seus comportamentos.

Austrália

  • 84% dos australianos concordam que os fabricantes devem apenas produzir dispositivos conectados que protejam a privacidade e a segurança;
  • 82% dos australianos concordam que os varejistas devem garantir que os dispositivos conectados que vendem tenham bons padrões de privacidade e segurança;
  • 64% dos australianos que possuem dispositivos conectados concordam que eles são “assustadores” pela maneira como coletam dados sobre pessoas e seus comportamentos.

Japão

  • 61% dos japoneses concordam que os fabricantes devem apenas produzir dispositivos conectados que protejam a privacidade e a segurança;
  • 66% dos japoneses concordam que os varejistas devem garantir que os dispositivos conectados que vendem tenham bons padrões de privacidade e segurança;
  • 53% dos japoneses que possuem dispositivos conectados concordam que eles são “assustadores” pela maneira como coletam dados sobre pessoas e seus comportamentos.

Nota:

Em 2018, a Internet Society e a Consumers International formaram uma parceria de trabalho com o objetivo de criar uma Internet mais segura e confiável para todos. As organizações colaboram em uma ampla gama de iniciativas que envolvem consumidores, governos, órgãos reguladores e empresas sobre a importância de dispositivos de IoT para consumidores serem seguros e confiáveis. Para dicas e informações sobre o que os consumidores podem fazer para se proteger, visite: https://www.connect-smart.org/.

Sobre a Internet Society

Fundada por pioneiros da Internet, a Internet Society é uma organização sem fins lucrativos, dedicada a assegurar o desenvolvimento, a evolução e o uso aberto da Internet. Trabalhando através de uma comunidade global de capítulos e membros, a Internet Society colabora com uma ampla gama de grupos para promover as tecnologias que mantêm a Internet segura e protege e defende políticas que permitam o acesso universal. A Internet Society também é o lar organizacional da Internet Engineering Task Force (IETF). Para mais informações visite: www.internetsociety.org.

Sobre a Consumers International

A Consumers International é a organização global de associação para grupos de consumidores em todo o mundo. Acreditam em um mundo onde todos têm acesso a produtos e serviços seguros e sustentáveis. Reúnem mais de 200 organizações membros em mais de 100 países para capacitar e defender os direitos dos consumidores em todos os lugares. São a voz deles nos fóruns internacionais de formulação de políticas e no mercado global para garantir que eles sejam tratados de forma segura, justa e honesta. São resolutamente independentes, sem restrições de empresas ou partidos políticos. Trabalham em questões que impactam os consumidores na era digital, incluindo comércio eletrônico, privacidade e segurança de dados, a Internet das Coisas, acessibilidade e acesso. Querem que os consumidores obtenham o melhor da economia digital e da sociedade sem comprometer a qualidade, o cuidado e o tratamento justo.

Sobre a pesquisa

  1. As entrevistas foram conduzidas online pela Ipsos MORI em uma amostra de cota representativa em seis países (1.000 adultos entre 18 e 65 anos na Austrália, 1.072 adultos entre 18 e 75 anos no Canadá, 1.094 adultos entre 16 e 75 anos na França, 1.000 adultos entre 18 e 65 anos Japão, 1.130 adultos com idades entre 16 e 75 anos no Reino Unido e 1.085 adultos entre 18 e 75 anos nos Estados Unidos). Os dados foram coletados entre 1 e 6 de março de 2019, e foram ponderados para o perfil conhecido da respectiva população.
  2. Os números “globais” citados são derivados da agregação das porcentagens para cada mercado, ponderada pelos números da população nos respectivos países. O número para qualquer mercado específico pode ser maior ou menor que a porcentagem total.
  3. A formulação completa das perguntas para cada uma das questões mencionadas neste comunicado é fornecida no documento de resultados “topline”.
  4. Esta pesquisa foi realizada pela Ipsos para a Consumers International e para a Internet Society.

1. Para esta pesquisa, definimos dispositivos inteligentes como produtos e dispositivos do dia-a-dia que podem se conectar à Internet usando Wi-Fi ou Bluetooth, como medidores inteligentes, monitores de condicionamento físico, brinquedos conectados, assistentes domésticos ou consoles de jogos. A definição excluiu tablets, telefones celulares e laptops.

2. Por exemplo:
https://www.forbrukerradet.no/side/significant-security-flaws-in-smartwatches-for-children/
https://www.forbrukerradet.no/siste-nytt/connected-toys-violate-consumer-laws/
https://www.consumerreports.org/televisions/samsung-roku-smart-tvs-vulnerable-to-hacking-consumer-reports-finds/

Fonte: Internet Society

Artigo traduzido e compartilhado sob licença:

Creative Commons License

Associado da ABINC tem como benefícios:

+ Preços promocionais nos eventos da associação;

+ Ter acesso às demandas e necessidades de IOT do mercado (empresas e governo);

+ Networking com todo o ecossistema de IOT ABINC;

+ Ter seus casos de sucesso em IOT divulgados para todo o mercado.

Quanto maior for a nossa comunidade, mais forte e representativo será o nosso setor. Participe!

Clique aqui e saiba mais.

A Internet das Coisas: Por que “Confiança por Design” é importante?

Por Steve Olshansky
Gerente de Programas de Tecnologia da Internet

Como vimos claramente nos últimos anos, proteções inadequadas de segurança e privacidade na Internet das Coisas (IoT) podem ter impactos devastadores − em usuários da Internet e infraestrutura básica. O ataque de negação de serviço (distributed denial of service, ou DDoS) distribuído pela rede de robôs Mirai em 2016 foi um exemplo dramático dos efeitos da falta de segurança nos dispositivos IoT, e os ursos de pelúcia conectados à CloudPets tiveram a venda suspensa pela maioria dos varejistas, após ter sido revelado que milhões de gravações de voz entre pais e seus filhos foram expostas. Mas as ameaças desses dispositivos inseguros não desaparecem quando eles são atualizados ou recuperados, já que frequentemente muitos deles ainda estão em serviço e ainda estão vulneráveis.

Por causa disso, a Internet Society está particularmente focada em melhorar a segurança e a privacidade da IoT do consumidor. Como uma área em rápido crescimento, ela é especialmente vulnerável e tem sido explorada por agentes maliciosos.

É por isso que incentivamos os fabricantes a adotarem a “Confiança por Design”.

“Confiança por Design” (Trust by Design) − um termo genérico que inclui Privacidade por Design e Segurança por Design − é um componente essencial de um ecossistema saudável da IoT. Ele tem implicações significativas além da IoT para a saúde da Internet como um todo, e para todos os seus usuários.

O conceito Privacidade pelo Design (Privacy by Design) foi desenvolvido nos anos 90 pela Dra. Ann Cavoukian, em resposta aos efeitos crescentes e sistêmicos das tecnologias da informação e dos sistemas de dados em larga escala. Desde então, tornou-se um conceito fundamental, subjacente a grande parte do trabalho sobre proteção de privacidade que se seguiu. Existem 7 princípios fundamentais:

  1. Proativo não reativo: preventivo não corretivo
  2. Privacidade como configuração padrão
  3. Privacidade incorporada ao design
  4. Funcionalidade total: soma positiva, não soma zero
  5. Segurança de ponta a ponta: proteção total do ciclo de vida
  6. Visibilidade e transparência: mantenha-as abertas
  7. Respeito pela privacidade do usuário: mantenha-o centrado no usuário

Embora todos os 7 princípios sejam essenciais, há uma ênfase especial em (especialmente para os fabricantes): a privacidade incorporada ao design.

“Medidas de privacidade são incorporadas ao design e arquitetura dos sistemas de TI e das práticas de negócios. Estas medidas não são anexadas como complementos após o fato. O resultado é que a privacidade se torna um componente essencial da funcionalidade principal que está sendo entregue. A privacidade é, portanto, integral ao sistema, sem diminuir a funcionalidade”.

Existem várias interpretações de Segurança por Design (Security by Design). A Open Web Application Security Project (OWASP) Foundation faz um bom trabalho ao explicar os princípios fundamentais:

  1. Minimize a área da superfície de ataque
  2. Estabeleça padrões seguros
  3. Princípio do menor privilégio
  4. Princípio da defesa em profundidade
  5. Falhe com segurança
  6. Não confie nos serviços
  7. Separação de funções
  8. Evite a segurança pela obscuridade
  9. Mantenha a segurança simples
  10.  Corrigir corretamente os problemas de segurança

Nós acreditamos que a segurança adequada deve ser incluída em todas as etapas do projeto e da arquitetura dos sistemas de IoT, não como uma reflexão tardia.

A Estrutura de Confiança de Segurança e Privacidade da IoT (IoT Trust Framework) da Online Trust Alliance (OTA, uma iniciativa da Internet Society) tem 40 princípios fundamentais que fornecem um conjunto de diretrizes para os fabricantes, à medida que eles projetam e desenvolvem produtos e serviços − com privacidade e segurança como prioridade máxima. Desenvolvido através de um processo multissetorial orientado por consenso, essa IoT Trust Framework é única por duas maneiras significativas:

  • Ela leva em consideração os problemas do ciclo de vida associados aos produtos e serviços da IoT.
  • Ela aborda todo o ecossistema, de forma holística, incluindo dispositivos/sensores, aplicativos móveis e serviços de back-end. A maioria das estruturas se concentra apenas nos dispositivos, mas um sistema é tão forte quanto seu elo mais fraco.

Há muita coisa que todos nós podemos fazer. Em particular, é importante que:

  • Os fabricantes tomem medidas positivas para melhorar a segurança e a privacidade dos dispositivos que produzem.
  • Os varejistas entendam o papel que desempenham e o impacto que podem ter quando levam em conta esses fatores ao decidir quais produtos vender.
  • Os consumidores informem a si mesmos, usando fontes confiáveis, para entender os aspectos de segurança e privacidade dos dispositivos da IoT que estão considerando comprar, ou que já estão usando.
  • Os formuladores de políticas e reguladores analisem os papéis que podem desempenhar e trabalhem em conjunto com outras partes interessadas para obter melhores resultados

Saiba mais sobre a Confiança por Design (em inglês aquie o que fabricantes, varejistas, consumidores e formuladores de políticas podem fazer:

Isenção de responsabilidade: Os pontos de vista expressos neste post são de responsabilidade do autor e podem ou não refletir as posições oficiais da Internet Society.

Associado da ABINC tem como benefícios:

+ Preços promocionais nos eventos da associação;

+ Ter acesso às demandas e necessidades de IOT do mercado (empresas e governo);

+ Networking com todo o ecossistema de IOT ABINC;

+ Ter seus casos de sucesso em IOT divulgados para todo o mercado.

Quanto maior for a nossa comunidade, mais forte e representativo será o nosso setor. Participe!

Clique aqui e saiba mais.

Fonte: Internet Society

Consumer Electronics Show (CES): tudo está conectado, mas e sobre segurança e privacidade?

Por Steve Olshansky (Gerente de Programa de Tecnologia da Internet, Internet Society) e Jeff Wilbur (Diretor Técnico, Online Trust Alliance)

No mês passado, nós estivermos na Consumer Electronics Show (também conhecida como CES) em Las Vegas, com mais de 180.000 de nossos amigos mais próximos. E, se você quisesse falar com todos os 4.500 expositores presentes, você teria menos de 30 segundos para cada estande. Muitos artigos abordaram as novidades legais, por isso, neste blog, vamos discutir nossas impressões gerais relacionadas ao nosso trabalho sobre segurança e privacidade da IoT do consumidor.

Não surpreendentemente, houve muitas sessões de conferências interessantes e uma grande variedade de produtos inovadores em exibição, incluindo alguns que pareciam aumentar os limites de credibilidade em suas reivindicações. A integração de dispositivos com plataformas de voz e outras plataformas estava em toda parte − Amazon Alexa, Google Assistant, Apple HomeKit e Samsung SmartThings sendo os mais amplamente adotados até hoje. O 5G foi um tema quente, especialmente por suas velocidades e flexibilidade aprimoradas, embora detalhes específicos sobre sua disponibilidade ainda sejam difíceis de definir.

Atualmente, tudo está sendo conectado à Internet − desde brinquedos para gatos a simuladores esportivos e automação residencial. Uma área que parece estar ganhando mais tração, porque foi além do estágio de “engenhoca”, e está resolvendo problemas reais, são os serviços para a saúde e o bem-estar prestados no lar. Eles variam de ferramentas para monitorar e melhorar sua saúde até ferramentas que monitoram pessoas idosas ou deficientes, e que enviam alertas ou prestam assistência. Esses dispositivos conectados à nossa volta estão coletando e transmitindo uma grande quantidade de dados sobre nós − nossos hábitos, nossos interesses, nossos movimentos (tanto físicos quanto online), nossas comunicações (em muitos casos, incluindo nossas conversas faladas), e sobre outros dispositivos que usamos. O aprendizado das máquina e a inteligência artificial estão sendo aplicados tanto para analisar atividades (o que a câmera está vendo?) quanto para controlar, proativamente, os arredores (acender luzes e ligar uma lista de coisas, quando você chega do trabalho).

O que leva a muitas perguntas, que incluem:

  • O que acontece com todos esses dados depois de coletados e transmitidos para a nuvem? Quem tem acesso a eles e em que circunstâncias?
  • O que está acontecendo nos bastidores, dentro dos e entre os fabricantes, para correlacionar e analisar os dados coletados e tirar conclusões sobre nós e nossas vidas?
  • Se houver, de quais capacidades os usuários precisam para entender e controlar o que está sendo coletado e transmitido, e como está sendo usado?
  • Os usuários têm a capacidade para revisar os dados retidos e excluir alguns ou todos os pedidos?
  • Como consumidores, quanto podemos esperar que a indústria monitore e se policie?
  • Qual deveria ser o papel dos reguladores e das autoridades políticas na proteção dos consumidores contra ações inadequadas por parte dos fabricantes e dos prestadores de serviços a eles relacionados?

Embora a segurança e a privacidade tenham sido discutidas em algumas sessões específicas, o foco em recursos, funcionalidade e conveniência determinou o dia. Como as manchetes frequentes sobre lapsos de segurança e privacidade nos serviços de IoT para os consumidores aumentaram a conscientização e as preocupações, tanto dos consumidores quanto dos formuladores de políticas, acreditamos que a indústria tem a oportunidade de abordar, de maneira proativa, a segurança e a privacidade, e torná-las parte da discussão central. Para ajudar a fornecer orientações sobre a implementação de níveis apropriados de segurança e privacidade, a Online Trust Alliance (OTA), uma iniciativa da Internet Society, produziu o Quadro de Confiança de IoT. Esse conjunto de 40 princípios abrange questões de segurança, privacidade e sustentabilidade no longo prazo (ciclo de vida). Ela pretende ser um guia para os fabricantes de IoT, para compras (incluindo governos) e para os varejistas usarem como um “filtro” para avaliar os produtos e serviços que eles escolhem para vender.

Como você pode aprender mais? A Internet Society produziu vários recursos sobre as várias questões que envolvem a IoT, inclusive com nosso parceiro Consumers International (a associação de membros de grupos de consumidores em todo o mundo), como (Nota do Editor: boa parte desses materiais estão sendo traduzidos e serão publicados aqui no site da ABINC ao longo do tempo):

E, finalmente, nosso centro de recursos da IoT em https://www.internetsociety.org/iot/

O futuro conectado está aqui. Imagine as possibilidades. #GetIoTSmart

Associado da ABINC tem como benefícios:

+ Preços promocionais nos eventos da associação;

+ Ter acesso às demandas e necessidades de IOT do mercado (empresas e governo);

+ Networking com todo o ecossistema de IOT ABINC;

+ Ter seus casos de sucesso em IOT divulgados para todo o mercado.

Quanto maior for a nossa comunidade, mais forte e representativo será o nosso setor. Participe!

Clique aqui e saiba mais.

Building TrustInternet of Things (IoT)Privacy

Fonte: internetsociety.org

Artigo traduzido e compartilhado sob licença:

Creative Commons License

O berçário conectado

Neste mês, a internetsociety.org pediu aos pais que compartilhassem suas experiências sobre criar filhos na era da tecnologia. A autora convidada desta vez foi Kimberly Rae Miller, autora de Beautiful Bodies e do best-seller de memórias Coming Clean.

Ser pai significa viver com ansiedade constante e subjacente sobre quase tudo, desde como cortar cachorros-quentes, até a velha jaqueta de inverno versus o enigma do assento do carro, até saber se toda a tecnologia usada para manter as crianças vivas/tornar a vida com elas mais fácil, na verdade, vai acabar com elas/destruir sua vida.

Este último tópico requer um pouco de dissonância cognitiva. A maioria de nós conhece pelo menos algumas das armadilhas da nossa vida conectada. Afinal de contas, o assistente digital na minha sala sabia que eu estava grávida novamente cerca de cinco segundos depois que eu fiz o teste (e sim, há testes de gravidez caseiros com Bluetooth), e, quase imediatamente, anúncios de fraldas e de mobília para berçário começaram a aparecer quando eu fiz compras online. Na maior parte do tempo, deixo de lado o quanto isso me incomoda, porque as engenhocas e os dispositivos que tornam a maternidade um pouco mais fácil talvez valham a invasão de privacidade.

Quando eu estava grávida do meu filho de dois anos de idade, eu sabia que não conhecia muitas coisas e estava disposta a desembolsar uma boa parte de minhas economias para adquirir qualquer coisa que prometesse manter meu bebê seguro. Obcecada com todos os anúncios de mídia social relacionados ao bebê, passei horas discutindo se deveria comprar um glorificado aquecedor de mamadeiras, que enviaria fórmulas com base na idade do meu filho e registrava a ingestão de alimentos, além de fazer planilhas para comparar e contrastar as virtudes de vários monitores de bebê. Claro, nossos amigos nos deram um antigo monitor de áudio, mas a extravagante câmera para a qual eu continuava a voltar, significava que cada movimento de meu bebê seria transmitido em um feed de 24 horas… contanto que eu continuasse pagando a taxa de assinatura mensal. Será que algum babaca na Internet me observaria enquanto eu amamentava, ou tentaria descobrir o nome do meu primeiro animal de estimação − talvez, mas eu me importava mais com meu bebê do que com a minha privacidade.

Gastei 300 dólares por uma meia mágica, que monitorava a frequência cardíaca e a respiração do meu bebê enquanto ele dormia. Uma necessidade que eu prontamente vendi por cerca da metade do que paguei, quando percebi que meu filho nunca dormiu o suficiente para que isso fosse um problema. Agora que estamos em pleno território infantil, eu me vejo constantemente tentando administrar a vida online de um garoto de dois anos, que pode navegar no meu tablet melhor do que eu e que pode invocar maratonas de “Tubarões de bebês” de qualquer espaço em nossa casa, graças a essas coisas digitais sempre presentes que eu uso, principalmente para verificar as condições do clima.

Talvez seja a síndrome do segundo filho, mas agora que estou grávida de novo, não estou tão tentada a investir na última tecnologia infantil. Provavelmente vou comprar outra câmera para o quarto desse garoto − eventualmente − mas, dessa vez, minhas prioridades estão mais focadas nos aspectos básicos de segurança. Então, talvez, apenas talvez, eu me apresse para adquirir a combinação de bloco/escala, que pode representar graficamente o crescimento do meu bebê no meu smartphone. Porque não adicionar mais uma coisa à obsessão? Afinal, eu sou uma mãe.

O futuro conectado está aqui. Imagine as possibilidades. #GetIoTSmart

Sobre a autora: Kimberly Rae Miller é uma autora, editora e blogueira best-seller, que vive em Nova York. Seu livro de memórias de 2013, Coming Clean, vendeu mais de 100.000 cópias em todo o mundo. Além disso, seus artigos sobre vida saudável foram publicados na rede de blogs da Conde Nast, no Social Workout, na rede de mulheres do Yahoo, em Shine, e em várias revistas. Ela também contribui com notícias sobre entretenimento para a Rádio CBS e a CBS New York.

Fonte: https://www.internetsociety.org/

Artigo traduzido e compartilhado sob licença:

Creative Commons License

Estrutura de Confiança de Segurança e Privacidade da IoT, v2.5

O IoT Trust Framework® inclui um conjunto de princípios estratégicos necessários para ajudar a proteger dispositivos da IoT e seus dados, quando enviados e durante todo o seu ciclo de vida. Por meio de um processo de múltiplas partes interessadas, orientado por consenso, foram identificados critérios para tecnologias domésticas, de escritório e wearables conectados, incluindo brinquedos, rastreadores de atividade e dispositivos de condicionamento físico. A Framework descreve a necessidade de divulgações abrangentes que precisam ser fornecidas antes da compra do produto, políticas relativas à coleta de dados, uso e compartilhamento, bem como os termos e condições de segurança de correções após a garantia.

As atualizações de segurança são essenciais para maximizar a proteção de dispositivos da IoT, quando as vulnerabilidades são descobertas e os ataques evoluem. Além disso, a Framework fornece recomendações para os fabricantes aumentarem a transparência e a comunicação em relação à capacidade dos dispositivos de serem atualizados e a uma série de questões relacionadas à privacidade de dados.

Essencial para abordar os riscos de segurança inerentes e problemas de privacidade é a aplicação dos princípios a toda a solução ou ecossistema do dispositivo. Isso inclui o dispositivo ou sensor, os aplicativos de suporte e os serviços de backend/nuvem. Como muitos produtos que chegam ao mercado dependem de componentes e softwares de código aberto ou de terceiros, cabe aos desenvolvedores aplicar esses princípios e realizar avaliações de segurança da cadeia de suprimentos e de privacidade.

Servindo como um guia de avaliação de risco para desenvolvedores, compradores e varejistas, a Framework é a base para futuros programas de certificação da IoT. O objetivo da OTA é destacar os dispositivos que atendem a esses padrões para ajudar os consumidores, bem como os setores público e privado, a tomar decisões de compra informadas. A Framework e os recursos relacionados estão disponíveis em https://otalliance.org/IoT.

A Framework é dividida em 4 áreas principais:

  • Princípios de Segurança (1-12) − Aplicável a qualquer dispositivo ou sensor e todos os aplicativos e serviços de nuvem de back-end. Elas abrangem desde a aplicação de um rigoroso processo de segurança de desenvolvimento de software até a adesão aos princípios de segurança de dados, para dados armazenados e transmitidos pelo dispositivo, para fornecer gerenciamento de cadeia, testes de penetração e programas de relatórios de vulnerabilidade. Outros princípios descrevem o requisito de patching de segurança do ciclo de vida.
  • Acesso do Usuário e Credenciais (13-17) − Requisito de criptografia de todas as senhas e nomes de usuários, envio de dispositivos com senhas exclusivas, implementação de processos de redefinição de senha geralmente aceitos e integração de mecanismos para evitar tentativas de login de “força bruta”.
  • Privacidade, Divulgação e Transparência (18 a 33) − Requisitos consistentes com os princípios de privacidade geralmente aceitos, incluindo divulgações proeminentes em embalagens, ponto de venda e/ou postagem online, recurso para que os usuários tenham a capacidade de redefinir dispositivos para configurações de fábrica e conformidade com os requisitos regulamentares aplicáveis, incluindo o GDPR da UE e os regulamentos de privacidade das crianças. Também aborda as divulgações sobre o impacto nos recursos ou na funcionalidade do produto, se a conectividade estiver desativada.
  • Notificações e práticas recomendadas relacionadas (34-40) − A chave para manter a segurança dos dispositivos é ter mecanismos e processos para notificar prontamente o usuário sobre as ameaças e ações necessárias. Os princípios incluem a exigência de autenticação de e-mail para notificações de segurança e que as mensagens devem ser comunicadas claramente aos usuários de todos os níveis de leitura. Além disso, os requisitos de embalagem e acessibilidade à prova de adulteração são destacados.
IoT Trust Framework – ˜ Necessária (obrigatória) | Recomendada
Segurança – Dispositivo, Apps e Serviços na nuvem
1. Divulgue se o dispositivo é capaz de receber atualizações relacionadas à segurança e, se sim, divulgue se o dispositivo pode receber atualizações de segurança automaticamente, e qual ação do usuário é necessária para garantir que o dispositivo seja atualizado corretamente e em tempo hábil. ˜
2. Certifique-se de que os dispositivos e aplicativos associados oferecem suporte aos protocolos e práticas recomendadas de segurança e criptografia geralmente aceitos atualmente. Todos os dados pessoalmente identificáveis em trânsito e em armazenamento devem ser criptografados usando os atuais padrões de segurança geralmente aceitos. Estes incluem, mas não se limitam a conexões por fio, Wi-Fi e Bluetooth.  

˜

3. Todos os sites de suporte da IoT devem criptografar totalmente a sessão do usuário do dispositivo para os serviços de back-end. As práticas recomendadas atuais incluem HTTPS e HTTP Strict Transport Security (HSTS) como padrão, também conhecidas como AOSSL ou Always On SSL. Os dispositivos devem incluir mecanismos para autenticar, de forma confiável, seus serviços de back-end e aplicativos de suporte1.  

˜

4. Os sites de suporte da IoT devem implementar o monitoramento regular e a melhoria      contínua da segurança dos sites e das configurações do servidor para, aceitavelmente, reduzir o impacto das vulnerabilidades. Realize testes de penetração pelo menos semestralmente2. ˜
5. Estabeleça divulgação coordenada de vulnerabilidades, incluindo processos e sistemas para receber, rastrear e responder prontamente relatórios de vulnerabilidade externos de terceiros, incluindo, entre outros, clientes, consumidores, comunidade acadêmica e comunidade de pesquisa. Corrija de vulnerabilidades e ameaças pós-lançamento de design de lançamento de produtos de maneira publicamente responsável, seja por meio de atualizações remotas e/ou por meio de notificações acionáveis do consumidor, ou outros mecanismos efetivos. Os desenvolvedores devem considerar os programas de “bug bounty” e métodos de crowdsourcing para ajudar a identificar vulnerabilidades.  

 

˜

 6. Assegure-se de que um mecanismo esteja em vigor para métodos seguros e seguros automatizados, para fornecer atualizações de software e/ou firmware, correções e revisões. Essas atualizações devem ser assinadas e/ou verificadas de outra forma como provenientes de uma fonte confiável, incluindo, mas não se limitando a, assinatura e verificação de integridade.  

˜

7. Atualizações e patches não devem modificar as preferências, segurança e/ou configurações de privacidade feitas pelo usuário, sem o seu conhecimento. Nos casos em que o firmware ou software do dispositivo for sobregravado no primeiro uso, o usuário deve ter a capacidade de revisar e selecionar as configurações de privacidade.  

˜

8. Os processos de atualização de segurança devem divulgar se eles são Automatizados (vs automáticos). As atualizações automáticas fornecem aos usuários a capacidade de aprovar, autorizar, ou rejeita-las. Em certos casos, um usuário pode querer decidir como e quando as atualizações serão feitas, incluindo, mas não se limitando ao consumo e à conexão de dados por meio de sua operadora de celular ou conexão ISP. Por outro lado, as atualizações automáticas são enviadas aos dispositivos sem interrupções, sem interação com o usuário, e podem ou não fornecer aviso prévio a ele.  

˜

9. Assegure-se de que todos os dispositivos IoT e softwares associados tenham sido submetidos a testes rigorosos e padronizados de desenvolvimento de software, incluindo teste de unidade, sistema, aceitação e regressão e modelagem de ameaças, além de manter um inventário da fonte para qualquer fonte aberta, código e/ou componentes. Empregue técnicas geralmente aceitas de código e proteção do sistema em uma variedade de cenários de casos típicos de uso, incluindo a prevenção de qualquer vazamento de dados entre o dispositivo, os aplicativos e os serviços na nuvem. O desenvolvimento de software seguro exige pensar na segurança desde o início de um projeto até a implementação, teste e implantação. Os dispositivos devem ser enviados com o software atual e/ou com atualizações automáticas de primeira inicialização, para resolver quaisquer vulnerabilidades críticas conhecidas.  

 

˜

10. Conduza avaliações de segurança e de conformidade de riscos para todos os provedores de serviços e de nuvem. Veja o guia de recursos de IoT https://otalliance.org/IoT ˜
11. Desenvolva e mantenha uma “lista de materiais”, incluindo software, firmware, hardware e bibliotecas de software de terceiros (incluindo módulos de software livre e plug-ins). Isso se aplica aos serviços de dispositivos, dispositivos móveis e nuvem para ajudar a corrigir rapidamente as vulnerabilidades relatadas. x
12. Projete os dispositivos para os requisitos mínimos necessários para a operação. Por exemplo, portas USB ou slots de cartão de memória devem ser incluídos, se forem necessários para a operação e manutenção do dispositivo. As portas e os serviços não utilizados devem ser desativados. ˜
Acesso e credenciais dos usuários
13. Inclua autenticação forte como padrão, inclusive o fornecimento de senhas exclusivas, geradas pelo sistema ou de uso único; ou, alternativamente, use credenciais de certificado seguro. Conforme necessário, exija o uso de senhas exclusivas para acesso administrativo, delineando entre dispositivos e serviços e o respectivo impacto das redefinições de fábrica.  

˜

14. Forneça mecanismos de recuperação geralmente aceitos para aplicativos de IoT e senhas de suporte e/ou mecanismos para redefinição de credenciais, usando a verificação e autenticação de múltiplos fatores (e-mail , telefone, etc.), onde não existir senha de usuário. ˜
15. Tome medidas para proteger contra ‘força bruta’ e/ou outras tentativas abusivas de login (como robôs de login automatizados, etc.), bloqueando ou desativando contas de suporte a usuários e dispositivos após um número razoável de tentativas inválidas de login. ˜
16. Forneça aos usuários notificação de redefinição ou de alteração de senhas, ou alterações utilizando autenticação segura e/ou aviso (s) fora de banda (s). ˜
17. Credenciais de autenticação, incluindo, mas não se limitando a senhas de usuários, devem ser salgadas, com hash e/ou criptografadas. Isto se aplica a todas as credenciais armazenadas, para ajudar a impedir ataques não autorizados e ataques de força bruta. ˜
Privacidade, divulgações e transparência
18. Assegure que as políticas de privacidade, segurança e suporte sejam facilmente detectáveis, claras e prontamente disponíveis para revisão antes da compra, ativação, download, ou inscrição. Além da colocação proeminente na embalagem do produto e em seu site, recomenda-se que as empresas utilizem QR Codes, URLs curtos e outros métodos similares no ponto de venda.  

˜

 19. Divulgue a duração e o suporte de segurança e patch no final da vida útil (além da garantia do produto). O suporte pode terminar em uma data de término da validade, como 1º de janeiro de 2025, ou por uma duração específica no momento da compra, não muito diferente de uma garantia tradicional. Idealmente, tais divulgações devem estar alinhadas com a expectativa de vida útil do dispositivo e comunicadas aos consumidores antes da compra. (Reconhece-se que os dispositivos de IoT não possam ser indefinidamente seguros e controláveis. Considere a possibilidade de comunicar os riscos de usar um dispositivo além de sua data de validade e o impacto e risco para os outros, se os avisos forem ignorados ou se o dispositivo não for retirado). Se os usuários precisarem pagar taxas ou assinar um contrato de suporte anual, isso deve ser divulgado antes da compra.  

 

˜

 20. Divulgue claramente quais tipos e atributos de dados pessoalmente identificáveis e sensíveis serão coletados e como eles serão usados, limitando a coleta a dados que sejam razoavelmente úteis para a funcionalidade e a finalidade para a qual estão sendo coletados. Divulgue e forneça aos consumidores a possibilidade de optar por quaisquer outros fins.  

˜

21. Divulgue o que e como os recursos deixarão de funcionar se a conectividade ou os serviços de back-end ficarem desabilitados ou forem interrompidos, incluindo, entre outros, o possível impacto na segurança física. Inclua o que acontece quando o dispositivo não receber mais atualizações de segurança ou se o usuário não atualizar o dispositivo. (Considere a criação de controles para desabilitar a conectividade ou desativar portas para reduzir possíveis ameaças, mantendo a funcionalidade principal do produto, com base no uso do dispositivo, pesando possíveis problemas de vida/segurança). ˜
22. Divulgue a política de retenção de dados e a duração do armazenamento de informações pessoais identificáveis. ˜
23. Os dispositivos de IoT devem fornecer aviso e/ou solicitar confirmação do usuário ao fazer o emparelhamento inicial, a integração e/ou a conexão com outros dispositivos, plataformas ou serviços. ˜
24. Divulgue se e como a propriedade do dispositivo/produto/serviço da IoT e os dados podem ser transferidos (por exemplo, uma casa conectada sendo vendida para uma nova empresa, proprietário, ou a venda de um rastreador de fitness). ˜
 25. Somente compartilhe os dados pessoais dos consumidores com terceiros com o consentimento dos consumidores, a menos que seja necessário e limitado para o uso dos recursos do produto ou operação do serviço. Exija que os provedores de serviços terceirizados sejam mantidos nas mesmas políticas, incluindo a retenção desses dados em requisitos de confiança e notificação de qualquer perda de dados/incidente de violação e/ou acesso não autorizado.  

˜

 26. Forneça controles e/ou documentação que permitam ao consumidor analisar e editar as preferências de privacidade do dispositivo IoT, incluindo a capacidade de redefinir para o “padrão de fábrica”. ˜
 27. Comprometa-se a não vender ou transferir quaisquer dados de consumidores identificáveis, a menos que seja uma parte dependente da venda ou liquidação da empresa principal, que originalmente coletou os dados, desde que a política de privacidade da parte adquirente não altere substancialmente os termos. Caso contrário, a notificação e o consentimento devem ser obtidos.  

˜

 28. Ofereça a possibilidade de um consumidor devolver um produto sem custos após analisar as práticas de privacidade apresentadas antes da operação, desde que tais termos não sejam divulgados de maneira visível antes da compra. O prazo (número de dias) para devolução de produtos deve ser consistente com as atuais políticas de troca do varejista, ou como foi anteriormente especificado.  

˜

 29. Sempre que a oportunidade se apresentar para recusar ou não optar por qualquer política, as consequências devem ser explicadas de forma clara e objetiva, incluindo qualquer impacto sobre os recursos ou a funcionalidade do produto. Recomenda-se que a possibilidade do usuário final optar por e/ou compartilhar dados seja comunicada ao usuário final. ˜
30. Cumprir os regulamentos aplicáveis, incluindo, entre outros, a Lei de Proteção da Privacidade Online para Crianças (COPPA) e os requisitos regulamentares internacionais de privacidade, segurança e transferência de dados3,4. ˜
 31. Publique claramente a história das alterações do aviso de privacidade do material por no mínimo dois anos. As melhores práticas incluem carimbo de data, linhas vermelhas e resumo dos impactos das mudanças. ˜
32. Ofereça a capacidade do usuário, ou seu procurador, excluir ou tornar dados anônimos, pessoais ou confidenciais armazenados nos servidores da empresa (outros dados do histórico de transações de compra), ao interromper o uso, em caso de perda, ou da venda do dispositivo. x
 33. Ofereça a possibilidade de redefinir um dispositivo e aplicativo para as configurações de fábrica, incluindo a capacidade de apagar os dados do usuário, em caso de transferência, aluguel, perda ou venda. x
Notificações e melhores práticas a elas relacionadas
34. As comunicações do usuário final, incluindo, entre outras, e-mail e SMS, devem adotar protocolos de autenticação para ajudar a evitar spear phishing* e spoofing**. Os domínios devem implementar SPF, DKIM e DMARC para todas as comunicações e avisos relacionados a segurança e privacidade, bem como para domínios reservados e aqueles que nunca enviam e-mail5. *Spear phishing é um golpe de e-mail direcionado com o objetivo de obter acesso não autorizado a dados sigilosos. **Email spoofing é um artifício utilizado por spammers para falsificar o remetente de uma mensagem de e-mail.  

˜

35. Para comunicações por e-mail, no prazo de 180 dias após a publicação de uma política DMARC, implemente uma política de rejeição ou quarentena, que ajude os ISPs e as redes receptoras a rejeitar e-mails que não passem em verificações de autenticação de e-mail6. x
36. Os fornecedores de IoT que usam comunicação por e-mail devem adotar confidencialidade em nível de transporte, incluindo técnicas de segurança geralmente aceitas para ajudar a proteger as comunicações e melhorar a privacidade e integridade das mensagens (também chamada de “TLS Oportunista para e-mail”)7.  

x

37. Implemente medidas para ajudar a prevenir ou evidenciar qualquer adulteração física dos dispositivos. Essas medidas ajudam a proteger o dispositivo de ser aberto ou modificado para fins mal-intencionados após a instalação, ou de ser devolvido a um revendedor em um estado comprometido. x
38. Considere como acomodar os requisitos de acessibilidade para usuários que possam ser deficientes visuais, auditivos e/ou de mobilidade, para maximizar o acesso para usuários de todos os tipos de capacidades físicas. x
39. Desenvolva processos de comunicação para maximizar a conscientização do usuário sobre possíveis problemas de segurança ou privacidade, notificações de fim de vida útil e possíveis recalls de produtos, incluindo notificações no aplicativo. As comunicações devem ser escritas maximizando a compreensão para o nível geral de leitura do usuário. Considere comunicações multilíngues, reconhecendo que o inglês pode ser o “segundo idioma” dos usuários (veja os princípios relacionados com segurança e integridade de mensagens).  

˜

40. Decrete uma violação e uma resposta cibernética e um plano de notificação ao consumidor para ser reavaliado, testado e atualizado pelo menos anualmente, e/ou após mudanças significativas do sistema interno, mudanças técnicas e/ou operacionais. ˜

Recursos e atualizações são postadas em https://otalliance.org/IoT

Terminologia, Definições e Esclarecimentos

  1. Escopo – Focado em “dispositivos de consumo e serviços domésticos, corporativos, incluindo tecnologias vestíveis”. Smart Cars, incluindo veículos autônomos, assim como dispositivos médicos e dados HIPAA8, estão além do escopo da Framework, mas o maioria dos critérios é considerada aplicável. Respectivamente, eles se enquadram na supervisão regulatória da Administração Nacional de Segurança no Trânsito Rodoviário (NHTSA) e da Food and Drug Administration (FDA)9.
  2. Os termos fabricantes de dispositivos, fornecedores, desenvolvedores de aplicativos, provedores de serviços e operadores de plataforma são todos indicados pelo termo “Empresas”.
  3. Espera-se que as empresas divulguem casos de compartilhamento de dados com a aplicação da lei e façam referência a quaisquer relatórios de transparência aplicáveis, conforme permitido legalmente.
  4. Dispositivos inteligentes referem-se a dispositivos (e sensores) que estão em rede e podem ter apenas comunicações unidirecionais.

__________________

  1. https://otalliance.org/resources/always-ssl-aossl
  2. https://otalliance.org/blog/responsible-coordinated-ethical-vulnerability-disclosures
  3. Companies, products and services must be in compliance with any law or regulation of the jurisdiction that governs their collection and handling of personal and sensitive information, including but not limited to the adherence to the EU-US Privacy Shield Framework www.commerce.gov/privacyshield and/or the EU General Data Protection Regulation (GDPR) www.eugdpr.org. Failure to comply may constitute non-compliance with this framework.
  4. COPPA https://
  5. www.ftc.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-privacy-protection-ruleEmail Authentication – https://otalliance.org/eauth
  6. DMARC –https://otalliance.org/resources/dmarc
  7. TLS for Email – https://otalliance.org/best-practices/transport-layered-security-tls-email
  8. U.S. Department of Health & Human Services, Health Information Privacy
  9. http://www.hhs.gov/hipaa/index.htmlhttp://www.nhtsa.gov/Vehicle+Safety e http://www.fda.gov/MedicalDevices/default.htm

____________________________________________________________________________________

Artigo traduzido e compartilhado sob licença:

Creative Commons License

A OTA é uma iniciativa da Internet Society (ISOC), uma organização sem fins lucrativos 501c3 com a missão de promover o desenvolvimento, a evolução e o uso abertos da Internet para o benefício de todas as pessoas em todo o mundo. A missão da OTA é aumentar a confiança online, o empoderamento do usuário e a inovação por meio da convocação de iniciativas com várias partes interessadas, desenvolvimento e promoção de práticas recomendadas, práticas responsáveis de privacidade e gerenciamento de dados. Para saber mais, acesse https://otalliance.org e https://www.internetsociety.org.

© 2017 A Sociedade da Internet (ISOC). Todos os direitos reservados.

O material desta publicação é apenas para fins educacionais e informativos. Nem a editora, a Online Trust Alliance (OTA), a Internet Society (ISOC) nem os seus membros assumem qualquer responsabilidade por quaisquer erros ou omissões nem como esta publicação ou o seu conteúdo são utilizados ou interpretados ou por quaisquer consequências resultantes direta ou indiretamente a partir do uso desta publicação. Nem a OTA nem a ISOC fazem afirmações ou endossos em relação à segurança, privacidade ou práticas comerciais de empresas que podem optar por adotar as recomendações descritas. Para aconselhamento legal ou qualquer outro, por favor consulte o seu advogado pessoal ou profissional apropriado. Os pontos de vista expressos nesta publicação não refletem necessariamente as opiniões das empresas membros ou organizações afiliadas à OTA e à ISOC. A OTA e a ISOC NÃO OFERECEM NENHUMA GARANTIA, EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA, QUANTO ÀS INFORMAÇÕES DESTE DOCUMENTO.

Segurança e privacidade na Internet das Coisas: Principais dicas para os consumidores

1) Aprenda a “fazer compras inteligentes” para dispositivos conectados. Você não precisará devolver um dispositivo conectado, porque ele está espionando você. Devolver as coisas é um problema. Saiba como “comprar com inteligência” e comprar privacidade respeitando os dispositivos conectados, para que você não precise devolvê-los.

  • Leia os comentários. Organizações de consumidores e outras pessoas analisam dispositivos e brinquedos conectados como parte de seus guias de compras. Mozilla e Which? Ambos lançaram guias de compra para brinquedos inteligentes nesta última temporada de festas. Veja aqui e aqui.
  • Leia o contrato do usuário. Os contratos de usuário devem informar quais dados um brinquedo inteligente coleta. Eles também devem informar com quem eles compartilham esses dados. Os dados dos seus filhos são enviados para anunciantes ou terceiros?
  • Ao comprar um dispositivo, verifique se ele pode ser atualizado. Outro fator a considerar é por quanto tempo o desenvolvedor dará suporte ao dispositivo através de atualizações.
  • Pergunte a si mesmo, se isso precisa de uma conexão com a Internet ou de funcionalidades Bluetooth? Se você não souber se um brinquedo é seguro e respeita a privacidade, talvez seja melhor comprar um brinquedo semelhante sem a Internet ou as funcionalidades Bluetooth.

2) Atualize seus dispositivos e seus aplicativos. Se um dispositivo ou aplicativo tiver um recurso de atualização automática, ative-o. Você realmente desejará gastar tempo para atualizá-lo mais tarde? Geralmente, isso é tão fácil quanto dar alguns cliques. E não se esqueça de atualizar os dispositivos menos óbvios. Qualquer coisa que estiver conectada à Internet, desde as suas lâmpadas até o seu termostato, deverá ser atualizada.

3) Ligue a criptografia. Alguns dispositivos e serviços têm a capacidade de usar criptografia, mas não a ativam automaticamente. Isto é como possuir um cofre, deixando-o desbloqueado. Dedique alguns minutos para ver se seus dispositivos ou serviços já estão usando criptografia ou se você precisará ativá-la.

4) Revise as configurações de privacidade em seus dispositivos e em seus aplicativos. Você pode estar compartilhando muito mais do que o planejado no seu dispositivo ou em seus aplicativos. Revise suas configurações de privacidade para determinar quem pode ver seus dados no dispositivo. Pergunte-se, quem eu quero que veja esse tipo de informação e quem não deverá vê-la. Importante: sempre que possível, evite vincular seu dispositivo ou seus aplicativos a contas de mídia social. Sua plataforma de mídia social não precisa saber quantos passos você deu hoje, por isso, não vincule seu rastreador de condicionamento físico à sua conta de mídia social!

5) Pare de reutilizar senhas. É tentador usar uma mesma senha para vários dispositivos ou serviços. Como lembrar de senhas diferentes para tudo? Mas, embora o uso de uma mesma senha seja mais fácil de lembrar, se ela for hackeada ou roubada, também facilitará o acesso dos criminosos a outros dispositivos ou serviços. Reserve alguns minutos para obter um gerenciador de senhas seguro e aprenda como usá-lo ou, para dispositivos domésticos, anote suas senhas em um notebook guardado em lugar seguro.

6) Use uma senha forte. Além de não reutilizar senhas, verifique se você está usando uma senha forte. Não use apenas a senha padrão, uma senha que pode ser facilmente adivinhada, ou uma senha que use informações pessoais facilmente acessíveis. Para aqueles que não estiverem dispostos a escrever senhas ou usar um gerenciador de senhas, este artigo aconselha criar uma senha forte, que você seja capaz de lembrar.

8) Desligue o dispositivo ou desconecte-o da Internet quando não estiver sendo usado. Para minimizar o risco que seu dispositivo pode representar para os outros, desligue-o ou desconecte-o quando ninguém o estiver usando.

9) Tome medidas para tornar sua rede doméstica mais segura. Ao proteger sua rede doméstica, você limitará a exposição dos seus dispositivos a ameaças online, e ajudará a reduzir os riscos que os dispositivos da sua rede poderão representar para outras pessoas. Uma maneira fácil de tornar sua rede mais segura é usar criptografia, uma senha forte e firewall para sua rede WiFi doméstica. Os firewalls geralmente são integrados a roteadores e precisam ser ativados.

Fonte: internetsociety.org

Artigo traduzido e compartilhado sob licença:

Creative Commons License