Compliance

Check Point detalha elementos-chave que fabricantes de IoT têm de implementar

Com a introdução de regulamentação um pouco por todo o mundo, os fabricantes têm de implementar determinados elementos-chave nos seus produtos

17/04/2023

Check Point detalha elementos-chave que fabricantes de IoT têm de implementar

A Internet of Things (IoT) está a expandir-se rapidamente e o número de dispositivos conectados está a aumentar a um ritmo sem precedentes. Isto, juntamente com a crescente dependência destes dispositivos, enfatiza a necessidade premente de mudanças na cibersegurança.

A Check Point relembra que, a fim de proteger as informações pessoais armazenadas nestes dispositivos conectados, os governos de todo o mundo começaram a introduzir regulação destinada a melhorar a sua segurança padrão.

Nos Estados Unidos, o IoT Cybersecurity Enhancement Act foi aprovado em 2020 e o National Institute of Standards and Technology (NIST) foi encarregue de criar uma norma de cibersegurança para a IoT. Em maio de 2021, a administração Biden emitiu uma Ordem Executiva para melhorar a segurança cibernética nacional, e em outubro de 2022, a Casa Branca emitiu uma nota informativa para implementar uma etiqueta para dispositivos IoT, começando pelos routers domésticos e câmaras, para indicar o seu nível de cibersegurança.

Por outro lado, na União Europeia, o Parlamento Europeu introduziu a Lei de Cibersegurança e a Lei de Ciber-resiliência, que impõem vários requisitos que os fabricantes devem cumprir antes de um produto poder receber a marcação CE e ser colocado no mercado europeu. Isto inclui fases de avaliação e comunicação e gestão de ataques cibernéticos ou vulnerabilidades ao longo de todo o ciclo de vida do produto. Além disso, o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês) também se aplica às empresas que operam na UE, exigindo a implementação de medidas técnicas e organizacionais adequadas para a proteção de dados pessoais.

Contudo, a fim de cumprir estes novos regulamentos e normas de segurança, a Check Point Software detalha seis elementos-chave que os fabricantes de dispositivos IoT terão de começar a implementar:

  • Atualizações de software: os fabricantes devem fornecer a opção de atualizações de firmware e garantir a sua validade e integridade, especialmente para os patches de segurança;
  • Proteção de dados: os regulamentos seguem o conceito de minimização de dados, recolhendo apenas os dados necessários com o consentimento do utilizador e tratando e armazenando de forma segura os dados sensíveis de forma encriptada;
  • Avaliação de riscos: os fabricantes devem seguir um processo de gestão de risco durante a fase de conceção e desenvolvimento e durante todo o ciclo de vida do produto, incluindo a análise de vulnerabilidades e exposições comuns (CVE, na sigla em inglês) e a libertação de patches para novas vulnerabilidades;
  • Configuração de dispositivos: os dispositivos devem ser entregues com configurações de segurança por defeito e ter os componentes perigosos removidos, as interfaces fechadas quando não estão a ser usadas e uma superfície de ataque minimizada através do princípio do menor privilégio para processos;
  • Autenticação e autorização: serviços e comunicações devem exigir autenticação e autorização, com proteção contra ataques de login por força bruta e uma política de complexidade de passwords;
  • Comunicação segura: a comunicação entre os ativos da IoT deve ser autenticada e encriptada, utilizando protocolos e portas seguras.

No entanto, o cumprimento destes regulamentos pode ser um desafio devido à sua complexidade. Para facilitar o processo, existem várias certificações e normas tais como UL MCV 1376, ETSI EN 303 645, ISO 27402 e NIST. O IR 8259 foi introduzido para decompor os regulamentos em etapas práticas.

Com a introdução da Quantum IoT Embedded pretendemos ajudar os fabricantes a proteger os seus dispositivos com um esforço mínimo”, diz Bruno Duarte, Security Engineer Team Leader da Check Point Software Portugal. “A solução inclui um serviço de avaliação de risco e a solução independente Nano Agent que pode ser integrada em dispositivos IoT para fornecer proteção em tempo real contra ciberataques”.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº18 Junho 2024

IT SECURITY Nº18 Junho 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.