Grupo de gigantes de TI publica diretrizes de segurança para IoT

Ana Rita Guerra,

O Broadband Internet Technical Advisory Group (BITAG), um grupo constituído por algumas das maiores empresas de Silicon Valley, publicou um relatório de segurança com várias diretrizes para a Internet das Coisas (IoT).

A proliferação de dispositivos conectados à Internet, que vai muito além de smartphones e computadores, trouxe um cenário completamente novo de (in)segurança. O ataque que deitou abaixo grandes sites na Internet em outubro, por exemplo, foi coordenado com recurso a web cams e outros aparelhos IoT. A ameaça é real.

“Embora os consumidores enfrentem ameaças de segurança e privacidades gerais em resultado de qualquer dispositivo conectado à Internet, a natureza da IoT de consumo é única porque pode envolver consumidores não técnicos ou desinteressados”, refere o relatório do BITAG, grupo do qual fazem parte gigantes como a Google, Intel e Microsoft.

A IoT também traz uma dificuldade acrescida de mapeamento dos dispositivos conectados, efeitos perversos em redes partilhadas e impactos noutros serviços web quando tais dispositivos são infetados com malware – precisamente o que aconteceu com as webcams que atacaram a Dyn.

“É relevante que o número e diversidade de dispositivos IoT de consumo esteja a crescer rapidamente, e que esses dispositivos muitas vezes funcionam de forma autónoma, sem intervenção humana”, sublinha o BITAG. Problema ainda maior: muitos não obedecem às regras de segurança mais básicas e rudimentares.

Eis as mais importantes diretrizes recomendadas pelo grupo:

  • Dispositivos IoT devem incluir as melhores práticas em software
  • Software sem vulnerabilidades conhecidas
  • Com mecanismos regulares de atualização
  • Autenticação forte por defeito
  • Configurações mais bem testadas e reforçadas
  • Melhores práticas em cifragem e segurança
  • O BITAG recomenda o uso de comunicações seguras com Transport Layer Security (TLS) ou Lightweight Cryptography (LWC)
  • Cifragem por defeito
  • Comunicações seguras de e para controladores IoT
  • Cifragem de dados sensíveis armazenados localmente
  • Autenticação de comunicações, pedidos de dados e alterações no software
  • Utilização de credenciais únicas para cada dispositivo
  • Utilização de credenciais que podem ser atualizadas
  • Desativação de portas e serviços desnecessários
  • Utilização de bibliotecas que são mantidas e suportadas
  • Comunicações devem ser restritas, não permissivas
  • Funcionamento primário deve continuar mesmo quando a ligação web é interrompida – por exemplo, uma lâmpada conectada deve continuar a dar luz sem internet – e mesmo quando o back-end na nuvem falha
  • Dispositivos IoT devem suportar IPv6 e DNSSEC
  • Sua política de privacidade deve ser fácil de encontrar e entender
  • A indústria IoT deve contemplar um programa de cibersegurança
  • A cadeia de fornecimento deve ser ativa na abordagem dessas questões.

O relatório completo pode ser encontrado aqui.