Por Delcy Mac Cruz

O pano de fundo é enfrentar os ciberataques e violações de segurança 

Crédito da imagem: Gerd Altmann from Pixabay

Está em vigor norma adotada como base para avaliação da conformidade em segurança cibernética para dispositivos de Internet das Coisas (IoT).

Ela foi destacada em reunião geral da Comissão Eletrotécnica Internacional (IEC, na sigla em inglês) realizada em novembro passado em San Francisco, nos Estados Unidos. E tem destinação junto ao consumidor nos esquemas globais da entidade.

O que é a IEC?

Em primeiro lugar, vale destacar que a IEC é uma organização internacional de padronização de tecnologias elétricas, eletrônicas e relacionadas.

Alguns de seus padrões são desenvolvidos juntamente com a Organização Internacional para Padronização.

No mais, a IEC é pra lá de centenária: foi fundada em 1906 e tem sede em Genebra, na Suíça.

Segurança em primeiro lugar

Como norma internacional, ela ajuda as organizações a abordar a segurança de todos os dispositivos ligados através das suas redes.

Diante disso, as novas tecnologias, com ciclos cada vez mais curtos de realização, exigem agilidade da indústria no fornecimento de produtos e soluções em resposta às necessidades do mercado.

Por sua vez, as demandas de segurança cibernética requerem velocidades ainda maiores, uma vez que as atualizações para manter níveis altos de segurança dos sistemas nos quais os produtos do setor operam têm que ser geradas de forma quase imediata.

Diante disso, durante a reunião geral da IEC foi destacada que a primeira norma regional adotada como base para avaliação da conformidade em segurança cibernética para dispositivos de IoT destinados ao consumidor, nos esquemas globais da organização, será baseada em documento da ETSI, da Comunidade Europeia.

Orientações sobre riscos

Enfim, a nova norma internacional ajuda as organizações a abordar a segurança de todos os dispositivos.

No caso, a ISO/IEC 27400:2022 fornece orientações sobre riscos, princípios e controles relacionados com a Internet sem fios para a segurança e a privacidade.

É o caso da Internet das Coisas (IoT).

Não é bem novidade, mas vale resumir: por meio dela, sensores, capacidade de processamento, software, e outras tecnologias se ligam e trocam dados com outros dispositivos e sistemas.

Graças aos milhares de milhões de dispositivos e sistemas conectados e sensorizados, eles podem facilitar as atividades e tarefas diárias e melhorar a eficiência dos processos de trabalho, o que poupa tanto tempo como dinheiro.

Vai daí que muitos destes dispositivos são de baixo custo, com interfaces de utilizador limitadas e desprovidos de características de segurança comuns.

Muitas vezes, são concebidos para funcionar durante um longo período de tempo sem atualizações de software para mitigar as preocupações de segurança.

Do ponto de vista da segurança cibernética, surgem - ou podem surgir - hackers com inúmeras portas potenciais para violações de dados.

De fato, os cibercriminosos utilizam frequentemente ferramentas de rastreio de portas para localizar dispositivos vulneráveis numa rede. 

"Desafios particulares”

Em relato, a IEC descreve que os autores da norma salientam que os sistemas IoT apresentam “desafios particulares” para a segurança da informação.

Isso porque são altamente distribuídos e envolvem um grande número de entidades diversas.

Significa que há uma superfície de ataque muito grande e um desafio significativo para o sistema de gestão da segurança da informação (SGSI) para aplicar e manter controles de segurança adequados em todo o sistema.

Diante disso, a proteção da privacidade ou da informação pessoalmente identificável (PII, na sigla em inglês) é uma preocupação significativa para alguns tipos de sistemas. Quando um deles adquire ou utiliza informações que identificam pessoalmente, geralmente existem leis e regulamentos que se aplicam à aquisição, armazenamento e processamento de informações que identificam pessoalmente.

Mesmo quando os regulamentos não são uma preocupação, o tratamento do PII por um sistema de IOT continua a ser uma preocupação de reputação e confiança para as organizações envolvidas.

É caso, por exemplo, se o PII for roubado ou for mal utilizado, causando potencialmente algum tipo de dano às pessoas identificadas pela informação.

Enfim, é para atuar neste sentido que a IEC tem a norma ISO/IEC 27400 que foi desenvolvida pela organização com o comitê técnico de informações sobre segurança e cibersegurança da ISO.