De acordo com um artigo recente publicado pela BBC, a Ministra da Cultura, Comunicações e Indústrias Criativas, Margot James, propôs uma legislação para introduzir um novo sistema de categorização que permita aos clientes descobrir o nível de segurança de um dispositivo IoT.
Para acessar uma dessas categorias, um dispositivo IoT precisa:
- Contar com uma senha exclusiva por padrão;
- Indicar claramente por quanto tempo as atualizações de segurança estarão disponíveis;
- Oferecer um ponto de contato público para relatórios de vulnerabilidade.
A iniciativa, que faz parte da intenção do Reino Unido de se tornar um líder global em segurança on-line, segue as etapas da legislação que foi lançada na Califórnia e entrará em vigor em 2020, que proíbe que dispositivos conectados à Internet sejam lançados com senhas fracas por padrão. Tanto a proposta do Reino Unido quanto a atual legislação da Califórnia representam passos na direção certa, ou pelo menos obrigam os fabricantes a considerar a fase de segurança por design ao desenvolver produtos da Internet das Coisas. Mas a legislação é realmente uma resposta?
Vamos analisar o que é considerado como dispositivo IoT. De acordo com a Lei da Califórnia, um dispositivo conectado “significa qualquer dispositivo ou objeto físico que seja capaz de se conectar à Internet, direta ou indiretamente, e que seja atribuído a um endereço IP ou a um endereço Bluetooth”. Essa definição abrange uma grande variedade de dispositivos, desde carros, lâmpadas, laptops, termostatos até telefones celulares, e uma lista interminável de outros objetos.
Na minha mesa do escritório eu tenho um alto-falante Bluetooth. Não tem senha, não coleta dados nem transmite nada - pelo menos até onde eu sei. Este dispositivo está dentro da legislação da Califórnia? Você precisará de uma senha única?
Da mesma forma, uma pessoa interessada em comprar um carro da Tesla no Reino Unido espera ver um selo naquele carro indicando que atende aos requisitos estabelecidos pela legislação de segurança para dispositivos IoT? Ou cada dispositivo incluído no Tesla que se comunica de forma independente deve ter um selo?
Tão inseguro
A necessidade de que as condições de segurança estejam presentes é algo que está fora de questão. E a realidade indica que vários fabricantes de dispositivos IoT não tomaram medidas razoáveis para tornar seus dispositivos seguros. Precisamente isso fez que com os políticos tivessem que atuar. No Reino Unido isso começou com um código voluntário de prática e progrediu para uma legislação.
Mas, como regra geral, a legislação sufoca as inovações. A indústria de tecnologia já está se afastando das senhas. Bret Arsenault, diretor de segurança da informação da Microsoft, anunciou que 90% dos funcionários da Microsoft podem entrar na rede corporativa sem a necessidade de uma senha, já que a empresa prevê um "mundo sem senhas". Seus funcionários estão usando outras opções, incluindo o Windows Hello e o aplicativo de autenticação (Authenticator), que oferece alternativas como reconhecimento facial, impressão digital e duplo fator de autenticação.
A legislação que não será eficaz até o próximo ano ou que ainda consiste em uma proposta provavelmente estará desatualizada no momento em que entrar em vigor. Isso forçará os fabricantes de dispositivos a usar a tecnologia que uma indústria está tentando abandonar em busca de opções mais seguras.
Em uma análise recente dos dados que foram expostos em brechas de segurança, o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido descobriu que 23,2 milhões de contas de usuários em todo o mundo estavam protegidas com a senha "123456" e 7,7 milhões usaram "123456789" como uma senha. Esses dados demonstram a falta de comprometimento de grande parte dos consumidores quando se trata de proteger suas contas na Internet, o que só cria oportunidades para os cibercriminosos.
Recentemente fiz palestras em eventos de cibersegurança, tanto na Argentina quanto nos EUA, em que falei sobre a necessidade de considerar a segurança ao conectar qualquer dispositivo a uma rede, especificamente em edifícios inteligentes. E uma pergunta que fiz ao público teve o mesmo resultado em ambos os lugares: "quando você atualizou o sistema de informação e entretenimento em seu carro pela última vez?" O público ficou perplexo. Eles são especialistas em cibsegurança e, no entanto, conectam um dispositivo muito pessoal, como seu telefone, a um sistema que eles nunca atualizam. Surpreendentemente, um assistente me ligou no dia seguinte e disse que nem ele nem o distribuidor estavam conseguindo atualizar seu sistema, apesar de estar desatualizado.
Pense em alguns anos à frente e imagine que você tenha o novo e brilhante dispositivo IoT em casa, com seu selo que mostra que ele tem uma senha única e que haverá atualizações por cinco anos. Na hora de usá-lo pela primeira vez, para simplificar, o dispositivo estabelece a mesma senha que usa nos demais dispositivos IoT que possui na casa - você conecta o dispositivo e aproveita suas funcionalidades. Quando o fabricante envia uma notificação por e-mail indicando que uma atualização de firmware está disponível, supondo que tenha registrado o dispositivo, você exclui o e-mail porque o dispositivo está funcionando e, além disso, não vê a necessidade de atualizar algo que funciona.
Embora a legislação possa levar o setor a produzir dispositivos mais seguros, é mais provável que a educação e o comprometimento do consumidor tornem os dispositivos IoT mais seguros para o lar. Aí vem a pergunta novamente: É realmente possível fazer uma legislação para isso?