A indústria de dispositivos de Internet das Coisas (IoT) está prestes a enfrentar uma nova era de regulamentações de segurança, uma mudança impulsionada pela necessidade de proteger melhor esses dispositivos contra vulnerabilidades cibernéticas. Até agora, a segurança em IoT dependia muito da obscuridade, uma estratégia que resultou em numerosos incidentes de segurança, desde invasões em redes domésticas até interrupções críticas em sistemas automotivos.
Os dispositivos IoT, muitos dos quais são construídos com software de código aberto e chips com segurança precária, têm sido alvo fácil para ataques. Os fabricantes desses dispositivos, muitos dos quais não possuíam experiência anterior com produtos conectados, estão lutando para implementar medidas de segurança robustas. Isso se deve, em parte, à falta de padrões de segurança consolidados no setor, o que deixa os fabricantes e usuários dependendo de análises ad hoc para gerenciar riscos.
Reconhecendo essas deficiências, reguladores globais estão agindo. Em 2022, o NIST dos Estados Unidos lançou um relatório técnico que levantou questões importantes sobre a segurança em IoT e propôs recomendações preliminares. Esse movimento foi seguido pela introdução do Cyber Trust Mark pela FCC e pelo rascunho da Lei de Resiliência Cibernética da União Europeia, que deve começar a ser aplicada em 2025, estabelecendo requisitos obrigatórios de segurança para todos os dispositivos vendidos no mercado único.
As regulamentações propostas abordam várias áreas críticas, incluindo a configuração segura dos dispositivos, a proteção de dados transmitidos e armazenados, a gestão de vulnerabilidades, o monitoramento de eventos de segurança e a atualização de software. Surpreendentemente, pesquisas indicam que muitos projetos ainda não implementam mecanismos básicos de atualização de software, uma ferramenta essencial para corrigir vulnerabilidades após o lançamento dos dispositivos.
Com a implementação dessas novas regras, espera-se que os fabricantes de IoT priorizem a construção de infraestrutura e capacidades para atender às demandas regulatórias. As características de segurança recomendadas incluem atualizações de software pelo ar (OTA), assinatura de firmware para autenticação de origem, observabilidade para detecção de comprometimentos e análise estática para identificação de vulnerabilidades durante o desenvolvimento.