O Selo de Confiança Cibernética dos EUA é uma proposta para estabelecer um programa de rotulagem de segurança cibernética. Isto posto, saiba o que é e como funciona o Selo de Confiança Cibernética dos EUA no artigo a seguir.
O que é o Selo de Confiança Cibernética dos EUA?
O Selo de Confiança Cibernética dos EUA é uma proposta da Comissão Federal de Comunicações dos Estados Unidos (FCC) para estabelecer um programa de rotulagem de segurança cibernética que fornecerá aos consumidores informações transparentes sobre a segurança de seus dispositivos inteligentes habilitados para Internet.
Modelado após o programa Energy Star dos EUA, o programa do Selo de Confiança Cibernética foi projetado para ajudar os consumidores a tomar decisões de compra informadas e motivar os fabricantes a aderir voluntariamente aos padrões governamentais de segurança cibernética da Internet das Coisas (IoT).
Se aprovado, o programa poderá estar operacional até o final de 2024.
Techopedia Explica
A proposta da FCC faz parte da Implementação da Estratégia Nacional de Segurança Cibernética dos Estados Unidos e está sendo supervisionada pelo Conselho de Segurança Nacional do país.
Atualmente, a proposta está convidando o público a contribuir sobre assuntos como:
- A gama de dispositivos ou produtos disponíveis nos EUA qualificados para inclusão no programa de rotulagem;
- A formulação de padrões de segurança aplicáveis a diferentes tipos de dispositivos ou produtos IoT;
- Métodos para demonstrar a conformidade com essas normas de segurança;
- A entidade responsável pela supervisão e gestão do programa;
- Salvaguardar o rótulo de segurança cibernética contra uso não autorizado;
- Educar os consumidores sobre o programa.
Benefícios do Programa do Consumidor
Espera-se que os dispositivos inteligentes compatíveis possam exibir o logotipo do Selo de Confiança Cibernética dos EUA na embalagem ao lado de um código QR que aponta para um registro nacional de dispositivos certificados.
O registro nacional permitirá que os consumidores acessem as informações de segurança mais atuais sobre o produto que estão pensando em comprar e comparem as informações com as de produtos similares.
Gigantes da tecnologia como Amazon, Google, LG Electronics, Logitech e Samsung Electronics já prometeram seu apoio ao Selo de Confiança Cibernética dos EUA, que aparecerá em produtos aprovados como um logotipo de escudo distinto.
A FCC prevê que, à medida que a demanda do consumidor por produtos inteligentes confiáveis continua a crescer, um número crescente de fabricantes participará voluntariamente do programa para demonstrar seu compromisso com a privacidade, confidencialidade e segurança.
Importância do Programa Selo de Confiança Cibernética dos EUA
De acordo com a Deloitte, os lares dos EUA tinham uma média de 22 dispositivos IoT conectados em 2022.
Esses produtos oferecem imensos benefícios, mas também apresentam uma variedade de desafios de segurança devido ao design inadequado e/ou software desatualizado.
Dispositivos IoT inseguros são um alvo atraente para os cibercriminosos porque podem ser usados para obter acesso à rede que permite ao invasor realizar um ataque lateral.
Violações nos sistemas de IoT do consumidor podem ter consequências graves, desde violações de privacidade até roubo – e até danos físicos em setores críticos como saúde.
Os pesquisadores de ameaças do SonicWall Capture Labs registraram 112,3 milhões de instâncias de malware de IoT em 2022, um aumento de 87% em relação a 2021.
Ao mesmo tempo, o número de dispositivos inteligentes ainda está aumentando, com projeções sugerindo que haverá mais de 25 bilhões de dispositivos conectados em operação até 2030.
A ausência de padrões universais de segurança para dispositivos IoT levou a inconsistências nas práticas de segurança, o que torna difícil para os consumidores fazer escolhas de compra informadas.
Para mitigar os desafios de segurança, é crucial que fabricantes, governos e consumidores priorizem a segurança da IoT.
Produtos para dispositivos inteligentes elegíveis
Espera-se que um amplo espectro de produtos inteligentes de consumo seja elegível para o Selo de Confiança, incluindo:
- Assistentes pessoais digitais
- Câmeras de segurança doméstica conectadas à Internet
- Controle remoto ativado por voz
- Alto-falantes inteligentes
- Utensílios de cozinha inteligentes
- Rastreadores de fitness como Fitbit
- Rastreadores GPS
- Dispositivos médicos inteligentes vestíveis
- Abridores de portas de garagem conectados à Internet
- Lâmpadas inteligentes
- Monitores de bebê
- Robô aspirador de pó
- Televisores conectados à internet
- Termostatos inteligentes
- Roteadores de nível de consumidor
Requisições para Certificação
Os requisitos para a certificação do Selo de Confiança Cibernética dos EUA ainda estão sendo desenvolvidos, mas espera-se que abordem as seguintes preocupações:
- Senhas padrão exclusivas e fortes: Os dispositivos devem ter padrões de senha exclusivos e fortes que não possam ser facilmente adivinhados ou quebrados.
- Proteção de Dados: Os dispositivos devem proteger os dados contra acesso, uso, divulgação, interrupção, modificação ou destruição não autorizados.
- Atualizações de Software: Os dispositivos devem ser capazes de receber atualizações de software e firmware para corrigir vulnerabilidades de segurança.
- Recursos de detecção de incidentes: Os dispositivos devem ter a capacidade de detectar e relatar incidentes de segurança de forma autônoma.
- Desenvolvimento de segurança: Os dispositivos devem ser desenvolvidos usando as melhores práticas de codificação segura.
- Cadeia de suprimentos seguros: Os dispositivos devem ser adquiridos de fornecedores seguros.
- Gerenciamento de “fim de vida”: Os dispositivos devem ser descartados adequadamente no final de seu ciclo de vida para evitar que vulnerabilidades de segurança sejam exploradas.
A chamada da FCC para informações indica que os requisitos específicos para certificação podem variar, dependendo do tipo de dispositivo.
Por exemplo, dispositivos sem fio que processam dados confidenciais, como roteadores domésticos sem fio, podem ter requisitos mais rigorosos do que dispositivos que não o fazem.
Selo de Confiança Cibernética dos EUA e NIST
A proposta da FCC para um sistema de rotulagem, descrita neste Aviso de Proposta de Regulamentação, baseia-se em padrões desenvolvidos pelo Instituto Nacional de Padrões e Tecnologia (NIST).
Espera-se que se baseie nos esforços existentes nos setores público e privado para abordar as preocupações de segurança cibernética e rotulagem em dispositivos inteligentes, incluindo:
- A Estrutura de Segurança Cibernética do NIST e a Publicação Especial do NIST 800-183 oferecem orientação sobre como proteger dispositivos IoT.
- O Industry Internet Consortium (IIC), a Open Connectivity Foundation (OCF) e os esforços da IoT Security Foundation para definir padrões de segurança para dispositivos IoT.
- As diretrizes da Administração Nacional de Telecomunicações e Informações para fabricantes de dispositivos IoT.
- Leis estaduais da Califórnia e Oregon que exigem recursos de segurança específicos em dispositivos IoT vendidos em cada estado.
- O programa de certificação da ioXt Alliance que avalia a segurança dos dispositivos IoT.
Outros padrões de segurança de IoT
Os Estados Unidos não são o único país que está incentivando os fabricantes de dispositivos IoT a priorizar a segurança dos dispositivos IoT.
Diferentes países e organizações internacionais em todo o mundo têm trabalhado em padrões de segurança de IoT para proteger a integridade e a privacidade dos sistemas de IoT. As iniciativas incluem:
União Européia
A proposta de Lei de Resiliência Cibernética da União Europeia visa abordar a falta de segurança cibernética em produtos IoT de consumo, bem como a falta de atualizações ou patches para resolver vulnerabilidades.
Ao contrário da orientação voluntária proposta pelos Estados Unidos, a Lei de Resiliência Cibernética permite grandes multas e penalidades para os infratores e especifica que os produtos que não atenderem aos requisitos de segurança descritos pela Lei não poderão ir ao mercado.
Reino Unido
A Lei de Segurança de Produtos e Infraestrutura de Telecomunicações de 2022 (PSTIA) ajuda a garantir que os dispositivos IoT do consumidor sejam mais seguros contra ameaças, banindo senhas padrão e estipulando que os fabricantes divulguem por quanto tempo planejam oferecer atualizações de segurança de produtos.
Para garantir o cumprimento dos novos regulamentos, a lei estabelece um regime de aplicação que inclui sanções civis e criminais. Também exige que os fabricantes designem um ponto de contato para relatar problemas e vulnerabilidades de segurança de dispositivos IoT.
Europa
A Agência da União Europeia para a Segurança Cibernética (ENISA) tem trabalhado ativamente nas recomendações e melhores práticas de segurança da IoT.
A Lei Europeia de Segurança Cibernética exige o desenvolvimento de uma estrutura europeia de certificação de segurança cibernética IoT para garantir a segurança dos dispositivos IoT.
China
A Administração de Padronização da China estabeleceu a Associação de Padrões de Comunicações da China (CCSA) para desenvolver padrões nacionais de IoT que abrangem vários aspectos da segurança da IoT, incluindo autenticação de dispositivos, proteção de dados e segurança de rede.
Japão
O Ministério de Assuntos Internos e Comunicações (MIC) do Japão emitiu diretrizes para a segurança da IoT. Essas diretrizes abordam questões como gerenciamento de senhas, criptografia de dados e atualizações de software para aumentar a segurança da IoT no país.
Internacional
A Organização Internacional de Padronização (ISO) e a Comissão Eletrotécnica Internacional (IEC) colaboram no desenvolvimento de padrões globais para segurança de IoT. ISO/IEC 27001 e ISO/IEC 27002 são padrões internacionais amplamente reconhecidos para segurança de tecnologia da informação e comunicação (TIC) que podem ser aplicados a sistemas IoT.