Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança e Privacidade em Internet das Coisas (IoT) Material Teórico Responsável pelo Conteúdo: Prof.ª Dr.ª Marise Miranda Revisão Textual: Prof.ª Dr.ª Luciene Oliveira da Costa Granadeiro Regulamentação para Cybersecurity em IoT • Introdução; • Visão Geral das Estruturas Regulamentares; • Impacto da Regulamentação em Provedores de IoT; • Legislação, Normas e Diretrizes. • Desmistifi car a segurança cibernética de IoT no mundo real, observando as regras, nor- mas e legislação; • Promover posicionamento principal quanto à segurança em IoT como prioridade nos projetos; • Fornecer ferramentas para combinar as melhores práticas de segurança com a segurança cibernética em ecossistemas IoT, considerando a regulamentação ofi cial exigida. OBJETIVOS DE APRENDIZADO Regulamentação para Cybersecurity em IoT Orientações de estudo Para que o conteúdo desta Disciplina seja bem aproveitado e haja maior aplicabilidade na sua formação acadêmica e atuação profissional, siga algumas recomendações básicas: Assim: Organize seus estudos de maneira que passem a fazer parte da sua rotina. Por exemplo, você poderá determinar um dia e horário fixos como seu “momento do estudo”; Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma alimentação saudável pode proporcionar melhor aproveitamento do estudo; No material de cada Unidade, há leituras indicadas e, entre elas, artigos científicos, livros, vídeos e sites para aprofundar os conhecimentos adquiridos ao longo da Unidade. Além disso, você tam- bém encontrará sugestões de conteúdo extra no item Material Complementar, que ampliarão sua interpretação e auxiliarão no pleno entendimento dos temas abordados; Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discus- são, pois irão auxiliar a verificar o quanto você absorveu de conhecimento, além de propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e de aprendizagem. Organize seus estudos de maneira que passem a fazer parte Mantenha o foco! Evite se distrair com as redes sociais. Mantenha o foco! Evite se distrair com as redes sociais. Determine um horário fixo para estudar. Aproveite as indicações de Material Complementar. Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma Não se esqueça de se alimentar e de se manter hidratado. Aproveite as Conserve seu material e local de estudos sempre organizados. Procure manter contato com seus colegas e tutores para trocar ideias! Isso amplia a aprendizagem. Seja original! Nunca plagie trabalhos. UNIDADE Regulamentação para Cybersecurity em IoT Introdução A rápida proliferação de dispositivos conectados à Internet e o crescimento da IoT geram grande expectativa com relação à segurança. Esses dispositivos conec- tados carregam para os negócios a promessa de aumento de eficiência e satisfação do cliente. Os dispositivos de IoT podem incluir sensores de localização em vestuários para atividades físicas, televisores inteligentes, ar condicionado e carros, entre muitos outros dispositivos. Esses dispositivos conectados à Internet geralmente detectam, coletam, processam e transmitem uma ampla variedade de dados, desde informa- ções de identificação pessoal do consumidor até dados de infraestrutura, usados para tomada de decisões críticas em tempo real ou para efetuar uma mudança no mundo físico. Assim como há uma variedade de novos usos, a natureza do ecossistema da IoT traz novas considerações de segurança. Essas considerações incluem diversos âmbitos – energia e processamento restritos, capacidade de gerenciar, atualizar e corrigir dispositivos em escala e um conjunto de novas aplicações nos setores de consumo e industrial – não se limitando a eles. Por esse motivo, as organizações devem estar cientes do uso de IoT existente e possível uso futuro. Elas precisam entender como as características da IoT afetam o gerenciamento de riscos de segurança cibernética e privacidade, especialmente em termos de resposta ao risco, como aceitar, evitar, mitigar, compartilhar, ou transferir riscos. O NIST – National Institute of Standards and Technology – identifica três con- siderações de alto nível que podem afetar o gerenciamento de riscos de segurança cibernética e privacidade para dispositivos IoT em comparação com dispositivos de TI convencionais. Segurança cibernética é um conjunto de práticas que protege os dados coletados, processados e transmitidos por algum meio de comunicação. I. Muitos dispositivos de IoT interagem com o mundo físico de maneira diferente que os dispositivos de TI convencionais. O impacto potencial de alguns dispositivos de IoT que fazem alterações nos sistemas físicos e, portanto, afetam o mundo físico, precisa ser explicitamente reco- nhecido e abordado a partir das perspectivas de segurança cibernética e privacidade. Além disso, os requisitos operacionais de desempenho, confiabilidade, resiliência e segurança podem estar em desacordo com práticas comuns de segurança cibernética e privacidade para dispositi- vos de TI convencionais; II. Muitos dispositivos IoT não podem ser acessados, gerenciados ou mo- nitorados da mesma maneira que os dispositivos de TI convencionais. Isso pode exigir a execução manual de tarefas para um grande número de dispositivos de IoT, ampliando o conhecimento e as ferramentas da 8 9 equipe para incluir uma variedade muito maior de software de dispo- sitivo IoT, enfrentando riscos com fabricantes e terceiros que tenham acesso remoto ou controle sobre dispositivos IoT; III. A disponibilidade, a eficiência e a eficácia dos recursos de segurança cibernética e privacidade são frequentemente diferentes para dispositi- vos IoT do que os dispositivos de TI convencionais. Isso significa que as organizações podem ter que selecionar, implementar e gerenciar contro- les adicionais, bem como determinar como responder aos riscos quando controles para mitigá-los não estiverem disponíveis ou forem insuficientes. Existem dois tipos de fatores que impactam como barreiras aos projetos de se- gurança cibernética: fatores técnicos e fatores de negócio. O primeiro tipo, fatores técnicos, refere-se às restrições de dispositivos. Devido à natureza de vários dispo- sitivos de IoT, como a necessidade de ser portátil, os projetos podem criar barreiras à segurança cibernética. Esses fatores técnicos incluem o consumo de energia, baixo custo e ciclo de vida, associados à restrição do dispositivo e à segurança. Detalhes estão listados na tabela 1. Tabela 1 – Fatores Técnicos Físicos da NIST para IoT Fatores Técnicos Restrição do Dispositivo Preocupação de segurança Consumo de energia Muitos dispositivos IoT exigem uma longa du- ração da bateria, sem acesso a uma fonte de alimentação permanente. Hardware com baixo consumo de energia pode não ter recursos adicionais, como a capacidade de suportar mecanismos de criptografia ou se- gurança de hardware. Baixo custo O valor percebido pelo consumidor de um dis- positivo depende muito do custo de aquisição e implementação do dispositivo. Os impulsio- nadores do mercado geralmente exigem que as empresas produzam dispositivos a um custo muito baixo. Ao atender a essas pressões de preços, os dispo- sitivos podem ter baixo poder de processamen- to e espaço de hardware restrito, oferecendo suporte limitado a mecanismos de segurança. Ciclo de Vida A vida útil dos dispositivos varia muito, alguns dispositivos (como sensores simples) são de curta duração, enquanto outros são feitos para durar por décadas. Com o tempo, os dispositivos podem se tornar restritos por hardware e não podem ser atua- lizados. Mecanismos de segurança integrados podem ser considerados vulneráveis ou obso- letos, como os antigos pacotes de criptografia. Fonte: Adaptado de NIST – National Institute of Standards and Technology Já os fatores de negócio ou de mercado consideramnos projetos IoT uma ques- tão transformacional. Isso representa mudança no mercado na forma como os serviços de TI são oferecidos e consumidos, tanto para uso pessoal quanto comer- cial. À medida que esse mercado surge, vários outros fatores podem se apresentar como considerações para a implementação da segurança cibernética para a IoT. Os fatores de negócio ou mercado incluem o acesso ao mercado, comerciali- zação inicial e diversidade. Detalhes estão listados na tabela 2. Esses fatores de natureza do negócio ou mercado são recomendados pela NIST – National Institute of Standards and Technology. O NIST é uma entidade que define padrões e testes tecnológicos, incluindo segmentos da indústria até a área de saúde. 9 UNIDADE Regulamentação para Cybersecurity em IoT Tabela 2 – Fatores de mercado ou negócio da NIST para IoT Acesso ao mercado Espaço de fabricante para o desenvolvimento de protótipos de baixo custo e es-tratégias rápidas de entrada no mercado. Comercialização inicial Nos segmentos de mercado emergente, os desenvolvedores pressionam para serem os primeiros ou únicos do mercado. Diversidade A baixa barreira à entrada no mercado leva a uma variedade de produtos e serviços, muitas vezes usando hardware, software, APIs, provedores de serviços terceirizados e mecanismos de patches diferentes, sem padronização. Fonte: Adaptado de NIST – National Institute of Standards and Technology Esses fatores de mercado incentivam à inovação, embora os empreendedores emergentes possam não ter o conhecimento dos recursos para implementar a se- gurança dos dispositivos de IoT emergentes. Esses desenvolvedores dentro do ecos- sistema IoT devem equilibrar a implementação de mecanismos de segurança ade- quados, enfrentando simultaneamente pressão de preços e forças de mercado para desenvolver recursos, funcionalidade e produtos e serviços comercialmente viáveis. Isso cria desafios à medida que a adoção da IoT busca interoperabilidade, padrões e melhores práticas ao implementar a tecnologia IoT. Cada dispositivo IoT fornece um ou mais recursos – recursos ou funções – que podem ser usados por conta própria ou em conjunto com outros dispositivos IoT e não IoT para atingir um ou mais objetivos. Por exemplo, os recursos do sensor interagem com o mundo físico e servem de vantagem entre ambientes digitais e físicos. Todo dispositivo IoT tem pelo menos uma capacidade de sensoriamento. Os tipos de recursos são o sensoriamento, a medição e os recursos relativos ao intefaceamento, do usuário com a aplicação, recurso do dado coletado com a comunicação, da medida com a atuação como tomada de decisão e o recurso de sustentação. A figura 1 representa a relação dos 4 recursos do dispositivo IoT, que afetam potencialmente o risco da segurança ci- bernética e as capacidades de cada recurso. Gerenciamento dos dispositivos Gerenciamento da segurança Cibernética Gerenciamento da Privacidade Sensoriamento Medida Sensor Coleta e processamento Armazenamento Dado Interface Sustentação Interface Usuário Interface de comunicação Interface de aplicação Leis, Normas e Regulação Cyber Security Figura 1 – Recursos que afetam a Segurança Cibernética Fonte: Adaptado de NIST – National Institute of Standards and Technology 10 11 Ao analisar os recursos como sensor, dado, interface e sustentação, em um ecossistema IoT, geralmente são encontrados os mesmos tipos de riscos de segu- rança cibernética e privacidade que a TI convencional, embora a prevalência e a gravidade de tais riscos frequentemente sejam diferentes. Por exemplo, segurança de dados é quase sempre uma preocupação significativa para dispositivos de TI convencionais, mas, para alguns IoT, pode não ser tão relevante. Em alguns dispo- sitivos, pode não haver riscos de segurança de dados, porque os dispositivos não têm recursos de dados, por exemplo, um sensor de luminosidade para ativar as luminárias da rua quando escurece. Nesse sentido, vem a importância das leis, normas e regulação, que orientam, normatizam ou fazem cumprir os requisistos necessários e aceitavéis para segmen- tos de IoT, cuja a segurança cibernética é muito relevante. Sensoriamento: a capacidade de fornecer uma observação de um aspecto do mundo físico na forma de danos de medição. Exemplos incluem medição de temperatura, exames de to- mografia computadorizada (imagem radiográfica), sensoriamento óptico e sonoro; Medição: capacidades de dados coletados são funções típicas de computação digital envol- vendo dados: armazenamento e processamento de dados; Recursos de Interface: permitem interações do dispositivo (por exemplo, comunicações de dispositivo a dispositivo, comunicações entre usuários e dispositivos). Ex pl or Visão Geral das Estruturas Regulamentares Em julho de 2019, o portal on-line Security Affairs noticiou que usuários brasi- leiros foram alvo de um grande número de ataques a roteadores, com o objetivo de modificar a configuração desses equipamentos para fins maliciosos. Um roteador é um equipamento que gerencia de forma inteligente as rotas de tráfego na internet. Portanto, tendo autonomia, pode ser considerado um disposi- tivo de IoT, inclusive proporcionando métricas de pacotes transmitidos, blocos de dados falhos etc. Por esse motivo, os especialistas em segurança da Avast (empresa especialista em software de antivírus) bloquearam mais de 4,6 milhões cross-site com possi- bilidade de solicitações falsas em tentativas realizadas por bandidos para executar comandos sem o conhecimento dos usuários (figura 2). Os ataques visavam principalmente a Netflix e grandes bancos como Santander, Bradesco e Banco do Brasil. Segundo o Avast, no primeiro semestre de 2019, os hackers modificaram as configurações do endereço de mais de 180.000 roteadores brasileiros com ataques ainda mais complexos. 11 UNIDADE Regulamentação para Cybersecurity em IoT Cross-site Scripting (XSS) É um tipo de ataque por meio de código malicioso em aplicações web. Em 2017 estava entre o 10º no top da OWASP Figura 2 – Ataque cross site Fonte: Adaptado de Getty Images Esse tipo de ataque, direto ao usuário, através de sites populares como os cita- dos anteriormente, merecem a adoção de um conjunto de ações focadas na segu- rança para suportar produtos e serviços IoT. Cabe sempre lembrar que cada vez mais o celular pessoal é um dispositivo que tem capacidades múltiplas, além de ser um simples meio de comunicação de voz. Ele é o principal ativo no ecossistema IoT que interage o tempo todo com o usuário pelos seus inúmeros sensores e conexão com a internet. Portanto, a segurança não é um destino, é uma jornada que se move e evolui com a tecnologia e as capacidades que os dispositivos vão incorporando. Por esse motivo, os fornecedores de produtos e serviços de IoT devem manter foco na mi- tigação de riscos, desde ameaças à segurança cibernética até ações regulatórias. Além disso, ferramentas técnicas, melhores práticas e etapas práticas implemen- tadas agora vão levar as organizações a posições mais favoráveis para futuras mu- danças regulatórias. Atualmente, alguns governos e órgãos reguladores estão aplicando a regulamen- tação existente à IoT produtos e serviços em uma tentativa de influenciar a seguran- ça do produto e conscientizar o usuário. Alguns casos práticos demostraram a necessidade de regulamentação para IoT, levaram à elaboração de 15 políticas, desde a União Europeia, Reino Unido, EUA, Austrália e Singapura, entre outros, destacando-se regulamentações aplicáveis, de fabricação do produto IoT até proteção de dados e concorrência. As sanções co- muns aplicáveis ao descumprimento desses regulamentos poderiam ter sérias impli- cações financeiras, reputação para corporações e funcionários, incluindo: • Multas; • Responsabilidade pessoal e detenção de gerentes ou funcionários; • Cessar a comercialização/fabricação de dispositivos/produtos IoT; • Exclusão de dados; • Anúncios públicos e recalls de produtos; • Instruçõesde uso sobre recursos de segurança obrigatória. 12 13 Como perceber o valor das penalidades acima em relação a possíveis ataques cibernéticos? Analisando alguns casos práticos a seguir, pode-se ter uma melhor ideia da necessidade de regulação para todo os ecossistema IoT. Caso 1 – Operadora GVT no Brasil Normalmente, os usuários utilizam senhas fáceis de seus roteadores de operado- ras de serviços telefonia ou TV a cabo que possam ser ”lembradas”, e que acabam sendo senhas óbvias. A senha “gvt12345”, por exemplo, sugere que hackers segmentem usuários com roteadores da antiga provedora de serviços de internet brasileira (ISP) GVT, adquirida pela Telefônica Brasil, que é a maior empresa de telecomunicações do país. A senha “vivo12345” é usada em roteadores distribuídos pelo ISP Vivo, que também é da marca Telefônica Brasil (Figura 3). Senha fácil de lembrarSenha fácil de lembrar Senhas fáceis “gvt12345” e “vivo12345” Figura 3 – Ataque hacker operadoras telecomunicações via roteador particular Fonte: Adaptado de Getty Images Caso 2 – Vulnerabilidade da segurança cibernética automotiva Em 2014, a Wired (jornal on-line) escreveu sobre alguns hackers que desati- varam remotamente um Chrysler Jeep Cherokee enquanto ele estava descendo uma autoestrada a 70 milhas por hora. Os hackers, Charlie Miller e Chris Valasek, revelaram mais detalhes em uma apresentação posterior na Black Hat USA 2015 (evento de TI), um mês depois. Isso foi possível, porque o ponto de entrada no sistema de controle do Jeep foi através do serviço Wi-Fi do sistema multimídia do veículo. Quebrar a segurança não foi tão difícil para eles. Os hackers conectaram a unidade principal de controle ao barramento CAN do carro (o sistema de comando e controle usado em muitos veículos modernos) através de outro dispositivo, que foi configurado apenas para “escutar” o tráfego do barramento CAN. O processador do sistema de controle do carro não estava 13 UNIDADE Regulamentação para Cybersecurity em IoT configurado para ser seguro, então eles puderam reconfigurar o sistema operacio- nal para que o processador pudesse enviar e receber mensagens do barramento CAN, assim eles tinham acesso para manipular quase tudo – travas, freios, trans- missão, até mesmo assumir o controle da direção em baixas velocidades (figura 4). Hacker Wifi sistema multimída do veículo Carro inteligente Central inteligente veicular Protocolo CAN Protocolo CAN Freios – Trava – Direção Figura 4 – Vulnerabilidade de 2014 de Chrysler Jeep Cherokee Fonte: Adaptado de Getty Images e Wikimedia Commons Importante! O CAN é um protocolo de comunicação serial síncrono. O sincronismo entre os módulos co- nectados à redes industriais é feito em intervalos de tempo conhecidos e regulares. Exemplo de aplicação: equipamentos industriais, equipmentos médicos, veículos. Controle Motor Freios ABS Travas Elétricas Controle Espelhos Painel Bordo Vidros Elétricos Figura 5 – Barramento CAN – Controller Area Network Você Sabia? Esses dois casos, dentre muitos, apontam para a necessidade de regular as ques- tões de segurança cibernética. Caso 3 – Placas de carro roubadas das câmeras de segurança em fronteira dos EUA Em 31 de maio de 2019, a CBP – US Customs and Border Patrol – polícia de fronteira americana, ficou sabendo que um subcontratado violou as políticas do CBP e, sem autorização ou conhecimento da CBP, havia transferido cópias das imagens da placa de licença veicular, juntamente com imagens dos viajantes (BARRET, 2019). Essas imagens gravadas pela câmera na fronteira eram de placas de licença e fotos de viajantes (figura 5). A empresa Perceptics, fabricante de hardware e software de leitor de placa de licença amplamente utilizado nas fronteiras e pontos de verificação do governo dos EUA, tinha sido invadida por hackers. O sistema da Perceptics pode reconhecer os condutores e seus carros a partir de filmagens da câmera, permitindo que as autoridades verifiquem os viajantes. 14 15 Figura 6 – Hacker atuando nas câmeras das fronteiras americanas Fonte: Adaptado de Getty Images Esse ataque nos EUA aconteceu em duas fronteiras americanas. Não se soube de divulgação desses dados em redes sociais. Por esses motivos, cada país tem buscado seus mecanismos de regulação para evitar os cyberataques. É impor tante apresentar os destaques brasileiros relaciona- dos à regulação, até porque os ataques continuam ocorrendo em todos os países, justamente por serem muito recentes as leis, normas e regulamentos sobre IoT e segurança cibernética. Nesse s entido, foi publicado, em 26/06/2019, no Diário Oficial da União (DOU) aqui no Brasil, o Decreto nº 9.854, de 25 de junho de 2019, que institui o Plano Nacional de Internet das Coisas (IoT) e dispõe sobre a Câmara IoT, órgão colegia- do que irá supervisionar as ações no âmbito do Plano. O Plano Nacional de IoT é uma iniciativa do Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC), Ministério da Economia e do Banco Nacional de Desenvolvimento Eco- nômico e Social (BNDES) em conjunto com a sociedade civil – empresas, acade- mia, agências de fomento e outros órgãos – para garantir que o Brasil se beneficie da tecnologia de IoT. Art. 5º Ficam estabelecidos os seguintes temas que integrarão o plano de ação destinado a identificar soluções para viabilizar o Plano Nacional de Internet das Coisas: I - ciência, tecnologia e inovação; II - inserção internacional; III - educação e capacitação profissional; IV - infraestrutura de conectividade e interoperabilidade; V - regulação, segurança e privacidade; e VI - viabilidade econômica. Como o plano de segurança para IoT no Brasil ainda se encontra em fase inicial, a melhor saída é adoção das mesmas regulações usadas pela Lei Geral de Proteção 15 UNIDADE Regulamentação para Cybersecurity em IoT de Dados Pessoais, Lei nº 13.709/2018, é a legislação brasileira que regula as ati- vidades de tratamento de dados pessoais e que também altera os artigos 7 e 16 do Marco Civil da Internet, adaptando essa estrutura regulatória quando os dados não são pessoais. Outro ponto importante em discussão é se a definição de IoT presente no Decre- to n. 8.234/2014 é suficiente e adequada, ou se ela pode impedir o desenvolvimen- to de alguma atividade. A definição de “sistemas de comunicação máquina a máqui- na” disposta no Decreto 8234/2014, revogado pelo Decreto 9.854, é dedicada a sistemas de comunicação M2M, tendo como principal escopo a comunicação sem intervenção humana, traçando objetivos referentes à medição e controle, muito atinente à automação. No entanto, com a evolução das tecnologias e a arquitetura do ITU – International Telecommunication Union –, “Arquitetura em Camadas”, verifica-se a necessidade de buscar uma adequação formal para o termo “Internet das Coisas”, em termos regulatórios, de modo a contemplar todas as possibilidades funcionais existentes no ecossistema de IoT. Impacto da Regulamentação em Provedores de IoT A legislação brasileira que rege as telecomunicações expõe os limites entre os serviços de telecomunicações, que demandam obtenção de outorga prévia, sujeitos à regulação setorial. Os serviços de valor agregado ou adicionado dispensam ou- torga e não são sujeitos à regulação de telecomunicações, são os chamados SVA. A Lei Geral de Telecomunicações estabelece que os serviços de telecomunica- ções são aqueles que possibilitam a “transmissão, emissão ou recepção, por fio, radioeletricidade, meios ópticos ou qualquer outro processo eletromagnético, de símbolos, caracteres, sinais, escritos, imagens, sons ou informações de qualquer natureza” (ANATEL, art. 60), considerando ainda que o SVA é a atividade que adiciona a um serviço de telecomunicações suporte e não se confunde com novas utilidades relacionadas ao acesso, armazenamento, apresentação, movimentação ou recuperação de informações” (ANATEL, art. 61). A legislação ainda esclarece que o SVA não é considerado comoserviço de telecomunicações e que o seu pro- vedor será considerado como usuário. Conforme a especificidade da legislação brasileira, é preciso ter cuidado na im- portação de modelos regulatórios inspirados em outras jurisdições, justamente em decorrência das definições e usos adotados nesses países. A regulação setorial para provedores que prestam serviço para sistemas IoT é considerada na arquitetura e, portanto, a segurança cibernética deve ser amplamente adotada em se tratando de sistemas para internet – Lei de Proteção de Dados que entrará em vigor em feve- reiro de 2020. 16 17 A Lei 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), foi sancionada em agosto de 2018 e entrará em vigor em agosto de 2020. Seu objetivo é regulamentar o tratamento de dados pessoais de clientes e usuários por parte de empresas públicas e privadas. Legislação, Normas e Diretrizes Tomando como base a falta de uma regulação especializada que se enquadre na totalidade em arquitetura de camadas para o ecossistema IoT, valem, aqui, as recomendações de atenção com a legislação em vigor no país, não se limitando somente a elas, mas considerando também as normas e diretrizes que podem ser utilizadas como norteadores na busca por incorporar, em qualquer tempo, as me- lhores práticas em relação à segurança cibernética em IoT. É recomendável sempre consultar os portais especializados e documentos dis- poníveis nas iniciativas de empresas que se unem pela busca de atuar no mercado com produtos e serviços, garantindo a melhor segurança cibernética para seus usuários. Seguem as recomendações: • Anatel – Agência Nacional de Telecomunicações, disponível em: http://bit.ly/2L1mgqG • IoT – Security Foudation, disponível em: http://bit.ly/2Mqiydx • MCTIC – Ministério da Ciência, Tecnologia, Inovações e Comunicações, disponível em: http://bit.ly/2KUwZDs • NIST – National Institute of Standards and Technology, disponível em: http://bit.ly/2KUVjoB • Portal de informações sobre ataque e cybercrimes – Line Security Affairs, disponível em: http://bit.ly/2L0SxhN • OWASP – Open Web Aplications Security Project – Projeto Aberto de Segurança em Aplicações Web, disponível em: http://bit.ly/2KUx61Q Ex pl or • Lei 13.709 – Lei Geral de Proteção de Dados Pessoais (LGPD), disponível em: http://bit.ly/2KULCGH • Decreto nº 9.854, de 25 de junho de 2019, disponível em: http://bit.ly/2MrtcRdE xp lo r 17 UNIDADE Regulamentação para Cybersecurity em IoT Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade: Leitura Global Cybersecurity Index O Global Cybersecurity Index (GCI) é uma iniciativa de múltiplas partes interessadas para aumentar a conscientização sobre segurança cibernética e medir o comprometimento dos países com a segurança cibernética e seu amplo campo de aplicação, abrangendo setores. O nível de desenvolvimento de cada país é analisado em cinco categorias: medidas legais, medidas técnicas, medidas organizacionais, capacitação e cooperação. Vale ressaltar que, nessa iniciativa, apenas dois países fazem menção à IoT relacionada com segurança cibernética, o Japão e Singapura. Isso significa que ainda há um longo caminho nas questões regulamentares para IoT. Esse documento orienta os principais pilares globais e inciativas sobre segurança cibernética. http://bit.ly/2Mscr8i IoT Security Foundation Publications Leia com atenção os pontos macros deste material, embora esteja em inglês, os termos técnicos podem ser entendidos. Dessa maneira, você terá um orientador quanto aos problemas que você pode mitigar em projetos de IoT. Este material é uma inciativa específica para Cyber Security em IoT. http://bit.ly/2MpJSs6 IoT mudará (quase) tudo na segurança cibernética Veja as recomendações dadas por Brian NeSmith é CEO e co-fundador da Arctic Wolf Networks em artigo publicado no RFID Journal Brasil. http://bit.ly/2Mvb2hh Decreto Nº 9.854, de 25 de Junho de 2019 http://bit.ly/2MrtcRd 18 19 Referências ANATEL. Lei Nº 9.472, de 16 de julho de 1997. Lei Geral de Telecomunicações. Disponível em <http://www.planalto.gov.br/ccivil_03/LEIS/L9472.htm>. Acesso em: 13/07/2019. BARRET, B. Hack Brief: Hackers stole a Border Agency Database of traveller photos. 10/06/2019. Disponível em <https://www.wired.com/story/hackers-stole- -traveler-photos-border-agency-database/>. Acesso em: 14/06/2019. CBP. US Customs and Border Patrol. Disponível em: <www.cbp.gov>. Acesso em: 14/07/2019. Decreto nº 9.854, de 25 de junho de 2019, Disponível: <http://www.planalto.gov.br/ ccivil_03/_Ato2019-2022/2019/Decreto/D9854.htm>. Acesso em: 13/07/2019. Decreto n. 8.234/2014 revogado pelo Decreto nº 9.854. GLOBAL CYBERSECURITY INDEX 2018. ITU - International Telecommuni- cation Union – Disponível: <https://www.itu.int/dms_pub/itu-d/opb/str/D-STR- GCI.01-2018-PDF-E.pdf>. Acesso em: 14/07/2019. IOT SECURITY FOUNDATION. IoT Security Compliance Framework. 2018 IoT Security Foundation. Release 2. Acesso em: 21/03/21019. Disponível: <ht- tps://www.iotsecurityfoundation.org/wp-content/uploads/2018/12/IoTSF-IoT-Se- curity-Compliance-Framework-Release-2.0-December-2018.pdf>. Lei nº 13.709/2018. Proteção de Dados Pessoais. Disponível em <http://www.planal- to.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 13/07/2019 NIST. National Institute of Standards and Technology. IoT Cybersecurity Considerations. Disponível em <https://www.nist.gov/itl/applied-cybersecurity/ iot-cybersecurity-considerations#technical>. Acesso em: 19/06/2019. OWASP. Open Web Application Security Project. Last revision 03/14/2019. Disponível em <https://www.owasp.org/index.php/About_The_Open_Web_Appli- cation_Security_Project>. Acesso em: 22/05/2019. Sob Licença Creative Commons Attribution-ShareAlike. PERCEPTICS. Portal de Tecnologia Leitura de Placas Veiculares. Disponível em <www.perceptics.com>. Acesso em:13/07/2019 WIRED. Publicação on line sobre cenários emergentes em TI – Wired –Ryan Aspell, Diretor, Brand Marketing, World Trade Center , Nova York, NY 10007. Disponível em: <wiredmediagroup@condenast.com>. Acesso em: 14/06/2019. 19
Compartilhar