teorico (7)

Prévia do material em texto

Segurança e Privacidade em 
Internet das Coisas (IoT)
Material Teórico
Responsável pelo Conteúdo:
Prof.ª Dr.ª Marise Miranda
Revisão Textual:
Prof.ª Dr.ª Luciene Oliveira da Costa Granadeiro
Regulamentação para Cybersecurity em IoT
• Introdução;
• Visão Geral das Estruturas Regulamentares;
• Impacto da Regulamentação em Provedores de IoT;
• Legislação, Normas e Diretrizes.
• Desmistifi car a segurança cibernética de IoT no mundo real, observando as regras, nor-
mas e legislação;
• Promover posicionamento principal quanto à segurança em IoT como prioridade nos projetos;
• Fornecer ferramentas para combinar as melhores práticas de segurança com a segurança 
cibernética em ecossistemas IoT, considerando a regulamentação ofi cial exigida.
OBJETIVOS DE APRENDIZADO
Regulamentação para 
Cybersecurity em IoT
Orientações de estudo
Para que o conteúdo desta Disciplina seja bem 
aproveitado e haja maior aplicabilidade na sua 
formação acadêmica e atuação profissional, siga 
algumas recomendações básicas: 
Assim:
Organize seus estudos de maneira que passem a fazer parte 
da sua rotina. Por exemplo, você poderá determinar um dia e 
horário fixos como seu “momento do estudo”;
Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma 
alimentação saudável pode proporcionar melhor aproveitamento do estudo;
No material de cada Unidade, há leituras indicadas e, entre elas, artigos científicos, livros, vídeos 
e sites para aprofundar os conhecimentos adquiridos ao longo da Unidade. Além disso, você tam-
bém encontrará sugestões de conteúdo extra no item Material Complementar, que ampliarão sua 
interpretação e auxiliarão no pleno entendimento dos temas abordados;
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discus-
são, pois irão auxiliar a verificar o quanto você absorveu de conhecimento, além de propiciar o 
contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e de 
aprendizagem.
Organize seus estudos de maneira que passem a fazer parte 
Mantenha o foco! 
Evite se distrair com 
as redes sociais.
Mantenha o foco! 
Evite se distrair com 
as redes sociais.
Determine um 
horário fixo 
para estudar.
Aproveite as 
indicações 
de Material 
Complementar.
Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma 
Não se esqueça 
de se alimentar 
e de se manter 
hidratado.
Aproveite as 
Conserve seu 
material e local de 
estudos sempre 
organizados.
Procure manter 
contato com seus 
colegas e tutores 
para trocar ideias! 
Isso amplia a 
aprendizagem.
Seja original! 
Nunca plagie 
trabalhos.
UNIDADE Regulamentação para Cybersecurity em IoT
Introdução
A rápida proliferação de dispositivos conectados à Internet e o crescimento da 
IoT geram grande expectativa com relação à segurança. Esses dispositivos conec-
tados carregam para os negócios a promessa de aumento de eficiência e satisfação 
do cliente.
Os dispositivos de IoT podem incluir sensores de localização em vestuários para 
atividades físicas, televisores inteligentes, ar condicionado e carros, entre muitos 
outros dispositivos. Esses dispositivos conectados à Internet geralmente detectam, 
coletam, processam e transmitem uma ampla variedade de dados, desde informa-
ções de identificação pessoal do consumidor até dados de infraestrutura, usados 
para tomada de decisões críticas em tempo real ou para efetuar uma mudança no 
mundo físico.
Assim como há uma variedade de novos usos, a natureza do ecossistema da 
IoT traz novas considerações de segurança. Essas considerações incluem diversos 
âmbitos – energia e processamento restritos, capacidade de gerenciar, atualizar e 
corrigir dispositivos em escala e um conjunto de novas aplicações nos setores de 
consumo e industrial – não se limitando a eles.
Por esse motivo, as organizações devem estar cientes do uso de IoT existente e 
possível uso futuro. Elas precisam entender como as características da IoT afetam 
o gerenciamento de riscos de segurança cibernética e privacidade, especialmente 
em termos de resposta ao risco, como aceitar, evitar, mitigar, compartilhar, ou 
transferir riscos.
O NIST – National Institute of Standards and Technology – identifica três con-
siderações de alto nível que podem afetar o gerenciamento de riscos de segurança 
cibernética e privacidade para dispositivos IoT em comparação com dispositivos de 
TI convencionais. Segurança cibernética é um conjunto de práticas que protege os 
dados coletados, processados e transmitidos por algum meio de comunicação. 
I. Muitos dispositivos de IoT interagem com o mundo físico de maneira 
diferente que os dispositivos de TI convencionais. O impacto potencial 
de alguns dispositivos de IoT que fazem alterações nos sistemas físicos 
e, portanto, afetam o mundo físico, precisa ser explicitamente reco-
nhecido e abordado a partir das perspectivas de segurança cibernética 
e privacidade. Além disso, os requisitos operacionais de desempenho, 
confiabilidade, resiliência e segurança podem estar em desacordo com 
práticas comuns de segurança cibernética e privacidade para dispositi-
vos de TI convencionais;
II. Muitos dispositivos IoT não podem ser acessados, gerenciados ou mo-
nitorados da mesma maneira que os dispositivos de TI convencionais. 
Isso pode exigir a execução manual de tarefas para um grande número 
de dispositivos de IoT, ampliando o conhecimento e as ferramentas da 
8
9
equipe para incluir uma variedade muito maior de software de dispo-
sitivo IoT, enfrentando riscos com fabricantes e terceiros que tenham 
acesso remoto ou controle sobre dispositivos IoT;
III. A disponibilidade, a eficiência e a eficácia dos recursos de segurança 
cibernética e privacidade são frequentemente diferentes para dispositi-
vos IoT do que os dispositivos de TI convencionais. Isso significa que as 
organizações podem ter que selecionar, implementar e gerenciar contro-
les adicionais, bem como determinar como responder aos riscos quando 
controles para mitigá-los não estiverem disponíveis ou forem insuficientes.
Existem dois tipos de fatores que impactam como barreiras aos projetos de se-
gurança cibernética: fatores técnicos e fatores de negócio. O primeiro tipo, fatores 
técnicos, refere-se às restrições de dispositivos. Devido à natureza de vários dispo-
sitivos de IoT, como a necessidade de ser portátil, os projetos podem criar barreiras 
à segurança cibernética. 
Esses fatores técnicos incluem o consumo de energia, baixo custo e ciclo de 
vida, associados à restrição do dispositivo e à segurança. Detalhes estão listados na 
tabela 1. 
Tabela 1 – Fatores Técnicos Físicos da NIST para IoT
Fatores Técnicos Restrição do Dispositivo Preocupação de segurança
Consumo 
de energia
Muitos dispositivos IoT exigem uma longa du-
ração da bateria, sem acesso a uma fonte de 
alimentação permanente.
Hardware com baixo consumo de energia pode 
não ter recursos adicionais, como a capacidade 
de suportar mecanismos de criptografia ou se-
gurança de hardware.
Baixo custo
O valor percebido pelo consumidor de um dis-
positivo depende muito do custo de aquisição 
e implementação do dispositivo.  Os impulsio-
nadores do mercado geralmente exigem que 
as empresas produzam dispositivos a um custo 
muito baixo.
Ao atender a essas pressões de preços, os dispo-
sitivos podem ter baixo poder de processamen-
to e espaço de hardware restrito, oferecendo 
suporte limitado a mecanismos de segurança.
Ciclo de Vida
A vida útil dos dispositivos varia muito, alguns 
dispositivos (como sensores simples) são de 
curta duração, enquanto outros são feitos para 
durar por décadas.
Com o tempo, os dispositivos podem se tornar 
restritos por hardware e não podem ser atua-
lizados.  Mecanismos de segurança integrados 
podem ser considerados vulneráveis ou obso-
letos, como os antigos pacotes de criptografia.
Fonte: Adaptado de NIST – National Institute of Standards and Technology
Já os fatores de negócio ou de mercado consideramnos projetos IoT uma ques-
tão transformacional. Isso representa mudança no mercado na forma como os 
serviços de TI são oferecidos e consumidos, tanto para uso pessoal quanto comer-
cial. À medida que esse mercado surge, vários outros fatores podem se apresentar 
como considerações para a implementação da segurança cibernética para a IoT. 
Os fatores de negócio ou mercado incluem o acesso ao mercado, comerciali-
zação inicial e diversidade. Detalhes estão listados na tabela 2. Esses fatores de 
natureza do negócio ou mercado são recomendados pela NIST – National Institute 
of Standards and Technology. O NIST é uma entidade que define padrões e testes 
tecnológicos, incluindo segmentos da indústria até a área de saúde. 
9
UNIDADE Regulamentação para Cybersecurity em IoT
Tabela 2 – Fatores de mercado ou negócio da NIST para IoT
Acesso ao mercado Espaço de fabricante para o desenvolvimento de protótipos de baixo custo e es-tratégias rápidas de entrada no mercado. 
Comercialização inicial
Nos segmentos de mercado emergente, os desenvolvedores pressionam para 
serem os primeiros ou únicos do mercado. 
Diversidade
A baixa barreira à entrada no mercado leva a uma variedade de produtos e 
serviços, muitas vezes usando hardware, software, APIs, provedores de serviços 
terceirizados e mecanismos de patches diferentes, sem padronização. 
Fonte: Adaptado de NIST – National Institute of Standards and Technology
Esses fatores de mercado incentivam à inovação, embora os empreendedores 
emergentes possam não ter o conhecimento dos recursos para implementar a se-
gurança dos dispositivos de IoT emergentes. Esses desenvolvedores dentro do ecos-
sistema IoT devem equilibrar a implementação de mecanismos de segurança ade-
quados, enfrentando simultaneamente pressão de preços e forças de mercado para 
desenvolver recursos, funcionalidade e produtos e serviços comercialmente viáveis. 
Isso cria desafios à medida que a adoção da IoT busca interoperabilidade, padrões 
e melhores práticas ao implementar a tecnologia IoT.
Cada dispositivo IoT fornece um ou mais recursos – recursos ou funções – que 
podem ser usados por conta própria ou em conjunto com outros dispositivos IoT e 
não IoT para atingir um ou mais objetivos. 
Por exemplo, os recursos do sensor interagem com o mundo físico e servem de 
vantagem entre ambientes digitais e físicos. Todo dispositivo IoT tem pelo menos 
uma capacidade de sensoriamento. Os tipos de recursos são o sensoriamento, a 
medição e os recursos relativos ao intefaceamento, do usuário com a aplicação, 
recurso do dado coletado com a comunicação, da medida com a atuação como 
tomada de decisão e o recurso de sustentação. A figura 1 representa a relação dos 
4 recursos do dispositivo IoT, que afetam potencialmente o risco da segurança ci-
bernética e as capacidades de cada recurso. 
Gerenciamento
dos dispositivos
Gerenciamento
da segurança
Cibernética
Gerenciamento
da Privacidade
Sensoriamento
Medida
Sensor
Coleta e
processamento
Armazenamento
Dado Interface Sustentação
Interface Usuário
Interface de
comunicação
Interface de
aplicação
Leis, Normas e Regulação
Cyber Security
Figura 1 – Recursos que afetam a Segurança Cibernética
Fonte: Adaptado de NIST – National Institute of Standards and Technology
10
11
Ao analisar os recursos como sensor, dado, interface e sustentação, em um 
ecossistema IoT, geralmente são encontrados os mesmos tipos de riscos de segu-
rança cibernética e privacidade que a TI convencional, embora a prevalência e a 
gravidade de tais riscos frequentemente sejam diferentes. Por exemplo, segurança 
de dados é quase sempre uma preocupação significativa para dispositivos de TI 
convencionais, mas, para alguns IoT, pode não ser tão relevante. Em alguns dispo-
sitivos, pode não haver riscos de segurança de dados, porque os dispositivos não 
têm recursos de dados, por exemplo, um sensor de luminosidade para ativar as 
luminárias da rua quando escurece.
Nesse sentido, vem a importância das leis, normas e regulação, que orientam, 
normatizam ou fazem cumprir os requisistos necessários e aceitavéis para segmen-
tos de IoT, cuja a segurança cibernética é muito relevante.
Sensoriamento: a capacidade de fornecer uma observação de um aspecto do mundo físico 
na forma de danos de medição. Exemplos incluem medição de temperatura, exames de to-
mografia computadorizada (imagem radiográfica), sensoriamento óptico e sonoro;
Medição: capacidades de dados coletados são funções típicas de computação digital envol-
vendo dados: armazenamento e processamento de dados;
Recursos de Interface: permitem interações do dispositivo (por exemplo, comunicações de 
dispositivo a dispositivo, comunicações entre usuários e dispositivos).
Ex
pl
or
Visão Geral das Estruturas Regulamentares
Em julho de 2019, o portal on-line Security Affairs noticiou que usuários brasi-
leiros foram alvo de um grande número de ataques a roteadores, com o objetivo de 
modificar a configuração desses equipamentos para fins maliciosos. 
Um roteador é um equipamento que gerencia de forma inteligente as rotas de 
tráfego na internet. Portanto, tendo autonomia, pode ser considerado um disposi-
tivo de IoT, inclusive proporcionando métricas de pacotes transmitidos, blocos de 
dados falhos etc. 
Por esse motivo, os especialistas em segurança da Avast (empresa especialista 
em software de antivírus) bloquearam mais de 4,6 milhões cross-site com possi-
bilidade de solicitações falsas em tentativas realizadas por bandidos para executar 
comandos sem o conhecimento dos usuários (figura 2). 
Os ataques visavam principalmente a Netflix e grandes bancos como Santander, 
Bradesco e Banco do Brasil. Segundo o Avast, no primeiro semestre de 2019, os 
hackers modificaram as configurações do endereço de mais de 180.000 roteadores 
brasileiros com ataques ainda mais complexos.
11
UNIDADE Regulamentação para Cybersecurity em IoT
Cross-site Scripting (XSS) 
É um tipo de ataque
por meio de código 
malicioso em aplicações
web. Em 2017 estava entre
o 10º no top da OWASP
Figura 2 – Ataque cross site
Fonte: Adaptado de Getty Images
Esse tipo de ataque, direto ao usuário, através de sites populares como os cita-
dos anteriormente, merecem a adoção de um conjunto de ações focadas na segu-
rança para suportar produtos e serviços IoT. Cabe sempre lembrar que cada vez 
mais o celular pessoal é um dispositivo que tem capacidades múltiplas, além de ser 
um simples meio de comunicação de voz. Ele é o principal ativo no ecossistema IoT 
que interage o tempo todo com o usuário pelos seus inúmeros sensores e conexão 
com a internet. 
Portanto, a segurança não é um destino, é uma jornada que se move e evolui 
com a tecnologia e as capacidades que os dispositivos vão incorporando. Por esse 
motivo, os fornecedores de produtos e serviços de IoT devem manter foco na mi-
tigação de riscos, desde ameaças à segurança cibernética até ações regulatórias. 
Além disso, ferramentas técnicas, melhores práticas e etapas práticas implemen-
tadas agora vão levar as organizações a posições mais favoráveis para futuras mu-
danças regulatórias.
Atualmente, alguns governos e órgãos reguladores estão aplicando a regulamen-
tação existente à IoT produtos e serviços em uma tentativa de influenciar a seguran-
ça do produto e conscientizar o usuário. 
Alguns casos práticos demostraram a necessidade de regulamentação para IoT, 
levaram à elaboração de 15 políticas, desde a União Europeia, Reino Unido, EUA, 
Austrália e Singapura, entre outros, destacando-se regulamentações aplicáveis, de 
fabricação do produto IoT até proteção de dados e concorrência. As sanções co-
muns aplicáveis ao descumprimento desses regulamentos poderiam ter sérias impli-
cações financeiras, reputação para corporações e funcionários, incluindo:
• Multas;
• Responsabilidade pessoal e detenção de gerentes ou funcionários;
• Cessar a comercialização/fabricação de dispositivos/produtos IoT;
• Exclusão de dados;
• Anúncios públicos e recalls de produtos;
• Instruçõesde uso sobre recursos de segurança obrigatória.
12
13
Como perceber o valor das penalidades acima em relação a possíveis ataques 
cibernéticos? Analisando alguns casos práticos a seguir, pode-se ter uma melhor 
ideia da necessidade de regulação para todo os ecossistema IoT.
Caso 1 – Operadora GVT no Brasil
Normalmente, os usuários utilizam senhas fáceis de seus roteadores de operado-
ras de serviços telefonia ou TV a cabo que possam ser ”lembradas”, e que acabam 
sendo senhas óbvias. 
A senha “gvt12345”, por exemplo, sugere que hackers segmentem usuários 
com roteadores da antiga provedora de serviços de internet brasileira (ISP) GVT, 
adquirida pela Telefônica Brasil, que é a maior empresa de telecomunicações do 
país. A senha “vivo12345” é usada em roteadores distribuídos pelo ISP Vivo, que 
também é da marca Telefônica Brasil (Figura 3). 
Senha fácil
de lembrarSenha fácil
de lembrar
Senhas fáceis
“gvt12345” e
“vivo12345”
Figura 3 – Ataque hacker operadoras telecomunicações via roteador particular
Fonte: Adaptado de Getty Images
Caso 2 – Vulnerabilidade da segurança cibernética automotiva
Em 2014, a Wired (jornal on-line) escreveu sobre alguns hackers que desati-
varam remotamente um Chrysler Jeep Cherokee enquanto ele estava descendo 
uma autoestrada a 70 milhas por hora. Os hackers, Charlie Miller e Chris Valasek, 
revelaram mais detalhes em uma apresentação posterior na Black Hat USA 2015 
(evento de TI), um mês depois. Isso foi possível, porque o ponto de entrada no 
sistema de controle do Jeep foi através do serviço Wi-Fi do sistema multimídia do 
veículo. Quebrar a segurança não foi tão difícil para eles. 
Os hackers conectaram a unidade principal de controle ao barramento CAN 
do carro (o sistema de comando e controle usado em muitos veículos modernos) 
através de outro dispositivo, que foi configurado apenas para “escutar” o tráfego 
do barramento CAN. O processador do sistema de controle do carro não estava 
13
UNIDADE Regulamentação para Cybersecurity em IoT
configurado para ser seguro, então eles puderam reconfigurar o sistema operacio-
nal para que o processador pudesse enviar e receber mensagens do barramento 
CAN, assim eles tinham acesso para manipular quase tudo – travas, freios, trans-
missão, até mesmo assumir o controle da direção em baixas velocidades (figura 4).
Hacker Wifi sistema 
multimída do veículo
Carro inteligente Central inteligente veicular
Protocolo CAN
Protocolo
CAN
Freios – Trava – Direção
Figura 4 – Vulnerabilidade de 2014 de Chrysler Jeep Cherokee
Fonte: Adaptado de Getty Images e Wikimedia Commons
Importante!
O CAN é um protocolo de comunicação serial síncrono. O sincronismo entre os módulos co-
nectados à redes industriais é feito em intervalos de tempo conhecidos e regulares. Exemplo 
de aplicação: equipamentos industriais, equipmentos médicos, veículos.
Controle
Motor
Freios
ABS
Travas
Elétricas
Controle
Espelhos
Painel
Bordo
Vidros
Elétricos
Figura 5 – Barramento CAN – Controller Area Network
Você Sabia?
Esses dois casos, dentre muitos, apontam para a necessidade de regular as ques-
tões de segurança cibernética.
Caso 3 – Placas de carro roubadas das 
câmeras de segurança em fronteira dos EUA
Em 31 de maio de 2019, a CBP – US Customs and Border Patrol – polícia 
de fronteira americana, ficou sabendo que um subcontratado violou as políticas 
do CBP e, sem autorização ou conhecimento da CBP, havia transferido cópias 
das imagens da placa de licença veicular, juntamente com imagens dos viajantes 
(BARRET, 2019). Essas imagens gravadas pela câmera na fronteira eram de placas 
de licença e fotos de viajantes (figura 5). 
A empresa Perceptics, fabricante de hardware e software de leitor de placa de 
licença amplamente utilizado nas fronteiras e pontos de verificação do governo dos 
EUA, tinha sido invadida por hackers. O sistema da Perceptics pode reconhecer 
os condutores e seus carros a partir de filmagens da câmera, permitindo que as 
autoridades verifiquem os viajantes.
14
15
Figura 6 – Hacker atuando nas câmeras das fronteiras americanas
Fonte: Adaptado de Getty Images
Esse ataque nos EUA aconteceu em duas fronteiras americanas. Não se soube 
de divulgação desses dados em redes sociais. 
Por esses motivos, cada país tem buscado seus mecanismos de regulação para 
evitar os cyberataques. É impor tante apresentar os destaques brasileiros relaciona-
dos à regulação, até porque os ataques continuam ocorrendo em todos os países, 
justamente por serem muito recentes as leis, normas e regulamentos sobre IoT e 
segurança cibernética. 
Nesse s entido, foi publicado, em 26/06/2019, no Diário Oficial da União (DOU) 
aqui no Brasil, o Decreto nº 9.854, de 25 de junho de 2019, que institui o Plano 
Nacional de Internet das Coisas (IoT) e dispõe sobre a Câmara IoT, órgão colegia-
do que irá supervisionar as ações no âmbito do Plano. O Plano Nacional de IoT 
é uma iniciativa do Ministério da Ciência, Tecnologia, Inovações e Comunicações 
(MCTIC), Ministério da Economia e do Banco Nacional de Desenvolvimento Eco-
nômico e Social (BNDES) em conjunto com a sociedade civil – empresas, acade-
mia, agências de fomento e outros órgãos – para garantir que o Brasil se beneficie 
da tecnologia de IoT.
Art. 5º  Ficam estabelecidos os seguintes temas que integrarão o plano 
de ação destinado a identificar soluções para viabilizar o Plano Nacional 
de Internet das Coisas:
I - ciência, tecnologia e inovação;
II - inserção internacional;
III - educação e capacitação profissional;
IV - infraestrutura de conectividade e interoperabilidade;
V - regulação, segurança e privacidade; e
VI - viabilidade econômica.
Como o plano de segurança para IoT no Brasil ainda se encontra em fase inicial, 
a melhor saída é adoção das mesmas regulações usadas pela Lei Geral de Proteção 
15
UNIDADE Regulamentação para Cybersecurity em IoT
de Dados Pessoais, Lei nº 13.709/2018, é a legislação brasileira que regula as ati-
vidades de tratamento de dados pessoais e que também altera os artigos 7 e 16 do 
Marco Civil da Internet, adaptando essa estrutura regulatória quando os dados não 
são pessoais. 
Outro ponto importante em discussão é se a definição de IoT presente no Decre-
to n. 8.234/2014 é suficiente e adequada, ou se ela pode impedir o desenvolvimen-
to de alguma atividade. A definição de “sistemas de comunicação máquina a máqui-
na” disposta no Decreto 8234/2014, revogado pelo Decreto 9.854, é dedicada a 
sistemas de comunicação M2M, tendo como principal escopo a comunicação sem 
intervenção humana, traçando objetivos referentes à medição e controle, muito 
atinente à automação. No entanto, com a evolução das tecnologias e a arquitetura 
do ITU – International Telecommunication Union –, “Arquitetura em Camadas”, 
verifica-se a necessidade de buscar uma adequação formal para o termo “Internet 
das Coisas”, em termos regulatórios, de modo a contemplar todas as possibilidades 
funcionais existentes no ecossistema de IoT. 
Impacto da Regulamentação 
em Provedores de IoT
A legislação brasileira que rege as telecomunicações expõe os limites entre os 
serviços de telecomunicações, que demandam obtenção de outorga prévia, sujeitos 
à regulação setorial. Os serviços de valor agregado ou adicionado dispensam ou-
torga e não são sujeitos à regulação de telecomunicações, são os chamados SVA. 
A Lei Geral de Telecomunicações estabelece que os serviços de telecomunica-
ções são aqueles que possibilitam a “transmissão, emissão ou recepção, por fio, 
radioeletricidade, meios ópticos ou qualquer outro processo eletromagnético, de 
símbolos, caracteres, sinais, escritos, imagens, sons ou informações de qualquer 
natureza” (ANATEL, art. 60), considerando ainda que o SVA é a atividade que 
adiciona a um serviço de telecomunicações suporte e não se confunde com novas 
utilidades relacionadas ao acesso, armazenamento, apresentação, movimentação 
ou recuperação de informações” (ANATEL, art. 61). A legislação ainda esclarece 
que o SVA não é considerado comoserviço de telecomunicações e que o seu pro-
vedor será considerado como usuário.
Conforme a especificidade da legislação brasileira, é preciso ter cuidado na im-
portação de modelos regulatórios inspirados em outras jurisdições, justamente em 
decorrência das definições e usos adotados nesses países. A regulação setorial para 
provedores que prestam serviço para sistemas IoT é considerada na arquitetura e, 
portanto, a segurança cibernética deve ser amplamente adotada em se tratando de 
sistemas para internet – Lei de Proteção de Dados que entrará em vigor em feve-
reiro de 2020. 
16
17
A Lei 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), 
foi sancionada em agosto de 2018 e entrará em vigor em agosto de 2020. Seu 
objetivo é regulamentar o tratamento de dados pessoais de clientes e usuários por 
parte de empresas públicas e privadas.
Legislação, Normas e Diretrizes
Tomando como base a falta de uma regulação especializada que se enquadre 
na totalidade em arquitetura de camadas para o ecossistema IoT, valem, aqui, as 
recomendações de atenção com a legislação em vigor no país, não se limitando 
somente a elas, mas considerando também as normas e diretrizes que podem ser 
utilizadas como norteadores na busca por incorporar, em qualquer tempo, as me-
lhores práticas em relação à segurança cibernética em IoT. 
É recomendável sempre consultar os portais especializados e documentos dis-
poníveis nas iniciativas de empresas que se unem pela busca de atuar no mercado 
com produtos e serviços, garantindo a melhor segurança cibernética para seus 
usuários. Seguem as recomendações:
• Anatel – Agência Nacional de Telecomunicações, 
disponível em: http://bit.ly/2L1mgqG
• IoT – Security Foudation, disponível em: http://bit.ly/2Mqiydx
• MCTIC – Ministério da Ciência, Tecnologia, Inovações e Comunicações, 
disponível em: http://bit.ly/2KUwZDs
• NIST – National Institute of Standards and Technology, 
disponível em: http://bit.ly/2KUVjoB
• Portal de informações sobre ataque e cybercrimes – Line Security Affairs, 
disponível em: http://bit.ly/2L0SxhN
• OWASP – Open Web Aplications Security Project – Projeto Aberto de Segurança 
em Aplicações Web, disponível em: http://bit.ly/2KUx61Q
Ex
pl
or
• Lei 13.709 – Lei Geral de Proteção de Dados Pessoais (LGPD), disponível em: http://bit.ly/2KULCGH
• Decreto nº 9.854, de 25 de junho de 2019, disponível em: http://bit.ly/2MrtcRdE
xp
lo
r
17
UNIDADE Regulamentação para Cybersecurity em IoT
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
 Leitura
Global Cybersecurity Index
O Global Cybersecurity Index (GCI) é uma iniciativa de múltiplas partes 
interessadas para aumentar a conscientização sobre segurança cibernética e medir 
o comprometimento dos países com a segurança cibernética e seu amplo campo de 
aplicação, abrangendo setores.
O nível de desenvolvimento de cada país é analisado em cinco categorias: medidas 
legais, medidas técnicas, medidas organizacionais, capacitação e cooperação. 
Vale ressaltar que, nessa iniciativa, apenas dois países fazem menção à IoT relacionada 
com segurança cibernética, o Japão e Singapura. Isso significa que ainda há um longo 
caminho nas questões regulamentares para IoT. 
Esse documento orienta os principais pilares globais e inciativas sobre segurança 
cibernética. 
http://bit.ly/2Mscr8i
IoT Security Foundation Publications
Leia com atenção os pontos macros deste material, embora esteja em inglês, os termos 
técnicos podem ser entendidos. Dessa maneira, você terá um orientador quanto aos 
problemas que você pode mitigar em projetos de IoT. Este material é uma inciativa 
específica para Cyber Security em IoT.
http://bit.ly/2MpJSs6
IoT mudará (quase) tudo na segurança cibernética
Veja as recomendações dadas por Brian NeSmith é CEO e co-fundador da Arctic 
Wolf Networks em artigo publicado no RFID Journal Brasil. 
http://bit.ly/2Mvb2hh
Decreto Nº 9.854, de 25 de Junho de 2019
http://bit.ly/2MrtcRd
18
19
Referências
ANATEL. Lei Nº 9.472, de 16 de julho de 1997. Lei Geral de Telecomunicações. 
Disponível em <http://www.planalto.gov.br/ccivil_03/LEIS/L9472.htm>. Acesso 
em: 13/07/2019.
BARRET, B. Hack Brief: Hackers stole a Border Agency Database of traveller 
photos. 10/06/2019. Disponível em <https://www.wired.com/story/hackers-stole-
-traveler-photos-border-agency-database/>. Acesso em: 14/06/2019. 
CBP. US Customs and Border Patrol. Disponível em: <www.cbp.gov>. Acesso 
em: 14/07/2019. 
Decreto nº 9.854, de 25 de junho de 2019, Disponível: <http://www.planalto.gov.br/
ccivil_03/_Ato2019-2022/2019/Decreto/D9854.htm>. Acesso em: 13/07/2019. 
Decreto n. 8.234/2014 revogado pelo Decreto nº 9.854. 
GLOBAL CYBERSECURITY INDEX 2018. ITU - International Telecommuni-
cation Union – Disponível: <https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-
GCI.01-2018-PDF-E.pdf>. Acesso em: 14/07/2019. 
IOT SECURITY FOUNDATION. IoT Security Compliance Framework. 2018 
IoT Security Foundation. Release 2. Acesso em: 21/03/21019. Disponível: <ht-
tps://www.iotsecurityfoundation.org/wp-content/uploads/2018/12/IoTSF-IoT-Se-
curity-Compliance-Framework-Release-2.0-December-2018.pdf>.
Lei nº 13.709/2018. Proteção de Dados Pessoais. Disponível em <http://www.planal-
to.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 13/07/2019 
NIST. National Institute of Standards and Technology. IoT Cybersecurity 
Considerations. Disponível em <https://www.nist.gov/itl/applied-cybersecurity/
iot-cybersecurity-considerations#technical>. Acesso em: 19/06/2019. 
OWASP. Open Web Application Security Project. Last revision 03/14/2019. 
Disponível em <https://www.owasp.org/index.php/About_The_Open_Web_Appli-
cation_Security_Project>. Acesso em: 22/05/2019. Sob Licença Creative Commons 
 Attribution-ShareAlike.
PERCEPTICS. Portal de Tecnologia Leitura de Placas Veiculares. Disponível 
em <www.perceptics.com>. Acesso em:13/07/2019
WIRED. Publicação on line sobre cenários emergentes em TI – Wired –Ryan 
Aspell, Diretor, Brand Marketing, World Trade Center  , Nova York, NY 10007. 
Disponível em: <wiredmediagroup@condenast.com>. Acesso em: 14/06/2019. 
19