Os dispositivos de IoT enfrentarão um número crescente de regulamentações globais em 2020
A transformação digital tem sido protagonista em muitas estratégias corporativas, porém, com o aumento da conectividade, a Internet das Coisas também tem se destacado no mundo dos negócios.
A DigiCert, fornecedor de soluções de TLS / SSL e PKI, reuniu Tim Hollebeek, especialista em estratégia da indústria; Mike Nelson, vice-presidente de IoT Security e Dean Coclin, diretor sênior de desenvolvimento de negócios, para preparar um documento com previsões para 2020. Veja abaixo os principais destaques. As previsões são centradas na transformação digital e divididas em três pontos: Internet das Coisas (IoT), números e privacidade.
Mercados como o Japão, o Reino Unido e os Estados Unidos estão progredindo na regulamentação da IoT
IoT/Segurança
O foco nos requisitos de aquisição aumentará e as empresas solicitarão aos fabricantes de dispositivos IoT garantias sobre a segurança dos dispositivos. O rápido crescimento de dispositivos de conectividade, telessaúde e IoT integrados em pacientes levará a um forte impulso para maior segurança em dispositivos médicos.
Mais fabricantes e consórcios de dispositivos aprenderão com os principais setores como a infra-estrutura escalável de chave pública (PKI) pode proteger os dispositivos IoT. A adoção da PKI aumentará para autenticação, criptografia e integridade do dispositivo conectado. Depois que a PKI informal desaponta as empresas, elas recorrem aos principais especialistas externos / CAs para fornecê-lo.
“Os hackers continuarão a encontrar vulnerabilidades nos dispositivos de IoT dos consumidores, pois a segurança não é a coisa mais importante quando esses dispositivos são desenvolvidos. Por outro lado, a segurança industrial da IoT melhorou, especialmente para sistemas críticos como automotivo, SCADA, assistência médica”, disse Dean Coclin, diretor sênior de desenvolvimento de negócios da DigiCert.
Regulação
Os dispositivos de IoT enfrentarão um número crescente de regulamentações globais em 2020. Os consumidores ajudarão a impulsionar isso exigindo proteções de segurança mais rigorosas, como a etiquetagem de dispositivos, algo que já é exigido no Reino Unido. Em um esforço para evitar a regulamentação do governo, as indústrias se unirão em muitos mercados, incluindo Alemanha, Reino Unido, Coréia do Sul, Japão e EUA.
Mercados como o Japão, o Reino Unido e os Estados Unidos estão progredindo na regulamentação da IoT. Veja abaixo como funcionam as atividades regulatórias em cada um desses países:
Japão: Antecipando ameaças à segurança cibernética durante os Jogos Olímpicos de Verão de 2020, o governo japonês aprovou uma lei que permite invadir os dispositivos de IoT dos cidadãos. Em cooperação com os provedores de serviços de Internet (ISPs) do país, o governo tentará invadir milhões de dispositivos usando as credenciais padrão do dispositivo. Os proprietários serão avisados de que não alteraram os valores padrão, que seus dispositivos correm risco de ataques.
Reino Unido: em 2018, o Reino Unido assinou o primeiro código de prática da IoT do mundo, incluindo diretrizes para fabricantes, como senhas padrão. Mais recentemente, anunciou planos para introduzir leis que exigem que os fabricantes incorporem a segurança nos dispositivos IoT.
Estados Unidos: “Embora o governo federal dos EUA esteja menos disposto a regulamentar a IoT tão agressivamente quanto outros, o estado da Califórnia liderou a regulamentação dos dispositivos de IoT vendidos no estado”, de acordo com um artigo da Forbes. A lei da Califórnia exige que os recursos de segurança protejam o dispositivo e as informações que ele contém de várias ameaças. A medida dominou os fabricantes de dispositivos devido ao enorme mercado que a Califórnia representa.
“Veremos mais explorações públicas nos dispositivos da IoT que farão com que os reguladores fortaleçam sua posição sobre a segurança da IoT. Mais governos globais introduzirão a regulamentação de segurança da Internet das Coisas. As indústrias também se reúnem em um esforço para criar padrões para garantir os dispositivos de IoT em sua indústria. Esses esforços serão uma tentativa de evitar a regulamentação”, disse Mike Nelson, vice-presidente de segurança da IoT da DigiCert.
Escalabilidade e segurança baseadas em certificados
Muitas das empresas que tentam executar sua própria PKI privada ou CA pequena (Autoridade de Certificação), que oferecem suporte a implementações globais de IoT, encontrarão problemas de escalabilidade, à medida que enfrentam o desafio da escala. Isso fará com que os fabricantes usem CAs públicas comprovadas na tentativa de resolver o desafio da escalabilidade. As autoridades de certificação públicas responderão criando ou adquirindo soluções de IoT de confiança mais fortes ou privadas para atender à crescente demanda por segurança da IoT.
Quanto ao futuro dos certificados TLS (Transport Layer Security), os períodos de validade mais curtos significam que as organizações começarão a adotar a automação para facilitar o gerenciamento de certificados.
“Os consumidores terão que aumentar sua conscientização de segurança, pois os agentes de ameaças aproveitam os certificados TLS validados pelo domínio gratuito para exibir a trava em seus sites. Já não basta “procurar a fechadura”, é preciso olhar “além da fechadura”, acrescentou Dean Coclin.
Criptorafia e Computação quântica
A computação quântica, que usa bits quânticos (ou qubits) versus bits usados por computadores tradicionais, pode concluir cálculos complexos simultaneamente, em vez de sequencialmente, acelerando os resultados. Ciências médicas, física de partículas e aprendizado de máquina estão entre as possíveis aplicações. Esse poder de computação avançado pode ser irresistível para os cibercriminosos.
Uma pesquisa com tomadores de decisão de TI constatou que 55% acreditam que a computação quântica é hoje uma ameaça “extremamente grande” ou “um tanto grande”. Setenta e um por cento acreditam que será uma ameaça “extremamente grande” ou “um tanto grande” no futuro. Quinze por cento acreditam que 2020 é o ano em que a computação quântica avançará ao ponto em que pode decifrar os algoritmos criptográficos existentes.
A indústria deve fortalecer os algoritmos de criptografia para acompanhar. Os certificados digitais híbridos também serão mais atraentes. Entre 2022 e 2024, o Instituto Nacional de Padrões e Tecnologia (NIST) padronizará um algoritmo de criptografia pós-quantum (PQC) que pode enfrentar o desafio. A conquista começará um esforço global para implantá-lo. As empresas que inventariaram seus sistemas criptográficos e enfatizaram a agilidade criptográfica terão mais facilidade para implementá-lo; outros, nem tanto.
“Um computador quântico para resolver um problema economicamente importante no próximo ano. Isso iniciará uma nova era de investimentos na aceleração do desenvolvimento da computação quântica com base na demonstração de benefícios práticos. A adoção da criptografia pós-quantum deve ser mantida atualizada”, disse Tim Hollebeek, estrategista do setor DigiCert e estrategista técnico de padrões.
Privacidade
Este ano, a adoção da Lei de Privacidade do Consumidor da Califórnia (CCPA) e o fracasso da Lei de Privacidade de Nova York (NYPA) em votar durante a recente sessão estadual foram conhecidos. A partir de 1º de janeiro de 2020, o CCPA às vezes é chamado de “GDPR-lite” em referência à Lei Geral de Proteção de Dados (GDPR) da União Europeia.
O GDPR foi implementado em maio de 2018 para dar às pessoas “mais controle sobre seus dados pessoais e garantir que as empresas priorizem a privacidade dos dados”. Entre outras coisas, a CCPA concede aos californianos o direito de saber quais dados pessoais são coletados e se são vendidos ou compartilhados com outras pessoas. As empresas devem divulgar essas informações aos consumidores ou enfrentar multas, se não o fizerem.
Existe uma preocupação crescente entre os consumidores em todo o mundo sobre como as empresas lidam com seus dados pessoais. Alguns acreditam que a solução final é uma lei nacional de privacidade, semelhante ao GDPR, mas a probabilidade de sua aprovação é baixa na atual administração. Outros países estão analisando suas próprias leis de privacidade além do RGPD.
Prevemos que um número crescente de estados e países ao redor do mundo preencherá o vazio adotando suas próprias leis de privacidade de dados. Infelizmente, a natureza mosaica da adoção da lei de privacidade em 2020 tornará a conformidade muito difícil para empresas com localizações em mais de um país ou mesmo mais de um estado e para quem vende produtos on-line para consumidores em todo o mundo.