A Austrália deu um pequeno passo para tornar a “Internet das Coisas” mais segura.
por Kayleen Manwaring, The Conversation, publicado no Tech Xplore.
De televisores conectados à Internet, brinquedos, geladeiras, fornos, câmeras de segurança, fechaduras, rastreadores de fitness e luzes, a chamada “Internet das Coisas” (IoT) promete revolucionar nossas casas.
Mas também ameaça aumentar nossa vulnerabilidade a atos maliciosos. Falhas de segurança em dispositivos IoT são comuns. Os hackers podem explorar essas vulnerabilidades para assumir o controle de dispositivos, roubar ou alterar dados e nos espionar .
Em reconhecimento a esses riscos, o governo australiano introduziu um novo código de prática para incentivar os fabricantes a tornar os dispositivos IoT mais seguros. O código fornece orientação sobre senhas seguras, a necessidade de patches de segurança, a proteção e exclusão de consumidores ‘ dados pessoais e os relatórios de vulnerabilidades, entre outras coisas.
O problema é que o código é voluntário. Experiências em outros lugares, como no Reino Unido, sugerem que um código voluntário será insuficiente para fornecer a proteção de que os consumidores precisam.
Na verdade, pode até aumentar os riscos, induzindo os consumidores a uma falsa sensação de segurança sobre a segurança dos dispositivos que compram.
Muitos dispositivos IoT são inseguros
Os dispositivos IoT projetados para consumidores geralmente são menos seguros do que os computadores convencionais.
Em 2017, a Australian Communications Consumer Action Network comissionou pesquisadores da University of New South Wales para testar a segurança de 20 eletrodomésticos capazes de serem conectados e controlados via wi-fi.
Estes incluíram uma TV inteligente, alto-falante portátil, assistente de voz, impressora, monitor de sono, moldura digital, balança de banheiro, lâmpada, interruptor de energia, alarme de fumaça e boneca falante Hello Barbie.
Embora alguns dispositivos (incluindo a Barbie) tenham sido considerados relativamente seguros em termos de confidencialidade, todos tinham algum tipo de falha de segurança. Muitos “permitiram violações de proteção e segurança potencialmente graves”.
O que isso poderia significar é que alguém poderia, por exemplo, invadir a rede wi-fi de uma casa e coletar dados de dispositivos IoT. Pode ser tão simples quanto saber quando as luzes estão acesas para determinar quando uma casa pode ser roubada. Alguém com más intenções pode ligar seu forno enquanto desliga alarmes de fumaça e outros sensores.
Riscos para consumidores e sociedade
Os fatores que levam à falta de segurança em dispositivos IoT incluem o desejo dos fabricantes de minimizar os componentes e manter os custos baixos. Muitos fabricantes de bens de consumo também têm pouca experiência com questões de segurança cibernética.
Aliado ao fato de que muitos consumidores não são tecnologicamente experientes o suficiente para avaliar os riscos e se proteger, isso cria a perspectiva de os dispositivos IoT serem explorados.
Em um nível pessoal, você pode ser espionado e assediado. Fotos ou informações pessoais podem ser expostas ao mundo ou usadas para extorquir você.
Em um nível social, os dispositivos IoT podem ser sequestrados e usados coletivamente para desligar serviços e redes. Mesmo comprometer um dispositivo pode permitir que a infraestrutura conectada seja hackeada. Esta é uma preocupação crescente à medida que mais pessoas se conectam às redes do local de trabalho em casa.
Códigos de prática voluntários
Em reconhecimento a essas ameaças, segurança Internet das coisas diretrizes de “boas práticas” têm sido propostas pelos organismos de normalização, como o Instituto Nacional de Padrões e Tecnologia, o European Telecommunications Standards Institute e da Internet Engineering Task Force. Mas essas diretrizes são baseadas em ações voluntárias dos fabricantes.
O governo do Reino Unido já concluiu que o código de conduta voluntário estabelecido em 2018 não está funcionando.
O Ministro da Infraestrutura Digital da Grã-Bretanha, Matt Warman, disse em julho: “Apesar da adoção generalizada das diretrizes do Código de Prática para a Segurança da Internet das Coisas do Consumidor, tanto no Reino Unido quanto no exterior, a mudança não foi rápida o suficiente, com segurança fraca ainda comum.”
O Reino Unido está agora se movendo para impor um código obrigatório, com leis exigindo que os fabricantes forneçam recursos de segurança razoáveis em qualquer dispositivo que possa se conectar à Internet.
Um caso para co-regulação
Há poucos motivos para acreditar que o código de prática voluntário da Austrália será mais eficaz do que no Reino Unido.
Uma opção melhor teria sido uma abordagem “co-reguladora“. A co-regulamentação mistura aspectos de autorregulação da indústria com regulamentação governamental e forte contribuição da comunidade. Inclui leis que criam incentivos para conformidade (e desincentivos contra não conformidade) e supervisão regulatória por um cão de guarda independente (e com bons recursos).
O governo da Austrália, pelo menos, descreveu seu novo código de prática como “um primeiro passo” para melhorar a segurança dos dispositivos IoT.
Esperemos. Se a experiência do Reino Unido servir de referência, seus próximos passos incluirão o descarte de um código voluntário por algo com maior chance de fornecer a segurança e a proteção de que os consumidores – e a sociedade – precisam.