Governo australiano lança código de prática voluntária de segurança cibernética IoT
É baseado em 13 princípios e se aplica a todos os dispositivos IoT que se conectam à Internet para enviar e receber dados na Austrália.
O governo australiano lançou um código de prática voluntário para proteger a Internet das Coisas (IoT) na Austrália.
O Código de Prática voluntário: Protegendo a Internet das Coisas para os Consumidores [PDF] tem como objetivo fornecer à indústria um guia de práticas recomendadas sobre como projetar dispositivos IoT com recursos de segurança cibernética.
Ele se aplicará a todos os dispositivos IoT que se conectam à Internet para enviar e receber dados na Austrália, incluindo “dispositivos do cotidiano, como geladeiras inteligentes, televisores inteligentes, monitores de bebê e câmeras de segurança”.
“Dispositivos conectados à Internet são cada vez mais parte das residências e empresas australianas e muitos desses dispositivos têm recursos de segurança deficientes que expõem os proprietários a concessões”, disse o ministro de Assuntos Internos, Peter Dutton.
“Os fabricantes devem desenvolver esses dispositivos com segurança incorporada ao projeto.
“Os australianos devem considerar os recursos de segurança ao adquirir esses dispositivos para se protegerem contra o acesso não solicitado por cibercriminosos.”
O código de prática voluntário é baseado em 13 princípios.
Esses princípios incluem não duplicar senhas padrão ou fracas, bem como usar autenticação multifator; implementar uma política de divulgação de vulnerabilidades que inclua um ponto de contato público para que os pesquisadores de segurança e outros possam relatar quaisquer problemas de segurança cibernética; manter o software atualizado com segurança; e armazenamento seguro de credenciais, evitando credenciais embutidas em código em dispositivos e software.
O código também declara que os fabricantes devem garantir que os dados pessoais sejam protegidos de acordo com as leis de proteção de dados, como o Privacy Act 1988 e os Australian Privacy Principles; minimizar superfícies de ataque expostas; garantir a segurança da comunicação; garantir a integridade do software verificando o software em dispositivos IoT e usar mecanismos de reforço seguros; tornar os sistemas resilientes a interrupções; e monitorar dados de telemetria do sistema quanto a anomalias de segurança.
Além disso, embora voluntário, o código de prática também incentiva que os fabricantes de IoT facilitem para os consumidores a exclusão de dados pessoais ao se desfazerem do dispositivo; facilitar a instalação e manutenção dos dispositivos; e garantir que todos os dados recebidos por meio de interfaces de usuário, API e interfaces de rede sejam validados.
Junto com o código de prática, o Australian Signals Directorate do Australian Cyber Security Centre (ACSC) lançou um guia para ajudar os fabricantes a implementar o código de prática da IoT.
Além disso, o ACSC lançou um guia IoT para consumidores e pequenas e médias empresas sobre como se proteger contra ameaças cibernéticas ao comprar, usar e descartar dispositivos IoT.
“Aumentar a segurança e a integridade dos dispositivos conectados à Internet é fundamental para garantir que os benefícios e conveniências que eles oferecem possam ser aproveitados sem ser vítima de cibercriminosos”, disse a ministra da Defesa, Linda Reynolds.
A publicação do código de prática na quinta-feira segue o lançamento da versão preliminar pelo governo australiano em novembro passado e uma consulta nacional com a indústria em vários setores, incluindo segurança cibernética, governo, grupos de defesa sem fins lucrativos, provedores de infraestrutura crítica, e consumidores domésticos e internacionais.
O código de prática também é um produto essencial da Estratégia de Segurança Cibernética 2020 do governo .
Em julho do ano passado, a Austrália co-assinou uma declaração de intenções em relação à segurança da IoT com as nações dos Cinco Olhos em Londres. O código de prática voluntário, de acordo com o governo, “se alinha e se baseia” na orientação fornecida pelo Reino Unido e é consistente com “outros padrões internacionais”.
Um código semelhante [PDF] também foi desenvolvido pela União Europeia.
