IoT Security Foundation revela plataforma online para ajudar os fornecedores de IoT a relatar e gerenciar vulnerabilidades

VulnerableThings.com visa simplificar o relatório e o gerenciamento de vulnerabilidades, ao mesmo tempo que ajuda os fornecedores de IoT a cumprir os novos padrões e regulamentos de segurança de IoT do consumidor.

Como o primeiro padrão globalmente aplicável para cibersegurança de IoT do consumidor, a nova especificação ETSI EN 303 645 exige que os fornecedores de IoT – que podem incluir fabricantes ou importadores / distribuidores de dispositivos – publiquem uma política de divulgação de vulnerabilidade clara e transparente; estabelecer um procedimento interno de gerenciamento de vulnerabilidade; disponibilizar publicamente as informações de contato para relatórios de vulnerabilidade; e monitorar e identificar continuamente vulnerabilidades de segurança em seus produtos.

Governos em todo o mundo, incluindo Reino Unido, Austrália, Cingapura, Finlândia e os estados americanos da Califórnia e Oregon, já publicaram códigos de prática, esquemas de rotulagem de produtos ou prepararam legislação alinhada ao padrão.

Implementar um meio para aceitar relatórios de vulnerabilidade é um recurso comum dessas iniciativas. Sem mecanismos para relatar, gerenciar e resolver vulnerabilidades – como o Co-ordinated Vulnerability Disclosure (CVD) – a segurança dos produtos IoT do consumidor diminui com o tempo e o risco de ataque ou abuso aumenta.

“O gerenciamento da vulnerabilidade é um elemento tão fundamental para a higiene cibernética da IoT que não é surpresa que governos e reguladores em todo o mundo estejam tornando isso um requisito obrigatório”, disse John Moor, diretor administrativo da IoT Security Foundation.

“Como autoridade especialista líder mundial em segurança de IoT, a IoTSF publicou as melhores práticas de divulgação de vulnerabilidade e relatórios de status do setor. Nossas conclusões são que a indústria deve fazer mais para proteger seus clientes e seus próprios negócios.

“Portanto, vemos a necessidade de impulsionar essa prática de segurança vital e pretendemos ajudar a torná-la o mais simples possível com o lançamento da plataforma Vulnerable Things – especialmente para os não iniciados e empresas que podem não ter recursos. Os corretores de serviço têm uma boa comunicação entre pesquisadores e fornecedores e orientam ambos durante o processo até a conclusão. ”

“Estamos testando o serviço para testar a demanda provável e obter feedback para os usuários”.

Vulnerabilidades podem colocar em risco a segurança do usuário e os dados pessoais e podem colocar um fornecedor de IoT em violação dos regulamentos de proteção de dados. A falha de um fornecedor em responder a uma vulnerabilidade relatada, seja por um consumidor ou por um pesquisador especialista em segurança, pode resultar na divulgação pública descontrolada da vulnerabilidade, o que aumentaria o risco de ataques por malfeitores. A correção de uma vulnerabilidade reduz imediatamente os riscos para usuários, dispositivos, redes e fabricantes de IoT.

Matt Warman, ministro da infraestrutura digital do governo do Reino Unido, disse: “Congratulo-me com esta nova iniciativa para ajudar a indústria a melhorar a segurança dos dispositivos da Internet das coisas e impulsionar nossa economia digital em expansão, protegendo as pessoas online.

“Queremos que todos tenham confiança de que os produtos conectados à Internet que estão comprando têm maior segurança e estão trabalhando na legislação nesse campo para ajudar a tornar isso uma realidade.”

VulnerableThings.com tem como objetivo fornecer uma ferramenta de gerenciamento de vulnerabilidade fácil de usar e outros recursos valiosos para membros, incluindo modelos de políticas, diretrizes de resolução de problemas e um diretório de consultores especializados para ajudar os fabricantes de IoT a se preparar para regulamentações emergentes e manter a conformidade.

O CVD deve se tornar uma parte essencial da cultura de fornecedores de IoT de sucesso e precisa ser compreendido e apoiado por um conselho de diretores, diretor de conformidade, gerentes de produto, gerentes de desenvolvimento de produto, segurança de produto, gerentes de cadeia de suprimentos e equipes de relações públicas de uma empresa.

Os fabricantes que assinam VulnerableThings terão acesso a um painel que os guiará através do processo de resolução de vulnerabilidade e facilitará a comunicação com o relator.

Quando uma vulnerabilidade é relatada em um produto de um fornecedor que não se registrou no serviço, um alerta será enviado a um endereço de e-mail público do fabricante, que terá a oportunidade de acessar com segurança os detalhes do relatório de vulnerabilidade. para VulnerableThings.

O acesso a VulnerableThings.com está disponível gratuitamente até 31 de janeiro de 2021. A assinatura do serviço também fornece acesso a suporte profissional para anúncios de divulgação coordenados.

Embora as vulnerabilidades possam ser relatadas por qualquer indivíduo anonimamente, registrando-se no VulnerableThings.com, os pesquisadores de segurança recebem um painel que permite monitorar o progresso na resolução de vulnerabilidades que relataram a diferentes fabricantes.

Promover o diálogo entre fornecedores e pesquisadores de segurança contribuirá para o sucesso do ecossistema da IoT.

Fonte: https://www.helpnetsecurity.com/2020/10/20/iot-security-foundation-online-platform