.
Os fabricantes de dispositivos inteligentes terão de respeitar as novas regras no Reino Unido a partir de hoje, com leis a entrar em vigor para tornar mais difícil aos cibercriminosos invadir hardware como telefones e tablets.
A Lei de Segurança de Produtos e Infraestrutura de Telecomunicações de 2022 (Lei PSTI) visa impor padrões mínimos de segurança que todos os fabricantes de dispositivos devem cumprir.
Dos três requisitos principais que todos os dispositivos inteligentes devem cumprir, o envio de dispositivos com senhas padrão facilmente decifáveis é sem dúvida o destaque. Senhas padrão são permitidas, mas se forem facilmente descobertas on-line, a lei será violada.
Já faz um tempo que vem. Começamos a relatar a proposta da Lei PSTI em 2021 e, mesmo no início do projeto de lei, seu objetivo principal era eliminar essas senhas inúteis.
É quase certamente uma boa ideia – especialmente quando temos kits estrangeiros baratos chegando, permitindo que praticamente qualquer pessoa invada dispositivos como rastreadores de crianças com senhas como “12345”.
O professor Alan Woodward, cientista da computação da Universidade de Surrey, na Inglaterra, especializado em segurança, disse Strong The One: “Acho que é um ótimo primeiro passo. Certamente melhor do que o vácuo que tínhamos anteriormente. Ele se concentra no básico, e pode-se pensar que é uma oportunidade perdida, mas a grande maioria dos ataques bem-sucedidos ainda são simples fatores de higiene, como fraqueza senhas.
“Tal como acontece com todas estas coisas, poderia ir mais longe, e seria bom pensar que este é um primeiro passo e não uma jornada completa.”
A recém-instituída Lei PSTI também obriga os fabricantes a fornecer um ponto de contato para indivíduos que relatem preocupações de segurança, e também devem deixar claro o período mínimo durante o qual o dispositivo receberá atualizações de segurança.
Não existem regras específicas que estipulem qual deve ser esse tempo mínimo, mas qualquer que seja a vida útil do produto, ela deve ser claramente comunicada aos clientes.
A Lei PSTI se aplica a qualquer dispositivo inteligente de consumo que se conecte diretamente à Internet ou a uma rede doméstica. Esses dispositivos incluem:
-
Dispositivos de entretenimento: Smart TV, dispositivos de streaming, alto-falantes inteligentes, consoles de jogos, smartphones e tablets com conectividade celular
-
Vigilância residencial: campainhas de vídeo, câmeras de segurança doméstica e monitores para bebês
-
Eletrodomésticos: lâmpadas, plugues, fornos, geladeiras, máquinas de lavar, termostatos, chaleiras
-
Wearables, como rastreadores de fitness e relógios inteligentes
Para coincidir com a introdução da Lei PSTI, o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido emitiu um folheto [PDF] para pessoas que desejam reforçar a segurança de seus dispositivos, com orientações de longa data para criar senhas usando três palavras aleatórias.
Embora a legislação tenha sido amplamente acolhida como um primeiro passo importante e necessário, os especialistas destacaram algumas preocupações importantes. Tim Callan, diretor de experiência da Sectigo, disse que as leis não vão longe o suficiente e ficam aquém dos padrões recomendados na Europa.
“As leis de segurança de IoT do Reino Unido exigirão apenas que os dispositivos atendam a três dos 13 padrões do Instituto Europeu de Padrões de Telecomunicações (ETSI)”, disse Callan.
“Isso ainda deixa uma grande lacuna em nossas defesas para que hackers se infiltrem em nossos dispositivos inteligentes. Se o Reino Unido quiser realmente levar a sério a segurança de nossos dispositivos, eles devem pressionar as empresas a fazer mais.”
O Gabinete de Normas e Segurança de Produtos (OPSS) foi encarregado de fazer cumprir as novas regras aos fornecedores, o que faz muito sentido, dado que já era responsável pelas regulamentações de segurança de produtos existentes no Reino Unido.
Outros, no entanto, permanecem céticos sobre a dureza com que o governo do Reino Unido irá reprimir os fornecedores infratores. O não cumprimento da Lei PSTI é uma ofensa criminal para fabricantes nacionais e estrangeiros, sendo a punição oficial uma multa de £ 10 milhões (US$ 12,5 milhões) ou 4% da receita mundial qualificada (o que for maior).
Woodward disse: “Minha grande preocupação é se o governo irá aplicá-la ou não. A nova lei tem a capacidade de multar os fornecedores em quantias significativas, e isso faz com que as operações comerciais tomem nota. No entanto, somente se eles souberem que é uma ameaça real. O tempo vai Diga, mas eu realmente espero que o governo use o poder desta lei para reprimir as más práticas, especialmente por parte dos fornecedores, onde eles constroem com um preço determinado e a segurança é uma reflexão tardia.
“É digno de nota que levou muito tempo para chegar a este ponto. Muitos no setor têm defendido fortemente tais medidas há anos, então parte de mim pensa que já é hora.” ®
.
