Pontos de vista

As leis têm o poder de tornar os dispositivos inteligentes mais seguros?

Kevin Townsend, 16 Agosto 2019

É tentador dizer que sim, mas a realidade pode estar bem longe disso.

Recentemente analisamos algumas das ameaças presentes em dispositivos inteligentes conectados em uma casa e as soluções que podem ser aplicadas. As ameaças surgem porque os dispositivos são naturalmente inseguros quando os compramos. A solução parece óbvia: certifique-se de que os dispositivos são seguros antes de chegarem até nós.

Como não há nenhum projeto para garantir isso, talvez seja preciso uma lei exigindo que medidas cabíveis sejam tomadas.

Podemos arbitrariamente separar dispositivos conectados em três categorias: o negócio da internet das coisas (IoT, da sigla em inglês), que é usada como parte de sua própria tecnologia da informação; IoT Industrial (IIoT), usada por empresas como parte de sua tecnologia operacional; e a IoT dos consumidores, ligada aos dispositivos inteligentes que usamos em casa.

A boa notícia é que muitas organizações ao redor do mundo estão engajadas no desenvolvimento de parâmetros para a IoT. A má notícia é que são muito recentes as tentativas de controlar seriamente a segurança do consumidor IoT. Entre os que já tentaram estão os estados da Califórnia, nos EUA, e o Reino Unido.

Assim, o governador da Califórnia, Jerry Brown, assinou o projeto de lei de cibersegurança: Seguranças de Dispositivos Conectados (tecnicamente chamado de SB327*), em setembro de 2018. Ele entrará em vigor em janeiro de 2020. Mas, enquanto a parte da lei que se refere a senhas é elogiada, o resto é considerado fraco.

A lei exige que cada dispositivo fabricado tenha uma senha única. Além disso, “exige que o usuário gere uma nova forma de autentificação antes que o acesso seja concedido para o dispositivo pela primeira vez”. De outra forma, a exigência de funcionalidades “razoáveis” e “apropriadas” de segurança é considerada efetivamente inútil, já que fabricantes não podem saber o que essas duas palavras querem dizer.

A legislação planejada do Reino Unido

Assim, só resta a legislação que está sendo planejada no Reino Unido. Se ela funcionar, deve melhorar a segurança de dispositivos inteligentes tanto no Reino Unido quando em outros lugares. Fabricantes não vão construir um dispositivo seguro apenas para o Reino Unido e outros inseguros para o resto do mundo. Além disso, se funcionar, isso poderia servir como um mapa para legislações similares em outros países – e leis estaduais nos Estados Unidos –, assim como o Regulamento Geral sobre a Proteção de Dados (GDPR, da sigla em inglês) da União Europeia, que está providenciando um plano global sobre legislação da privacidade.

Neste artigo, vamos examinar a legislação proposta e analisar se ela será efetiva.

A legislação

O Reino Unido tem uma abordagem tradicional na legislação empresarial. Primeiramente, ela pede por uma adesão voluntária a um código de conduta aceitável, geralmente com um alerta explícito de que se isso não for feito voluntariamente, a legislação tornará a medida compulsória.

Em outubro de 2018, o Departamento para a Cultura, Meios de Comunicação e Esportes (DCMS, da sigla em inglês) publicou o Código de Boas Práticas para a segurança do consumidor da IoT*. O documento consiste em 13 recomendações distintas para garantir a segurança de dispositivos inteligentes, abrangendo questões que vão desde a não definição de senhas até uma política de divulgação de vulnerabilidades para facilitar a exclusão de dados pessoais pelos consumidores.

Essas recomendações são propositadamente focadas no resultado e não meramente prescritivas. Elas descrevem o que deveria ser alcançado, mas não como elas deveriam ser feitas. As medidas são, de qualquer forma, muito mais explícitas do que os requerimentos da legislação da Califórnia.

Fabricantes têm ignorado completamente o código de boas práticas voluntário do Reino Unido. No mundo dos negócios, se algo não for obrigatório, não será feito. Em maio, o governo britânico começou sua transição de adesão voluntária para compulsória. O DCMS publicou uma Consulta sobre as propostas regulatórias do governo relacionadas à segurança da Internet das Coisas (IoT) do consumidor*.

O governo ainda caminha vagarosamente nessa direção, mas não restam dúvidas sobre a intenção de regular as vendas de dispositivos inteligentes domésticos. A proposta é usar o código de boas práticas e apresentar todas as 13 exigências gradativamente, começando com as três primeiras. São elas:

  1. Todos as senhas de dispositivos IoT devem ser únicas e não podem ser reajustáveis para nenhum código padrão universal de fábrica.
     
  2. A fabricante deve oferecer um ponto público de contato como parte de uma política de divulgação de vulnerabilidade para que pesquisadores de segurança e outros atores possam reportar esses problemas.
     
  3. Os fabricantes irão declarar explicitamente a periodicidade mínima com que os produtos receberão atualizações de segurança.

A consulta não questiona o fato de que se essa lei deve ou não ser implementada, mas como será implementada.

É aí que o Reino Unido enfrenta o mesmo problema de outros governos que tentam regular tecnologia. Como fazer isso sem prejudicar a inovação em produtos nem a eficiência da operação dos negócios?

“Temos consciência dos riscos de prejudicar a inovação e aplicar uma forte barreira em fabricantes de todos os tamanhos e formatos”, declara o governo britânico. “É por isso que estamos trabalhando para definir como deveriam ser as bases da segurança alinhadas a essas três primeiras regras do Código de Boas Práticas”, completa. Na realidade, é impossível sobrepor uma regulação à inovação.

Mas há um segundo problema que pode ser solucionado: como impor regulações em nível nacional a fabricantes de outros países? A resposta imediata é: você não pode. Assim, o governo está impondo regulações a revendedores do Reino Unido ao invés de fabricantes estrangeiras.

Implementação

A consulta presente é sobre quais rotas de implementação deve ser adotadas. Tudo começa com a classificação de segurança do produto pela fabricante, com a legislação evitando a revenda no Reino Unido de produtos que não tenham o selo de segurança dos fabricantes.

As três opções são:

  • A: Obriga revendedores a comercializarem somente produtos IoT que tenham o selo de segurança, com uma autodeclaração dos fabricantes, que também implementariam o selo em seus produtos.
     
  • B: Obriga a revendedores a comercializarem somente produtos IoT que atendam às três regras principais, exigindo que fabricantes autodeclarem que seus produtos IoT atendem às três regras do Código de Boas Práticas para a Segurança da IoT e a ETSI TS 103 645.
     
  • C: Obriga que revendedores somente comercializem produtos IoT com selo que mostra a conformidade com todas as 13 regras do Código de Boas Práticas, com a expectativa de que os fabricantes autodeclarem e assegurem que o selo está colocado apropriadamente na embalagem.

E aqui está o problema. Todas as três opções exigem autodeclaração de segurança do fabricante. Em outras palavras, o governo está apresentando legislação mandatória voluntária. No formato proposto, a legislação depende da exigência das forças do mercado para funcionar. Ela não pode forçar fábricas estrangeiras a construir dispositivos seguros, mas pode punir revendedores britânicos por comercializá-los. Isso coloca o ônus no revendedor para forçar a fábrica a seguir as regras.

Se aprendemos alguma coisa na história legislativa, é que tanto fabricantes quanto revendedores seguirão o caminho de menor resistência. Ambos irão interpretar os requerimentos tão vagamente quanto possível.

É o que os governos fazem a seguir que vai decidir o sucesso ou fracasso dessa legislação. Por exemplo, a DMCS declara: “Pretendemos criar uma legislação primária, quando o tempo parlamentar permitir, que dá à Secretaria de Estado para DCMS a habilidade para definir os requerimentos para um esquema de certificação obrigatória e/ou definir os requerimentos de segurança para dispositivos vendidos no Reino Unido. Esses requerimentos seriam definidos em uma legislação secundária”.

No Reino Unido, uma legislação secundária não exige o voto do parlamento. Ela apenas exige a aprovação da Secretaria de Estado. A DCMS também afirma que a intenção do governo é tornar mandatória a implementação dos 13 itens do Código de Boas Práticas. Uma vez que os três requerimentos iniciais se tornarem lei, seria teoricamente possível para o governo exigir a implementação gradual dos outros dez princípios do código na proporção de um por mês pelos próximos 10 meses, ou, de fato, qualquer outra coisa considerada relevante.

A legislação do Reino Unido vai tornar a IoT mais segura?

Será que isso vai funcionar? Essa é a questão de 64 milhões de dólares. Ela pode funcionar, mas provavelmente não é isso que vai acontecer. Pelo menos não tão efetivamente como se espera.

Há duas dificuldades fundamentais. A primeira é a autodeclaração de segurança por parte dos fabricantes. Fábricas novas e pequenas com boas ideias vão continuar a correr para colocar seus produtos no mercado antes dos competidores. Parte dessa corrida irá incluir segurança em desenvolvimento favorecendo funcionalidades e uma super valorização da segurança em termos de classificação.

Produtos inseguros continuarão a chegar nas lojas. Assim, onde está o valor para o consumidor se nove em cada dez dispositivos IoT de sua casa mantém de fato os hackers afastados, mas em um deles há uma brecha que pode ser explorada pelos cibercriminosos?

O segundo é um problema ligado ao anterior: quem vai dizer se um produto está em conformidade ou não? A solução padrão para esse tipo de problema é implementar uma certificação obrigatória de um órgão independente, o que poderia ser facilmente feito por meio de uma legislação secundária. Mas quem teria que pagar pelos testes necessários de cada produto?

Se fabricantes tiverem que pagar, eles podem simplesmente parar de vender para o Reino Unido. Afinal de contas, esse é apenas um país em um mercado amplamente global.

Se os revendedores tiverem que pagar, isso pode colocá-los para fora do mercado, deixando o Reino Unido sem muitas opções em dispositivos para casas inteligentes. A tentação para o usuário seria comprar, em sites estrangeiros, produtos inseguros e não testados.

Obviamente, o governo está ciente dessas questões e espera desenhar o mercado juntamente com cada estágio da implementação, sem exigir muito logo de início. Somente o tempo dirá se isso será bem sucedido.

Mas a realidade é que a questão não será resolvida por nenhuma legislação isoladamente. Se a massa crítica de outros governos e dos Estados Unidos vissem valor nessa abordagem e desenvolvessem leis exigindo as mesmas coisas que o código britânico, essa empreitada teria mais chances de ser bem sucedida. Somente assim seria possível fazer com que todos os fabricantes de aparelhos IoT desenvolvessem dispositivos seguros para os consumidores.

Enquanto isso, continua sendo obrigação de todos nós tomar as precauções que podemos e não confiar na segurança dos dispositivos que compramos. Como mostra uma nova pesquisa feita em parceria entre a Avast e a Universidade de Stanford, ainda estamos descobrindo o quanto o mundo da IoT está desprotegido.

* Original em inglês.