Esta é uma época do ano muito interessante no mundo da segurança
cibernética. DigiCert, Inc., o maior fornecedor de soluções de TLS / SSL e PKI
do mundo, faz as previsões de segurança para 2020. Essas previsões são
centradas - no geral - na transformação digital e divididas em três
subcategorias: Internet das Coisas (IoT) , números e privacidade. Tanto na
Internet das Coisas, como a transformação digital seguem sendo as mais
importantes para muitas pessoas ("Internet das Coisas" obteve no
Google resultados assombrosos de mais de 2.600 milhões de conexões), o que
gerará a sua emoção e promete algo interessante nos próximos ano.
A seguir, vários especialistas da DigiCert - incluindo Tim
Hollebeek - especialista em estratégia da indústria, Mike Nelson -
vice-presidente de IoT Security e Dean Coclin - diretor sênior de
desenvolvimento de negócios do DigiCert, contribuem fazendo previsões para o
novo ano.
Previsões para segurança:
IoT/Segurança
O foco nos requisitos de aquisição aumentará e as empresas
solicitarão aos fabricantes de dispositivos IoT garantias sobre a segurança dos
dispositivos. O rápido crescimento de dispositivos de conectividade, telessaúde
e IoT integrados em pacientes levará a um forte impulso para maior segurança em
dispositivos médicos.
Mais fabricantes e consórcios de dispositivos aprenderão com os
principais setores como a infra-estrutura escalável de chave pública (PKI) pode
proteger os dispositivos IoT. A adoção da PKI aumentará para autenticação,
criptografia e integridade do dispositivo conectado. Depois que a PKI informal
desaponta as empresas, elas recorrem aos principais especialistas externos /
CAs para fornecê-lo. “Os hackers continuarão a encontrar vulnerabilidades nos
dispositivos de IoT dos consumidores, pois a segurança não é a coisa mais importante
quando esses dispositivos são desenvolvidos. Por outro lado, a segurança
industrial da IoT melhorou, especialmente para sistemas críticos como
automotivo, SCADA, assistência médica ”, disse Dean Coclin, diretor sênior de
desenvolvimento de negócios da DigiCert.
Regulação
Os dispositivos de IoT enfrentarão um número crescente de
regulamentações globais em 2020. Os consumidores ajudarão a impulsionar isso
exigindo proteções de segurança mais rigorosas, como a etiquetagem de
dispositivos, algo que já é exigido no Reino Unido. Em um esforço para evitar a
regulamentação do governo, as indústrias se unirão em muitos mercados,
incluindo Alemanha, Reino Unido, Coréia do Sul, Japão, EUA. UU. E outros
lugares para desenvolver padrões para garantir dispositivos IoT em seu setor.
Mercados como o Japão, o Reino Unido e os Estados Unidos estão
progredindo na regulamentação da IoT.
Abaixo está um breve resumo da atividade regulatória atual nesses
países:
Japão: Antecipando ameaças à segurança cibernética durante os Jogos
Olímpicos de Verão de 2020, o governo japonês aprovou uma lei que permite
invadir os dispositivos de IoT dos cidadãos. Em cooperação com os provedores de
serviços de Internet (ISPs) do país, o governo tentará invadir milhões de
dispositivos usando as credenciais padrão do dispositivo. Os proprietários
serão avisados de que não alteraram os valores padrão, que seus dispositivos correm risco de ataques.
Reino Unido: em 2018, o Reino Unido assinou o primeiro código de
prática da IoT do mundo, incluindo diretrizes para fabricantes, como senhas
padrão. Mais recentemente, anunciou planos para introduzir leis que exigem que
os fabricantes incorporem a segurança nos dispositivos IoT.
Estados Unidos: "Embora o governo federal dos EUA esteja
menos disposto a regulamentar a IoT tão agressivamente quanto outros, o estado
da Califórnia liderou a regulamentação dos dispositivos de IoT vendidos no
estado", de acordo com um artigo da Forbes. A lei da Califórnia exige que
os recursos de segurança protejam o dispositivo e as informações que ele contém
de várias ameaças. A medida dominou os fabricantes de dispositivos devido ao
enorme mercado que a Califórnia representa.
“Veremos mais explorações públicas nos dispositivos da IoT que
farão com que os reguladores fortaleçam sua posição sobre a segurança da IoT.
Mais governos globais introduzirão a regulamentação de segurança da Internet
das Coisas. As indústrias também se reúnem em um esforço para criar padrões
para garantir os dispositivos de IoT em sua indústria. Esses esforços serão uma
tentativa de evitar a regulamentação ”, disse Mike Nelson, vice-presidente de
segurança da IoT da DigiCert.
Escalabilidade e segurança baseadas em certificados
Muitas das empresas que tentam executar sua própria PKI privada ou
CA pequena (Autoridade de Certificação), que oferecem suporte a implementações
globais de IoT, encontrarão problemas de escalabilidade, à medida que enfrentam
o desafio da escala. Isso fará com que os fabricantes usem CAs públicas
comprovadas na tentativa de resolver o desafio da escalabilidade. As
autoridades de certificação públicas responderão criando ou adquirindo soluções
de IoT de confiança mais fortes ou privadas para atender à crescente demanda
por segurança da IoT.
Quanto ao futuro dos certificados TLS (Transport Layer Security),
os períodos de validade mais curtos significam que as organizações começarão a
adotar a automação para facilitar o gerenciamento de certificados.
“Os consumidores terão que aumentar sua conscientização de
segurança, pois os agentes de ameaças aproveitam os certificados TLS validados
pelo domínio gratuito para exibir a trava em seus sites. Já não basta
"procurar a fechadura", é preciso olhar "além da
fechadura", acrescentou Dean Coclin.
Criptografia
Computação quântica
A computação quântica, que usa bits quânticos (ou qubits) versus
bits usados por computadores tradicionais, pode concluir cálculos complexos simultaneamente, em vez de sequencialmente,
acelerando os resultados. Ciências médicas, física de partículas e aprendizado de máquina estão entre as possíveis
aplicações. Esse poder de computação avançado pode ser irresistível para os
cibercriminosos. Uma pesquisa com tomadores de decisão de TI constatou que 55%
acreditam que a computação quântica é hoje uma ameaça "extremamente
grande" ou "um tanto grande". Setenta e um por cento acreditam
que será uma ameaça "extremamente grande" ou "um tanto
grande" no futuro. Quinze por cento acreditam que 2020 é o ano em que a
computação quântica avançará ao ponto em que pode decifrar os algoritmos
criptográficos existentes.
A indústria deve fortalecer os algoritmos de criptografia para
acompanhar. Os certificados digitais híbridos também serão mais atraentes.
Entre 2022 e 2024, o Instituto Nacional de Padrões e Tecnologia (NIST) padronizará
um algoritmo de criptografia pós-quantum (PQC) que pode enfrentar o desafio. A
conquista começará um esforço global para implantá-lo. As empresas que
inventariaram seus sistemas criptográficos e enfatizaram a agilidade
criptográfica terão mais facilidade para implementá-lo; outros, nem tanto.
“Um computador quântico para resolver um problema economicamente
importante no próximo ano. Isso iniciará uma nova era de investimentos na
aceleração do desenvolvimento da computação quântica com base na demonstração
de benefícios práticos. A adoção da criptografia pós-quantum deve ser mantida
atualizada ”, disse Tim Hollebeek, estrategista do setor DigiCert e
estrategista técnico de padrões.
Intimidade
Este ano, a adoção da Lei de Privacidade do Consumidor da
Califórnia (CCPA) e o fracasso da Lei de Privacidade de Nova York (NYPA) em
votar durante a recente sessão estadual foram conhecidos. A partir de 1º de
janeiro de 2020, o CCPA às vezes é chamado de "GDPR-lite" em
referência à Lei Geral de Proteção de Dados (GDPR) da União Europeia.
O GDPR foi implementado em maio de 2018 para dar às pessoas
"mais controle sobre seus dados pessoais e garantir que as empresas
priorizem a privacidade dos dados". Entre outras coisas, a CCPA concede
aos californianos o direito de saber quais dados pessoais são coletados e se
são vendidos ou compartilhados com outras pessoas. As empresas devem divulgar
essas informações aos consumidores ou enfrentar multas, se não o fizerem.
Existe uma preocupação crescente entre os consumidores em todo o
mundo sobre como as empresas lidam com seus dados pessoais. Alguns acreditam
que a solução final é uma lei nacional de privacidade, semelhante ao GDPR, mas
a probabilidade de sua aprovação é baixa na atual administração. Outros países
estão analisando suas próprias leis de privacidade além do RGPD.
Prevemos que um número crescente de estados e países ao redor do
mundo preencherá o vazio adotando suas próprias leis de privacidade de dados.
Infelizmente, a natureza mosaica da adoção da lei de privacidade em 2020
tornará a conformidade muito difícil para empresas com localizações em mais de
um país ou mesmo mais de um estado e para quem vende produtos on-line para
consumidores em todo o mundo.
DigiCert
siga @ digicert