Segurança do Produto Perguntas frequentes

Qual é o objetivo do Grupo de Trabalho de Segurança de Produtos?

O objetivo do Grupo de Trabalho de Segurança de Produtos é desenvolver um programa de certificação de segurança de produtos baseado nas melhores práticas de segurança, capacidades técnicas e regulamentos de segurança de produtos existentes usados ​​para garantir a segurança dos dispositivos IoT e, em última análise, conceder uma marca reconhecida pelos consumidores de que os produtos que eles estão usando satisfazem um limite básico de segurança e podem ser endossados ​​pelos reguladores como satisfazendo os requisitos de segurança aplicáveis. Laboratórios de testes autorizados são empregados para fornecer esta marca em grande escala.

O que é segurança de produto e como ela difere da segurança de protocolo?

Padrões como Zigbee e Matter definir requisitos para a segurança dos protocolos de rede. O Grupo de Trabalho de Segurança de Produtos complementa isso criando um programa de certificação para a segurança dos produtos como um todo, incluindo recursos de segurança, como inicialização segura, que são inerentes ao produto, mas não fazem parte de um protocolo de rede. Além disso, este programa está disponível para produtos que não implementam nenhum protocolo padronizado pela Alliance.

Por que precisamos do Grupo de Trabalho de Segurança de Produtos quando o outro Alliance tecnologias já possuem requisitos de segurança para suas certificações?

A certificação de segurança do produto difere substancialmente dos testes funcionais e de interoperabilidade empregados pelos nossos outros grupos de trabalho. Com a segurança do produto, os testadores devem verificar não apenas se um produto funciona e interopera adequadamente, mas também se pode resistir a certos ataques hostis. Assim, a certificação de segurança de produtos requer diferentes habilidades e métodos.

Por exemplo, um produto com uma senha de administrador ou backdoor bem conhecida pode passar em testes funcionais e de interoperabilidade, mas não em testes de segurança do produto.

Por que o Alliance precisa criar uma certificação de segurança do produto?

Os ataques contra sistemas IoT continuam a crescer, em número, sofisticação e impacto. Esses ataques exploram qualquer possível vulnerabilidade além do escopo tradicional dos protocolos de conectividade, que normalmente são restritos à segurança do comissionamento e dos dados em trânsito.

Estão a começar a surgir programas nacionais de certificação/rotulagem de segurança cibernética (por exemplo, Singapura e Finlândia) e os governos estão a responder com normas e regulamentos; para listar alguns já existentes ou em construção:

• EUA – NIST IR 8259, NIST IR 8425, NIST SP 800-213 e diversas leis
• UE – Lei de Segurança Cibernética, Diretiva de Equipamentos de Rádio revisada (RED) e Lei de Resiliência Cibernética
• Referenciando padrões como IEC 62443 e ETSI EN 303 645
• Reino Unido – Lei de Segurança de Produtos e Infraestrutura de Telecomunicações de 2022
• Singapura, Finlândia, China, etc.

A contínua divergência de requisitos e a proliferação de diferentes programas de certificação conduzirão a custos elevados e à complexidade da prova da segurança do produto antes da colocação no mercado, especialmente para os intervenientes globais. 

A AllianceA ambição da empresa é remediar esta situação, aproveitando os seus pontos fortes e experiência: fornecendo um programa de certificação com valor de mercado desenvolvido num processo de normalização orientado por consenso, informado pelas melhores práticas de segurança, capacidades técnicas e regulamentos de segurança de produtos existentes.

Como é que Connectivity Standards Alliance A certificação de segurança do produto está relacionada aos padrões nacionais, regionais e internacionais nesta área?

A certificação de Segurança de Produto baseia-se nos requisitos incluídos nos padrões nacionais, regionais e internacionais relacionados à segurança de produtos IoT. Esperamos que os produtos que recebam o Alliance A certificação de Segurança de Produto também cumprirá esses outros padrões, simplificando o processo de certificação tanto para fabricantes de produtos quanto para consumidores.

Quantos Alliance empresas membros estão envolvidas no Grupo de Trabalho de Segurança de Produtos?

Na época do lançamento da especificação de segurança de dispositivos IoT do Product Security 1.0, havia quase 200 Connectivity Standards Alliance Empresas membros Promotoras e Participantes representadas no Grupo de Trabalho de Segurança de Produtos.

Quais são os recursos e requisitos de segurança incluídos na especificação e que devem ser certificados pelo Alliance? O que significa ou implica um produto seguro sob esta marca?

A especificação de segurança de dispositivos IoT da Product Security inclui dezenas de disposições específicas de segurança de produtos. Os fabricantes de dispositivos IoT devem atestar sua conformidade com essas disposições, fornecendo justificativas e evidências a um Laboratório de Testes Aceito certificado, com experiência em avaliação de segurança e experiência em certificação de produtos relativos a esta especificação.

• Os requisitos específicos incluem
• Identidade exclusiva para cada dispositivo IoT
• Nenhuma senha padrão codificada
• Armazenamento seguro de dados confidenciais no dispositivo
• Comunicações seguras de informações relevantes para a segurança
• Atualizações seguras de software durante todo o período de suporte
• Processo de desenvolvimento seguro, incluindo gerenciamento de vulnerabilidades
• Documentação pública sobre segurança, incluindo período de suporte

Juntos, esses requisitos fornecem garantia de que os requisitos fundamentais de segurança foram atendidos.

Se for certificado, é necessário que a Marca Verificada para Segurança do Produto esteja no dispositivo ou na embalagem?

Não, a Marca de verificação será opcional para os fabricantes de dispositivos colocarem no dispositivo ou na embalagem. Eles podem passar pelo programa de certificação e reivindicar a certificação sem apresentar a marca.