Conteúdo
O Cyber Resilience Act (CRA) é uma medida regulatória introduzida pela União Europeia destinada a melhorar os padrões de cibersegurança em todos os produtos que contenham elementos digitais. O ato entrou em vigor em janeiro de 2024, com os fornecedores obrigados a garantir conformidade até janeiro de 2027. Embora o software open-source (OSS) esteja isento do CRA, as empresas que integram OSS nas suas ofertas comerciais assumem a responsabilidade pela manutenção da segurança desses componentes. Esta distinção coloca o ónus nos fornecedores para monitorizar vulnerabilidades e fornecer correções atempadas quando o OSS faz parte dos seus produtos.\n\nPara ilustrar os desafios colocados pela incorporação de OSS em ambientes críticos, considere um dispositivo incorporado num sistema de aquecimento inteligente. Este dispositivo gere a unidade central de aquecimento de uma casa, um sistema cujo funcionamento incorreto pode causar danos dispendiosos. Também monitoriza e ajusta as temperaturas em vários radiadores. O servidor web do dispositivo oferece aos utilizadores acesso a informações de estado e opções de controlo através de uma interface construída sobre OSS popular como o framework web express.js a correr no runtime JavaScript node.js. Este framework depende de aproximadamente 65 pacotes OSS adicionais, destacando a extensa dependência de componentes open-source em tais produtos.\n\nExecutar o servidor web diretamente no dispositivo incorporado introduz riscos significativos de segurança. Se o servidor tratar da validação da entrada do utilizador e regular as configurações de aquecimento, qualquer comprometimento poderia permitir a um atacante manipular o sistema de forma perigosa. Ao abrigo do CRA, o fornecedor deve garantir um elevado nível de cibersegurança, quer desenvolva software internamente quer integre soluções de terceiros. Embora os componentes OSS em si estejam isentos, o uso comercial transfere efetivamente a responsabilidade de segurança para o fornecedor, que deve então cumprir os mandatos do CRA.\n\nUma abordagem de mitigação é separar as funções de controlo do aquecimento. O servidor web e as suas dependências podem gerir a interface e o controlo geral, enquanto um componente seguro e minimalista valida comandos para evitar configurações inseguras. Esta abordagem em camadas limita o impacto de um servidor web comprometido, mas ainda deixa uma ampla superfície de ataque para escalonamento de privilégios, exigindo proteções adicionais.\n\nAs tecnologias de virtualização, especificamente os hipervisores, oferecem uma solução poderosa ao isolar componentes de software. Um hipervisor executa software dentro de máquinas virtuais (VMs) isoladas, restringindo a interação a interfaces definidas, como a emulação de dispositivos virtuais. O próprio hipervisor é classificado pelo CRA como um produto crítico, colocando a responsabilidade pela sua segurança no fornecedor. Ao ligar VMs a redes externas, os fornecedores podem usar configurações de firewall no anfitrião para confinar as comunicações das VMs estritamente ao tráfego necessário, como pedidos ao servidor web. Este isolamento reduz significativamente o risco de exploração, mantendo a funcionalidade essencial da rede.\n\nA Cyberus fornece soluções especializadas para ajudar os fornecedores a cumprir os requisitos do CRA. O seu Cyberus Hypervisor, combinado com o CtrlOS — um sistema operativo incorporado projetado para conformidade com o CRA — oferece funcionalidades como configurações de firewall auditáveis e outras capacidades de reforço de segurança. Estas ferramentas ajudam os fornecedores a incorporar software open-source com segurança nos seus produtos, reduzindo a complexidade e o custo associados à garantia de conformidade regulatória. As partes interessadas são encorajadas a contactar a Cyberus para sessões personalizadas para explorar estratégias de segurança adequadas para os seus sistemas incorporados.
