Portugal
A segurança física e a segurança de rede são agora indissociáveis: a nova geração de videovigilância deve cumprir as rigorosas normas de hardware exigidas pelo governo dos Estados Unidos para infraestruturas críticas, agências governamentais e instalações militares.
No entanto, estas normas de alta segurança já não se aplicam apenas aos contratantes do governo. Atualmente, empresas privadas, gestores de TI e proprietários de imóveis preocupados com a segurança estão a adotar cada vez mais câmaras em conformidade com a NDAA para proteger as suas redes contra graves ameaças à cibersegurança e backdoors ocultas. Este guia explica o que a legislação implica, por que razão é importante tanto para o setor público como para o privado e como verificar o seu equipamento.
O que é a conformidade com a NDAA?
Para compreender o que é a conformidade com a NDAA, é necessário conhecer primeiro a lei subjacente. A Lei de Autorização da Defesa Nacional (NDAA) é um conjunto de leis federais aprovadas anualmente pelo governo dos EUA que definem o orçamento e as despesas do Departamento de Defesa.
No âmbito da NDAA de 2019, a Secção 889 estabelece regulamentações rigorosas relativamente a equipamentos específicos de telecomunicações e videovigilância. Proíbe as agências governamentais, os contratantes federais e os beneficiários de subvenções de adquirir ou utilizar equipamento fabricado por determinadas empresas chinesas (e pelas suas subsidiárias ou afiliadas), devido a preocupações relacionadas com a segurança nacional e a privacidade dos dados.
Os principais fabricantes afetados por estas restrições são:
- Huawei Technologies Company
- ZTE Corporation
- Hangzhou Hikvision Digital Technology Company
- Dahua Technology Company
- Hytera Communications Corporation
Além disso, a Lei dos Equipamentos Seguros impede a FCC de analisar ou aprovar quaisquer novos equipamentos destas empresas, o que suspende efetivamente a venda dos seus novos dispositivos no mercado norte-americano. CCTV em conformidade com a NDAA refere-se a câmaras e dispositivos em rede que não utilizam quaisquer componentes essenciais provenientes dessas entidades sujeitas a restrições.
Porque é importante cumprir a NDAA?
Para as agências federais e os contratantes, a utilização de câmaras de segurança em conformidade com a NDAA é um requisito legal obrigatório. O incumprimento pode resultar na perda de financiamento federal, na rescisão de contratos e em coimas elevadas por violação financeira.
Mas por que razão deveriam as empresas privadas ou os proprietários de imóveis preocupar-se com isso? Os dispositivos em rede, como as câmaras IP, estão diretamente ligados à sua rede. Se uma câmara tiver firmware comprometido ou backdoors de hardware, pode ser utilizada como ponto de entrada para que os hackers acedam a dados confidenciais da empresa, espionem operações privadas ou lancem ataques de ransomware. A escolha de câmaras de segurança em conformidade com a NDAA proporciona um duplo nível de proteção: protege as suas instalações físicas e, simultaneamente, defende ativamente a sua rede digital contra ameaças cibernéticas internacionais conhecidas.
Quando se trata de proteger ativos críticos, a integridade do hardware é imprescindível. A atualização para videovigilância profissional garante que a sua empresa utilize equipamento em conformidade com as normas e de alta segurança, que protege tanto as suas instalações físicas como a sua rede digital contra vulnerabilidades.
Como garantir que está a comprar produtos em conformidade com a NDAA?
Dado que a eletrónica moderna é fabricada com componentes de todo o mundo, é necessário realizar alguma pesquisa para confirmar se uma câmara está em conformidade com a NDAA. Eis como verificar o seu equipamento:
- Pergunte ao fabricante: as marcas de segurança de renome publicam declarações oficiais de conformidade com a NDAA nos seus websites. Se uma empresa for transparente quanto à sua cadeia de abastecimento, não deverá ser difícil encontrar essa declaração.
- Verifique o OEM (fabricante de equipamento original): muitas marcas de segurança comercializam as suas câmaras em «marca branca», o que significa que compram hardware fabricado por outra empresa e colocam o seu próprio logótipo nele. Deve certificar-se de que o fabricante original não consta da lista de restrições.
- Verificar o chipset interno: a secção 889 proíbe igualmente componentes internos críticos, como System-on-Chips (SoCs), fabricados por empresas sujeitas a restrições. Uma câmara pode continuar a não estar em conformidade se o seu chip de processamento principal for de um fabricante proibido.
Como auditar e atualizar o seu sistema atual?
Se suspeitar que a sua configuração atual depende de hardware com restrições, é altura de avaliar a sua rede. Siga estes passos práticos para atualizar as câmaras em conformidade com a NDAA:
- Verifique a segurança existente: identifique a marca e o modelo de todas as câmaras, NVR (gravadores de vídeo em rede) e outros dispositivos de vigilância em rede existentes nas suas instalações.
- Verifique a origem dos fabricantes: compare o seu equipamento com a lista de restrições da Secção 889 da NDAA, a fim de confirmar se contém componentes proibidos.
- Consulte um integrador: estabeleça uma parceria com um integrador de segurança qualificado que compreenda os requisitos de conformidade federais para o ajudar a avaliar o seu hardware.
- Substitua os dispositivos não conformes: troque o equipamento proibido por alternativas aprovadas de fabricantes transparentes e de confiança.
Uma câmara de segurança é apenas uma peça do quebra-cabeças. A integração de dispositivos compatíveis num sistema de segurança robusto garante que toda a sua propriedade cumpre os mais elevados padrões de proteção física e privacidade de dados.
Perguntas frequentes
O que é a NDAA?
A Lei de Autorização da Defesa Nacional (NDAA) é um conjunto de leis federais que define o orçamento anual e as políticas do Departamento de Defesa dos Estados Unidos. A secção 889 desta lei restringe especificamente a utilização de determinados equipamentos de vigilância e telecomunicações fabricados no estrangeiro.
A NDAA proíbe todo o equipamento de vigilância fabricado na China?
Não. A NDAA não proíbe totalmente o equipamento eletrónico fabricado na China. Restringe apenas o equipamento e os componentes críticos produzidos por empresas específicas nomeadas (como Hikvision, Dahua, Huawei, ZTE e Hytera) e pelas suas filiais.
O que acontece se a minha empresa não utilizar câmaras em conformidade com a NDAA?
Se receber subvenções federais ou trabalhar com o governo dos EUA, poderá perder o financiamento, perder os seus contratos e enfrentar sanções financeiras. Para as empresas privadas sem ligações ao governo, a utilização de câmaras não conformes expõe a sua rede a graves vulnerabilidades de cibersegurança.
Com que frequência é que a lista de restrições é alterada?
A NDAA é atualizada anualmente. Embora a lista principal de fabricantes sujeitos a restrições prevista na Secção 889 se tenha mantido relativamente estável, o governo pode adicionar novas subsidiárias ou empresas afiliadas à medida que as cadeias de abastecimento evoluem.
Conclusão
A escolha de câmaras em conformidade com a NDAA representa um investimento a longo prazo na cibersegurança. Quer esteja a proteger um edifício federal, um estabelecimento comercial local ou a sua própria casa, é fundamental compreender a origem do seu hardware. Ao auditar os seus dispositivos atuais e ao atualizar para uma videovigilância totalmente em conformidade, garante que a sua propriedade permanece protegida tanto de intrusos físicos como de ameaças digitais invisíveis.
Roman Konchakivskyi
Diretor da Ajax Academy
