Gerenciamento de Risco de IoT: Regulamentos, Estruturas, Segurança, Risco e Análises

O recente ataque de negação de serviço distribuído (DDoS) no Dyn¹ marca oficialmente a passagem do estágio de medo, incerteza e dúvida (FUD) da Internet das Coisas (IOT), ou ainda é o início do estágio? O FUD da IoT refere-se a vulnerabilidades de IoT conduzindo à perda de dados, serviço e, possivelmente, vidas. Tradicionalmente, o FUD sobre uma violação de segurança ou não-conformidade regulatória é o principal motivo para os administradores investirem em segurança da informação. O mesmo FUD se aplica à segurança de IoT, embora envolva múltiplas variáveis que precisam ser consideradas. A determinação de abordar a segurança do dispositivo de IoT em vários níveis - hardware e software, governo e empresa, consumidores e serviços - é generalizada. Esta elevada determinação é principalmente devida à enorme quantidade de dispositivos de IoT que estão disponíveis e a facilidade com que esses dispositivos podem ser comprometidos e convertidos em coisas-robô. Coisasrobô são botnets de dispositivos IoT infectados que podem ser usados para lançar ataques parecidos com o ataque Dyn, que afetou mais de um milhão de dispositivos, dos quais cerca de 96 por cento eram dispositivos de IoT.^{2, 3}

O principal problema é com o hardware do dispositivo IoT, que é em grande parte fabricado fora dos Estados Unidos e precisa ser regulamentado.⁴ O setor de varejo industrial tem sido o principal a adotar a tecnologia de IoT, porque atinge diretamente inúmeras bases de clientes, ao contrário do setor de cuidados de saúde, que não apresenta benefícios que sejam transparentes imediatamente para o usuário final e tem maior risco.

Segurança de IoT—O Plano de Jogo

O plano de jogo para a segurança de IoT oferece uma visão geral do ecossistema de IoT e aborda padrões, estruturas e propostas regulatórias que foram desenvolvidas recentemente. Figura 1 representa um ecossistema de IoT no qual a segurança da informação é uma parte integrante.

Padrões de IoT e Desenvolvimentos da Estrutura
Uma repercussão positiva do ataque de negação de serviço distribuído (DDoS) foi a publicação pelo Departamento de Segurança Interna dos EUA (DHS), em 2016, de princípios e diretrizes para a segurança de IoT.^{5, 6} Essas diretrizes não são legalmente obrigatórias, mas são definitivamente um sinal de um bom começo para a segurança de dispositivos de IoT. Algumas dessas diretrizes são mantras bem conhecidos para a maioria dos profissionais de segurança:

• Alavancar a segurança desde a fase de viabilidade.
• Aplicar atualizações de segurança, correção e gerenciamento de vulnerabilidades.
• Seguir práticas de segurança comprovadas
• Priorizar controles com base na magnitude ou impacto.
• Prestar supervisão e governança adequada de IoT.
• Desligue o dispositivo da rede se não houver necessidade absoluta de negócio.

Também em 2016, foram aprovadas isenções à Lei de Direitos Autorais dos Estados Unidos que permitem que pesquisadores independentes possam hackear quase todos os dispositivos de IoT.⁷ Embora inúmeras limitações se apliquem às isenções, elas foram concedidas por dois anos. Isso ajudará os pesquisadores a desbloquear software para suas pesquisas sem quaisquer implicações legais. As intenções são corretas, mas o impacto dessa mudança, positivo ou negativo, ainda está para ser visto.

O Consórcio de Internet Industrial, composto principalmente por empresas ligadas à IoT, lançou a Estrutura de Segurança de Internet Industrial (IISF), que descreve as melhores práticas para ajudar os desenvolvedores e usuários finais a avaliar o risco de IoT e possivelmente se defender desse risco.⁸ No início de 2017, A Comissão Federal do Comércio (FTC) dos Estados Unidos anunciou que está concedendo prêmios em dinheiro a qualquer pessoa que desenvolva uma ferramenta inovadora que detecte e proteja dispositivos domésticos de vulnerabilidades de software.⁹

Outro desenvolvimento recente em segurança de IoT é a estrutura de segurança Sigma Designs S2, que será parte de todos os dispositivos de IoT certificados pela Z-Wave, fabricados após março de 2017 e retrocompatíveis com os chipsets Z-Wave de IoT existentes, tornando os dispositivos mais seguros.¹⁰

Propostas Regulatórias
O pesquisador de segurança cibernética e conferencista da Universidade de Harvard, Bruce Scheiner, propôs recentemente uma indústria de IoT mais regulamentada, em uma reunião com dois subcomitês da Câmara dos Deputados dos Estados Unidos - o Subcomitê de Comunicações e Tecnologia e o Subcomitê de Comércio, Indústria e Comércio.¹¹ Ele apresentou a comparação de custos em comparação aos incentivos Ele apresentou a comparação do custo versus o incentivo e motivação para fabricantes de dispositivos de IoT para corrigir as vulnerabilidades periodicamente. Scheiner salientou que a maioria dos dispositivos de IoT oferecem lucros menores e que os dispositivos mais frequentemente substituídos, como smartphones, são corrigidos com mais frequência, em comparação com dispositivos que são raramente substituídos, como termostatos e refrigeradores. Os carros inteligentes e os reprodutores de Blu-ray ficaram como intermediários. Os termostatos e refrigeradores de IoT que não são prováveis de serem substituídos estão em um risco maior, se não forem corrigidos. Se não houver lucro ou benefício de custo para o fabricante corrigir um produto menos frequentemente substituído, não há nenhuma motivação para que o fabricante faça a sua correção regularmente; portanto, deveria ser regulamentado. O outro lado desse argumento é que a regulamentação da indústria de IoT iria impedir o crescimento de inovação.

A Food and Drug Administration (FDA) dos Estados Unidos vem fornecendo algumas orientações aos fabricantes sobre as melhores práticas para criar segurança em dispositivos médicos desde outubro de 2014. Em dezembro de 2016, a FDA acrescentou um guia que registra as melhores maneiras de proteger os dispositivos médicos depois que eles chegam às mãos do consumidor, principalmente para evitar qualquer dano a pacientes. O guia também afirma que os fabricantes de dispositivos de IoT precisam relatar ao FDA se o uso de um dispositivo resultou, ou pode resultar, em qualquer tipo de dano grave ou morte de uma pessoa. A notificação ao FDA é dispensada somente se os clientes e usuários de dispositivos forem notificados sobre a vulnerabilidade no dispositivo dentro de 30 dias, o dispositivo seja corrigido em 60 dias e essas informações sejam compartilhadas com a Organização de Compartilhamento e Análise de Informação (ISAO).^{12, 13} A premissa é algo semelhante às sanções ao reconhecimento de caracteres ópticos (OCR) sobre as violações da Lei de Portabilidade e Responsabilidade do Seguro de Saúde dos EUA (HIPAA), mas a diferença é que os guias da FDA são apenas recomendações e não são juridicamente vinculativos. Acredita-se que esses guias acabarão eventualmente se tornando legislação, como no caso da HIPAA.

Mais recentemente, o Comitê de Comércio do Senado dos Estados Unidos aprovou a Lei de Desenvolvimento de Inovação e Crescimento da Internet das Coisas (DIGIT). Ela está atualmente aguardando a aprovação de todo o senado. A Lei DIGIT cria um grupo de trabalho que se concentrará na segurança, privacidade e outras questões relacionadas com a IoT.¹⁴

O Jogo da Segurança de IoT

O número de dispositivos de IoT conectados é estimado em 200 bilhões até 2020.¹⁵ Da mesma forma, estima-se que aproximadamente 4 bilhões de pessoas estarão on-line até 2020.¹⁶ A exposição online aumenta múltiplas vezes até 2020 pela simples razão de que as interações homem-máquina (H2M) aumentam juntamente com as interações máquina-máquina (M2M).

A Arena de IoT
Figura 2 mostra uma arquitetura conceitual de IoT. Os dispositivos de IoT geralmente se enquadram em uma de duas categorias - um tipo de dispositivo interage com um gateway e o outro tem um gateway incorporado no dispositivo. A segunda categoria de dispositivos inclui principalmente dispositivos que precisam estar em movimento constante, por exemplo, carros inteligentes e vestuário para preparação física.

Defesa
A defesa começa no nível de chip ou hardware. O hardware no qual o dispositivo de IoT está incorporado constitui a base para um dispositivo de IoT robusto e seguro. Isto é como construir o alicerce sólido de uma casa para garantir um produto final estável e sustentável.

Nível do Fabricante do Dispositivo
Como mostrado na figura 1, o chip e o hardware do dispositivo de IoT é onde o ciclo de vida de um dispositivo de IoT começa e é também o momento certo para direcionar o processo no caminho certo.

Hardware
As principais ameaças a um dispositivo de IoT no nível do hardware são que ele pode ser roubado, fisicamente modificado, substituído e clonado. Os exemplos de vulnerabilidades de hardware incluem senhas pré-concebidas, predefinidas e fracas ou credenciais codificadas e circuitos integrados falsificados.

A Fundação de Segurança da Internet das Coisas (IoTSF) sem fins lucrativos, auxilia todos os fabricantes, fornecedores e usuários finais de Iot para ajudar a proteger dispositivos de IoT.¹⁷ No entanto, a melhor contramedida para combater as vulnerabilidades de hardware é regulamentar o processo de fabricação de um dispositivo de Iot. Os fabricantes de dispositivos de IoT precisam ser responsabilizados por não aderir aos padrões regulatórios apropriados de IoT (não há nenhum padrão no momento da redação deste documento), padrões e/ou diretrizes industriais. Hoje, não há nenhuma implicação legal em não seguir os padrões, mas pode haver uma resistência no nível empresarial na adoção de um dispositivo de IoT abaixo do padrão de um fabricante. Essa resistência pode evitar a maioria das vulnerabilidades de hardware e pontos fracos de software que podem estar inerentemente disponíveis em dispositivos de IoT. Se as vulnerabilidades de hardware não forem mitigadas, o restante dos controles, metodologias, estruturas, tempo, recursos e investimento para tornar os dispositivos de IoT seguros não podem ser eficazes. Alguns dos regulamentos e resistências precisam ser conduzidos pelos respectivos governos, com a assistência da comunidade de segurança.

Software
As principais ameaças ao software ou firmware em dispositivos de IoT são que o software pode ser modificado ou descompilado para extrair credenciais e aproveitado para executar os ataques DDoS. As vulnerabilidades no nível de software são:

• Código inseguro
• Senhas padrão codificadas
• Testes de software impróprios levando a backdoors
• Ausência de autenticação forte durante o M2M, Interações H2M e máquina-para-homem (M2H)

O Projeto Aberto de Segurança em Aplicações Web (OWASP) ajuda os fabricantes de IoT a construir softwares IoT seguros e classifica periodicamente as 10 vulnerabilidades de software de IoT.

Nível Empresa/Rede
Assim como outros dispositivos de rede, as ameaças mais comuns de dispositivos de IoT no nível da empresa/rede são a espionagem, os ataques man-in-the-middle (MiTM) e o roubo de largura de banda. As três medidas sugeridas para proteção contra essas ameaças são:¹⁸

1. Identificar e inventariar os dispositivos de IoT na empresa e certificar-se de que eles estejam integrados no programa de gerenciamento de ativos da empresa.
2. Definir padrões e linhas de base para a segurança de dispositivos de IoT com base em políticas e padrões empresariais.
3. Implementar os controles de segurança necessários para mitigar o risco de IoT.

Recomenda-se a segmentação de todos os dispositivos de IoT em uma zona de rede separada, o que torna mais fácil a quarentena de toda a zona de IoT no caso de uma violação.¹⁹ O resto da TI pode continuar suas operações sem qualquer impacto significativo.

Se a segmentação e o zoneamento não forem viáveis, adotando-se um modelo de rede definida por software (SDN) que não apenas melhora a segurança de IoT, como também ajuda na identificação da localização sugerida da violação.²⁰

Outros controles comuns que precisam ser implementados para dispositivos de IoT são os mesmos controles que se aplicam à maioria da infra-estrutura de TI atualmente. São autenticação de dois fatores, senhas mais fortes ou autenticação baseada em chave.

É de extrema importância perceber que o segredo para fazer com que essas metodologias de defesa funcionem conforme o esperado é protegendo os dispositivos de IoT e a rede a partir do dia em que são introduzidos na rede. Caso contrário, a possibilidade é alta de que esses dispositivos de IoT fiquem vulneráveis a hackers para sempre e não possam ser corrigidos e protegidos. Se um dispositivo falso for detectado, ele deve ser substituído imediatamente.²¹

Os dispositivos de IoT devem ser capazes de realizar uma autenticação multifatorial, por exemplo, telefonar para o usuário/proprietário do dispositivo de IoT, antes que o usuário/proprietário execute a atualização de segurança.

A autenticação de infraestrutura de chave pública (PKI) para comunicação entre dispositivos de IoT e gateways é uma contramedida recomendada para impedir que um dispositivo de IoT seja desbloqueado para instalar software não autorizado. Somente software certificado deve ser autorizado para que seja instalado durante upgrades e correções. Estão sendo introduzidas estruturas que podem ajudar a implementar um modelo de segurança robusto para dispositivos de IoT.

O produto KeyScaler 5.0 da Device Authority oferece o provisionamento de certificados e de chaves especificamente para dispositivos de IoT durante o processo de registro.²²

Ataque
A melhor defesa sempre começa com um bom ataque. Detecção precoce e prevenção de ataques em tempo real é a prioridade para as equipes de segurança e tornou-se o novo mantra. Muitas violações recentes aconteceram meses atrás ou em alguns casos, anos atrás, (por exemplo, a violação da Yahoo), antes de serem detectadas e os processos de resposta começarem.²³

Testes
Os testes de qualidade dos softwares de IoT são completamente diferentes dos testes de software tradicionais. Autonomia, conectividade e momentum são os três fatores que tornam os testes de qualidade de softwares de IoT diferentes dos testes de software tradicionais.²⁴ O conceito de que a segurança é um processo e não um recurso complementar é bem conhecido. O teste de softwares de IoT para detecção de senhas fracas, vulnerabilidades de saturação do buffer, etc., deve seguir as melhores práticas do OWASP. Os dispositivos de IoT devem também ser testados quanto a vulnerabilidades em portas de barramento serial universal (USB). O fundamental é reduzir a superfície de ataque do dispositivo de IoT na máxima extensão possível. Além disso, como em qualquer outro sistema de TI que seja próximo à Internet, deve-se armazenar, transmitir e processar apenas a quantidade mínima de informações confidenciais.²⁵

Gestão de Risco de IoT
A Forescout categoriza os dispositivos de IoT em três níveis:

• Desastrosos—Dispositivos conectados a IP que estão ligados diretamente à Internet estão em alto risco. Eles podem causar danos à empresa ao obter acesso a informações confidenciais ou causar danos à infraestrutura crítica.
• Disruptivo—Sistemas interligados, como telefones e impressoras de voz sobre protocolo internet (VoIP), podem resultar em interrupção das operações da empresa.
• Prejudicial—Dispositivos como lâmpadas e refrigeradores inteligentes podem ser usados para bisbilhotar a rede da empresa para, possivelmente, obter acesso a metadados sobre a rede.²⁶

A orientação da FDA recomenda que os fabricantes de dispositivos formem ou se associem a uma organização de compartilhamento e análise de informações (ISAO), que é semelhante aos centros de compartilhamento e análise de informações que existem hoje. Um ISAO pode ajudar as organizações participantes compartilhando as possíveis ameaças e riscos de segurança em tempo real e elaborando respostas apropriadas em tempo hábil.

Análise e Detecção
Os recentes avanços em análise de dados improvisam a métrica de inteligência acionável para a segurança. Produtos como o Adaptive Defense não só fornecem às equipes de segurança informações sobre os executáveis que entram na rede, como também proativamente confirmam um incidente, em vez de apenas alertar sobre todos os eventos suspeitos.²⁷ A PatternEx combina inteligência artificial (AI) com a intuição do analista para oferecer uma plataforma de previsão de ameaça que detecta ameaças atuais e emergentes em tempo real em toda a empresa. Essa vai e deve ser a tendência no futuro, especialmente com os recursos e analistas limitados, monitoramento contínuo, orçamentos de segurança e mais dispositivos sendo adicionados à rede criando ainda mais formas de ser hackeado. Determinar o ponto em que uma intrusão realmente aconteceu depois de detectar que isso que sua ocorrência é a chave. A inteligência artificial (AI) pode, assim se espera, reduzir o tempo e os recursos que são necessários para detectar uma intrusão brevemente.

Governança de Equipe de IoT

O risco de um dispositivo de IoT inseguro é relativo com base no domínio em que ele é operado e a jurisdição em que ele se desenvolve. Por exemplo, a privacidade fica com maior risco quando o dispositivo lida com informações protegidas de saúde (PHI), comparado com quando ela está em uma instalação industrial, na qual a infraestrutura ou serviços estejam em risco. A geografia de onde o dispositivo de IoT opera também é importante porque as vinculações legais e regulamentares podem diferir de um lugar para outro. A governança dos dispositivos de IoT deve ser tratada separadamente, mas sob o abrigo da governança de TI. Os quatro fatores críticos de sucesso que contribuem para um projeto de IoT eficaz são uma equipe eficiente de gerenciamento de projetos de IoT, uma parte interessada do projeto que tenha autoridade para dirigir o projeto de IoT, infraestrutura de dados e de telecomunicações para oferecer suporte de IoT e especialistas no assunto para manter uma alta qualidade de dados e questões de integração.²⁸

Em um nível de gerenciamento de projetos, as oito etapas²⁹ que podem ajudar as empresas a por em prática um programa de segurança de IoT sustentável, são:

1. Identificar a informação
2. Priorizar os dispositivos
3. Avaliar o risco de perda de dados
4. Avaliar o risco de acesso de IoT
5. Realizar planejamento de resposta a incidentes de IoT
6. Formular uma estratégia de big data para gerenciar a grande quantidade de dados de IoT gerados
7. Elaborar políticas de privacidade de dados de sensores
8. Proteger dispositivos IoT

Conclusão

Os requisitos de espaço de IoT variará em tamanho com base na vertical da indústria. À medida que as empresas avançam na popularidade do IoT para serem mais rentáveis e poderem alcançar uma base de clientes aumentada, elas precisam ter uma estratégia de IoT que abranja todo o ciclo de vida do dispositivo de IoT (desde a aquisição até ao fim da vida) instalado. As empresas precisam criar uma estratégia de risco de IoT que avalie e gerencie riscos. Considerar o IoT como parte do portfólio geral de segurança e gerenciamento de riscos e ter um foco dedicado à avaliação e monitoramento contínuo do risco de IoT. A adoção com antecedência de segurança no ciclo de vida do dispositivo de IoT, no nível de hardware e software, é a melhor prática.

O fator FUD mencionado anteriormente continuará a impelir a administração a investir em segurança da informação e, mais especificamente, em segurança de IoT em um futuro próximo, pelo menos até que o risco de violações seja reduzido.

Notas Finais

¹ York, K.; “Dyn Statement on 10/21/2016 DDoS Attack,” Oracle, 22 October 2016, http://dyn.com/blog/dyn-statement-on-10212016-ddos-attack/
² Ibid.
³ Martin, C.; “U.S. to Issue IoT Principles After Internet Cyberattack,” MediaPost, 26 October 2016, www.mediapost.com/publications/article/287614/us-to-issue-iot-principles-after-internet-cybera.html
⁴ Atluri, I.; “The Rewards and Risks of Our Smarter Future,” InfoSecurity Professional, International Information Systems Security Certification Consortium, Inc. November/December 2014, www.isc2.org/uploadedfiles/(isc)2_member_content/member_resources/infosecurity_professional_magazine/infosecurity-professional-magazine-nov-dec-2014.pdf
⁵ Op cit, Martin
⁶ Martin, C.; “U.S. Issues Guidelines for IoT Security,” MediaPost, 18 November 2016, www.mediapost.com/publications/article/289288/us-issues-guidelines-for-iot-security.html
⁷ Armerding, T.; “Feds Provide Legal Loophole to Hacking IoT Devices,” CSO, 28 November 2016, www.csoonline.com/article/3144648/internet-of-things/feds-provide-legal-loophole-to-hacking-iot-devices.html
⁸ Lawson, S.; “Industrial IoT Inches Toward Consensus on Security,” ComputerWorld, 19 September 2016, www.computerworld.com/article/3122244/internet-of-things/industrial-iot-inches-toward-consensus-on-security.html
⁹ Federal Trade Commission, “FTC Announces Internet of Things Challenge to Combat Security Vulnerabilities in Home Devices,” USA, 4 January 2017, www.ftc.gov/news-events/press-releases/2017/01/ftc-announces-internet-things-challenge-combat-security
¹⁰ Zurier, S.; “Z-Wave Alliance Ups IoT Security,” SC MEDIA, 12 December 2016
¹¹ Gross, G.; “US Lawmakers Balk at Call for IoT Security Regulations,” CSO, 16 November 2016, www.csoonline.com/article/3141920/security/us-lawmakers-balk-at-call-for-iot-security-regulations.html
¹² CNBC, “New Cybersecurity Guidelines for Medical Devices Tackle Evolving Threats,” The Verge, 29 December 2016, www.cnbc.com/2016/12/29/new-cybersecurity-guidelines-for-medical-devices-tackle-evolving-threats.html
¹³ Food and Drug Administration, “Postmarket Management of Cybersecurity in Medical Devices: Guidance for Industry and Food and Drug Administration Staff,” USA, 28 December 2016, www.fda.gov/downloads/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocuments/UCM482022.pdf
¹⁴ Zurier, S.; “No Clear Policy,” SCMagazine, March 2017, https://media.scmagazine.com/documents/287/0317_digital_edition_71636.pdf
¹⁵ Sun, L.; “IoT Stocks: What to Watch in 2017,” The Motley Fool, 23 November 2016, www.fool.com/investing/2016/11/23/iot-stocks-what-to-watch-in-2017.aspx
¹⁶ Microsoft Secure Blog Staff, “The Emerging Era of Cyber Defense and Cybercrime,” Microsoft Secure Blog, 27 January 2016, http://blogs.microsoft.com/microsoftsecure/2016/01/27/the-emerging-era-of-cyber-defense-and-cybercrime/
¹⁷ Dickson, B.; “Why IoT Security Is So Critical,” TechCrunch, 24 October 2015, https://techcrunch.com/2015/10/24/why-iot-security-is-so-critical/
¹⁸ Moyle, E.; “Three Steps to Better Security in IoT Devices,” TechTarget, July 2016, http://internetofthingsagenda.techtarget.com/tip/Three-steps-to-better-IoT-device-security-in-the-enterprise
¹⁹ Kerravala, Z.; “How Network Segmentation Provides a Path to IoT Security,” NetworkWorld, 17 December 2015, www.networkworld.com/article/3016565/security/how-network-segmentation-provides-a-path-to-iot-security.html
²⁰ D’Abreo, C.; “What CIOs Need to Know About IoT and Security Risks,” Masergy Blog, 21 October 2015, www.masergy.com/blog/what-cios-need-know-about-iot-and-security-risks
²¹ SecureRF, “Why Dyn Suffered a DDoS Attack and How Consumer IoT Device Security Vulnerabilities Can Be Addressed,” 23 October 2016
²² Stephenson, P.; “Access Control,” SC Magazine, 14 December 2016
²³ Cross, K.; “This Is the New Reality for Cyber Security: Accept That Hackers Will Get In,” MarketWatch, 10 December 2016, www.marketwatch.com/story/this-is-the-new-reality-for-cyber-security-accept-that-hackers-will-get-in-2016-12-09
²⁴ Lawton, G.; C. McKenzie; S. Raman; “IoT Applications Pose New Problems for Developers,” TechTarget, February 2016, http://internetofthingsagenda.techtarget.com/ehandbook/IoT-applications-pose-new-problems-for-developers
²⁵ Sullivan, D.; J. Sullivan; “IoT Security Testing: Cover All Your Bases,” TechTarget, May 2016, http://internetofthingsagenda.techtarget.com/feature/IoT-security-testing-Cover-all-your-bases
²⁶ ForeScout Technologies, Inc., How Hackable Is Your Smart Enterprise?, USA, 2016, https://www.forescout.com/wp-content/uploads/2016/10/iot-enterprise-risk-report.pdf
²⁷ Zurier, S.; “When It Comes to IoT, More Security Is Needed,” SC Magazine, 12 December 2016
²⁸ Schulz, Y.; “Critical Success Factors for IoT Projects,” ITWorldCanada Blog, 25 June 2015, www.itworldcanada.com/blog/critical-success-factors-for-iot-projects/375399
²⁹ O’Donnell, L.; “8 Strategic Steps for Long-Term IoT Security,” ITbestofbreed.com, 20 March 2015, www.itbestofbreed.com/slide-shows/8-strategic-steps-long-term-iot-security/page/0/2