Principais destaques:
– Ausência de codificação rígida e limitação de recursos de segurança deixam dispositivos vulneráveis;
– Falta de legislação que estabeleça padrões de desenvolvimento e construção de dispositivos IoT permitem que fabricantes os comercializem sem tanta segurança;
– Empresas devem investir em segurança ainda no planejamento estratégico de IoT;
– Adicionar camadas de segurança ajuda na detecção de possíveis ameaças;
– Blockchain é mais um elemento de segurança, mas que não resolve todo o problema;
– Empresas devem se precaver para evitar riscos regulatórios futuros.
A adoção de um ecossistema IoT nas empresas já não é algo recente, mas a segurança desses dispositivos conectados cada vez mais tem sido pauta. Os ataques cibernéticos têm ocorrido com mais frequência, colocando em risco os dados e informações das empresas.
A título de ilustração, 48% das empresas entrevistadas para uma pesquisa da Gemalto responderam que não conseguem identificar invasões em dispositivos IoT.
“Os dispositivos IoT não possuem codificação rígida com requisitos de segurança. A capacidade de armazenamento é pequena, o sistema operacional é adaptado para rodar com recursos limitados e é impossível instalar proteção antivírus. Pesquisas recentes apontam que cerca de meio bilhão de dispositivos expostos na Internet estão vulneráveis. Daí a abertura para tantos ataques”, explica Yanis Cardoso Stoyannis, gerente de consultoria e inovação em cibersegurança da Embratel.
Com tantos dispositivos conectados — projeções do Gartner estimam 25 bilhões até 2021 — cibercriminosos encontram cada vez mais formas de aproveitar a vulnerabilidade desses equipamentos. “As funções são várias: controle de milhares de dispositivos para proferir ataques de negação de serviço em sites na Internet, coleta de dados sensíveis e até alteração de dados. Esses ataques podem gerar vários impactos para organizações, como lucro cessante pela indisponibilidade de serviços para clientes, fraudes, extorsões, concorrência desleal, multas legais e regulatórias, dentre outros”, aponta Stoyannis.
Para o especialista, garantir a segurança dos dispositivos IoT não deveria ser apenas uma responsabilidade de quem adota soluções conectadas. Essa incumbência deveria ser compartilhada também com os fabricantes desses equipamentos. “Do lado da fabricante, ainda não há uma regulamentação que estabeleça padrões de IoT e que oriente este setor, como acontece, por exemplo, com os dispositivos para telecomunicação. Eles seguem uma série de padrões para serem homologados pela Anatel e assim chegar ao comércio.”
Já os clientes precisam estabelecer processos específicos para adquirir tecnologias de IoT e ter critérios rígidos de segurança para identificar se o grau de proteção está compatível com os riscos associados ao projeto. “A segurança começa antes de definir o projeto de IoT e o design do produto. A empresa deve prezar por mecanismos de autenticação para garantir a restrição ao acesso dos dados”, comenta Yanis Stoyannis.
Stoyannis considera três vertentes de segurança para quem vai apostar na conexão entre diferentes dispositivos:
Projeto seguro
A segurança deve ser definida ainda na fase de concepção do projeto. Problemas futuros podem ser atenuados se a fabricante da solução tiver em mãos todos os requisitos compulsórios de segurança que devem ser atendidos. A empresa contratante pode incluir uma fase de homologação de segurança, incluindo testes de vulnerabilidades ou a entrega de certificados que comprovem que a solução foi testada segundo critérios internacionais de boas práticas. “A empresa ainda pode prever no projeto outras camadas de segurança como filtros de acesso, firewalls para isolar os dispositivos e sistemas de detecção de intrusos, por exemplo. Também é essencial incluir requisitos de privacidade dos dados e evitar riscos regulatórios futuros, como LGPD e GDPR”, afirma Yanis.
Mecanismo de autenticação
Na fase de implantação, a empresa deve mapear todos os elementos que fazem comunicação com os dispositivos IoT e ativar mecanismos de autenticação para garantir que somente os elementos autorizados se conectem aos dispositivos. A verificação dos remetentes é essencial para garantir a integridade e confidencialidade dos dados durante o armazenamento, processamento ou transmissão – “este último, quando não é criptografado, pode permitir a alteração desses dados por um hacker”, explica Yanis.
Monitoramento
Por meio do monitoramento é possível detectar e analisar tráfego anômalo em tempo real, ajudando na identificação de dispositivos que apresentam comportamentos fora do padrão, com indícios de falhas de comunicação ou de violação de dados. Sistemas automatizados podem emitir alertas para que uma equipe de segurança possa agir rapidamente e conter eventual ataque cibernético, antes que ocorram danos no ambiente.
Blockchain como segurança para dispositivos IoT
A pesquisa da Gemalto mostrou também que as empresas têm olhado para o blockchain como uma solução aos ataques a dispositivos IoT. Para Yanis Stoyannis, a tecnologia “é um elemento de segurança, mas que não vai resolver tudo”.
Ele explica que o blockchain garante a integridade e rastreabilidade da informação. “O blockchain trabalha de forma descentralizada, por isso é uma solução para garantir a integridade e rastreabilidade da informação, dando maior confiabilidade ao ecossistema de IoT”.
Mas o especialista é enfático: a segurança dos dispositivos começa ainda no plano estratégico da empresa. “A segurança e privacidade em IoT são fatores decisivos de sucesso para o negócio. Quando a empresa deixa para pensar após a concepção do projeto, é um tiro no pé”.