Os dispositivos de IoT têm impactado diversos negócios. Do setor da saúde ao agronegócio, muitas empresas têm utilizado sensores, impressoras, equipamentos de rede, smartphones, vestíveis, entre outros para transformar suas operações.
Mas isso traz também em um desafio: a segurança em dispositivos de IoT.
Não é de hoje que a segurança da Internet das Coisas tem gerado discussão na comunidade. Embora novos dispositivos estejam cada vez mais equipados com camadas de proteção, as companhias encontram dificuldades em detectar e investigar diversos incidentes.
Até porque o ciclo de vida global de um incidente, como um vazamento de dados, é de 279 dias (206 dias para identificar e 73 para conter). No Brasil, são 250 dias para identificar um ataque e 111 dias para contê-lo, como já mostramos nesta publicação no Mundo + Tech.
A empresa de soluções em segurança Radware prevê ataques mais aprimorados a dispositivos em Internet das Coisas em 2020. Confira neste post um infográfico com os principais insights do relatório de tendências de segurança para este ano.
Então, qual a melhor medida de segurança que uma empresa pode tomar para evitar invasões aos dispositivos de IoT? A criptografia parece ser o caminho menos complicado, de acordo com um artigo recente publicado no site Wired.
Criptografando os dispositivos de IoT
A Internet das Coisas está cada vez mais onipresente, mas é notoriamente insegura. São inúmeros dispositivos diferentes em diversos setores, enviando e recebendo dados em tarefas como:
- Atualizações de software.
- Envio de dados de telemetria.
- Coleta de dados dos usuários (visitas em site, GPS, etc.)
- Coleta de dados pessoais (nome, sobrenome, e-mail, etc.)
Portanto, eles devem ser protegidos entre o dispositivo que os produz e o dispositivo que os recebe, mas tecnicamente é muito difícil quando ainda não há ferramentas para garantir essa segurança. Até agora.
No início de janeiro, a cidade de Nova Iorque (Estados Unidos) promoveu uma conferência sobre criptografia. Lá, a startup Teserakt apresentou o E4, uma solução de implante criptográfico para dispositivos de IoT.
A solução permite que as fabricantes de IoT consigam integrar uma camada de criptografia nos servidores. Além disso, por ser desenvolvido em código aberto, o E4 se adapta para qualquer tipo de dispositivo.
Como é a criptografia hoje?
Imagine a seguinte situação: em uma plantação de sementes, o produtor utiliza uma estufa equipada com sensores IoT para controlar a temperatura do ambiente. Os dados gerados por esses dispositivos precisam de uma conexão com a internet para serem levados para a nuvem.
É aí que acontece, atualmente, a criptografia da maioria dos dispositivos: durante o tráfego desses dados na internet. No entanto, pode até ser que a transferência desses dados seja rápida, mas as empresas ainda encontram dificuldades em mantê-los seguros nessa camada.
Com isso, o projeto da Teserakt quer garantir que todas as camadas de um dispositivo de IoT (hardware, transferência de dados e software) estejam seguras para evitar vazamentos e outros incidentes, como mineração de dados e interrupção de serviços.
O E4 é desenvolvido em cima do Protocolo Signal (transporte de mensagens que utiliza criptografia de ponta-a-ponta). Isso abre duas possibilidades para uma empresa:
- Garantir que especialistas em segurança possam verificar vulnerabilidades e falhas nas soluções de IoT.
- Permitir que qualquer desenvolvedor adote o protocolo em seu produto, ao invés de tentar desenvolver camadas de criptografia do zero.
Mas, como ressalta Jean-Philippe Aumasson, CEO da Teserakt, o Protocolo Signal tem suas limitações para a Internet das Coisas.
Enquanto aplicativos de mensagens (WhatsApp e Telegram, por exemplo) envolvem interação remota, mas direta (de humano para humano), dispositivos de IoT enviam muitos dados para a fabricante ou vice-versa. Ou seja, a segurança deve considerar esse fluxo de transferência.
Outra questão levantada pelo CEO é a diferença de objetivos da criptografia de ponta-a-ponta para aplicações e para IoT:
- Em aplicações, o desenvolvedor, provedores de serviços de internet e outros bisbilhoteiros são bloqueados de ver o conteúdo trocado entre usuários;
- Na IoT, os fabricantes ainda têm o acesso aos dados dos clientes, mas outras entidades e até mesmo a Teserakt estão bloqueadas.
A segurança deve ir além da criptografia
Vamos supor que o seu smartphone foi roubado. Por mais que os aplicativos tenham criptografia de ponta-a-ponta, se o acesso ao dispositivo não for seguro (não ter senha forte, desbloqueio por impressão digital ou íris, por exemplo), os criminosos vão conseguir ver todo o conteúdo dele.
A mesma coisa acontece com os dispositivos de IoT. Se os servidores e a infraestrutura da sua empresa não tiverem as melhores práticas de segurança, de nada vai adiantar melhorar as defesas das informações em trânsito ou contra interceptação e manipulação de dados.
Como já trouxemos em outra publicação, projetos de Internet das Coisas devem priorizar também a segurança. Ou seja, ela deve ser planejada desde o início da solução e não somente depois que o produto está disponível no mercado.
Portanto, além da criptografia, sua empresa pode considerar outras camadas de segurança como um Centro de Operações de Segurança (SOC, em inglês). Ao contratar os serviços de um SOC, seu negócio vai contar com tecnologias como Inteligência Artificial e Machine Learning para garantir a disponibilidade dos dispositivos de IoT.
Principais destaques desta matéria:
- Dispositivos de IoT estão cada vez mais presentes nas empresas, mas segurança é um desafio.
- Startup criou uma solução que criptografa todas as camadas de um dispositivo: do hardware ao envio de dados via internet.
- Mas servidores e infraestrutura de uma empresa também devem estar em segurança.