A IoT (Internet-of-Things) ou Internet das Coisas é definida
pela ISO/IEC como uma conexão de entidades físicas (ou
“coisas”) com sistemas de TI através de redes. Segundo estudo realizado pelo Gartner em fevereiro de 2017, até 2020 serão 20,4
bilhões de ‘coisas’ conectadas em todo mundo, e até 2021, de acordo com o IDC, US$ 1,4 trilhão terá sido gasto com
investimentos nesse setor. Diante desse cenário, em que diversos dispositivos
IoT tornarão nossas vidas mais automatizadas, seguras e convenientes, seria
imprudente ignorar a importância da tecnologia na criação de grandes
oportunidades de mercado para diferentes setores. De fato, IoT é a tecnologia
de ponta que mais impulsionará a transformação dos negócios nos próximos anos,
provocando inovações disruptivas na forma como se gera valor na economia e
alavancando novos e valiosos mercados emergentes.
Neste contexto, vale destacar a frase de Peter Drucker: “toda inovação significa um risco;
qualquer atividade econômica é de alto risco e, não inovar, é muito mais
arriscado do que construir o futuro [inovando]”. Porém, enquanto as empresas
têm aumentado o foco em tecnologias emergentes como IoT para transformar seus
negócios, muitas não avaliam os riscos desta adoção. Na pesquisa KPMG & Forbes de fevereiro de 2018, intitulada:
“Disruption is the New Norm”, feita com mais de 200 altos executivos, foi
constatado que 46% deles não reavaliaram o acréscimo do risco às suas empresas,
em face à adoção da tecnologia IoT. Eles deixaram de mensuram o quanto a adoção
da IoT aumenta a potencial superfície de ataque aos seus ambientes de TI. Como
resultado, a segurança passa a ser um dos principais desafios à efetivação da
IoT no dia a dia das empresas.
Como a segurança ainda não é o foco da IoT, já que é algo novo até para os
fabricantes que ainda estão padronizando técnicas de desenvolvimento seguro,
entidades como a ABINC (Associação Brasileira de Internet das
Coisas), estão criando um comitê para debater a segurança na IoT e
contribuir na elaboração e promoção das melhores práticas de segurança. Junto
com outras entidades e especialistas do tema ao redor do mundo, como IOTSF,
ISF, ISA/IEC, OWASP, ISO/IEC, IISF e CSA, o desafio do grupo é proteger toda a
cadeia física e camadas de software para tratamento massivo de dados produzidos
pelos dispositivos da Internet das Coisas, além de ajudar a definir aspectos
regulatórios e impactos jurídicos advindos da utilização da IoT, como a
privacidade e proteção de dados pessoais.
Destaca-se que o Big Data coletado pelos
dispositivos IoT abre muitas novas oportunidades de mercado, mas também gera
novos riscos, incluindo ataques cibernéticos ou perguntas sobre a propriedade
de informações, bem como questões de privacidade. Como resultado, o maior
problema enfrentado pela IoT não será a comunicação entre dispositivos ou a
coleta e a capacidade de compartilhar dados, mas sim a manutenção segura de
dados. A vulnerabilidade global a atos maliciosos no ciberespaço está crescendo
à medida que avança a tecnologia IoT e, se nada for feito, a cada vez maior
superfície cibernética sujeita a ataques irá tornar o ambiente IoT um verdadeiro
"paraíso" para ciberatacantes.
A falha em proteger um dispositivo IoT
pode ter um impacto direto em muitos outros e, portanto, há uma necessidade
crescente de se aplicar técnicas para fortalecimento da segurança, de modo a
evitar que os riscos desta exposição sejam passados para sistemas mais
importantes. Um fator preocupante é a exploração de vulnerabilidades
cibernéticas em sistemas de infraestrutura, que está se tornando cada vez mais
frequente, uma ameaça crescente à segurança geral das empresas e da sociedade.
Diante do exposto, seguem as cinco principais recomendações de segurança para
os que desejam adotar IoT em suas empresas, mitigando os principais riscos:
- Considerar os requisitos de segurança na seleção de fornecedores de
IoT;
- Homologar soluções de IoT em ambiente controlado de testes, segregado
do ambiente de produção;
- Desabilitar serviços inseguros dos dispositivos IoT e alterar as
senhas padrões dos fabricantes;
- Incluir os equipamentos no processo de gestão de vulnerabilidades da empresa.
Atualizá-los constantemente, sempre que possível;
- Segregar as redes do ambiente IoT, preferencialmente em uma rede de
gerência que faça uso de dupla autenticação e criptografia forte.
Paulo Pagliusi, Ph.D., CISM