Artigos

IoT é Agora

por Karina Queiroz

Mais conhecida como IoT – Internet of Things, a proposta da Internet das Coisas é conectar tudo entre si por meio da Internet e, portanto, melhorar a vida das pessoas, tornando-a mais fácil e ágil.

A IoT consiste no advento da conexão de smartphones, brinquedos, eletrodomésticos, carros, câmeras de monitoração predial, detectores de fumaça, redes sociais, sites de compra e venda de alimentos, webcams, …tudo isto e muito mais. Veja abaixo uma lista de projetos em andamento:

• Controle de glicose pelo usuário e por médicos conectados remotamente;
• Monitores de gravidez de risco, com análise de dados em tempo real;
• Monitor de temperatura e pressão com previsão comportamental;
• Cesto de lixo que processa latas de refrigerante e ainda envia dados estatísticos pela Internet;
• Termostato que ajusta a temperatura da casa conforme a rotina dos moradores;
• Carros autônomos.

Projetos estes que estão, por um lado, facilitando a vida das pessoas e, por outro, tirando o sono daqueles que tiveram seus dados roubados, alterados, divulgados, ou mesmo que passaram por experiências dolorosas, por alteração indevida de ação do dispositivo. E isso é só o começo.

Neste momento em que tudo se conecta, a preocupação com a segurança das pessoas cresce exponencialmente. Temas como “privacidade”, “segurança da informação”, “cyber security” e “regulamentação” estão sob forte discussão na sociedade privada e também nos governos.

Enquanto regulamentações e standards que englobam questões importantes da IoT estão em desenvolvimento e, portanto, não estão sendo de fato aplicados por fabricantes e/ou indústrias, incluir IoT na sua gestão de riscos de TI soa como uma ação de prevenção tangível. Para atingir isto, é preciso:

Identificar ativos (tangíveis e intangíveis) e respectivas vulnerabilidades (física e lógica);

• Identificar controles de segurança atuais e outros novos, se necessário;
• Desenhar cenários de ameaça; estimar probabilidades de impacto;
• Em pós análise, estabelecer níveis de risco da companhia e esclarecer planos de ação.

Como se trata de uma área em constante atualização, já temos informação o bastante para estabelecer cenários e promover mudanças. A tabela abaixo contribui como um esboço mínimo de cenários de infecção e controle de dispositivos de IoT.

Ativos

• Eletrodomésticos;
• Automóveis;
• Roteadores;
• Smartphones;
• Brinquedos eletrônicos;
• Sistemas de áudio visual;
• Componentes de segurança predial;
• Câmeras de vigilância.

Entre outros que, remotamente, podem sofrer interferência indevida por qualquer pessoa ou software.

Ameaças e Potencial Incidente

• DDoS – Distributed Denial of Service (Indisponibilização dos serviços) – sistemas de água, energia, gás, hospitais, sinais de trânsito, logística, transporte e monitoração de carga, etc;
• Infecção por Ransomware – Sequestro de dados coletados e bloqueio da operação do dispositivo até o pagamento do resgate;
• Uso indevido de dados coletados remotamente;
• Disponibilização não autorizada, de fotos, vídeos, histórico médico, dados comportamentais, histórico escolar, etc.;
• Uso do dispositivo alheio sem permissão e com a intenção de provocar danos – desligar câmeras de segurança, ligar webcam, alterar dados de monitoração de sistemas cardíacos, controle de glicose, provocar superaquecimento de dispositivos, etc.

Controles

• Privacidade de dados:
– Garantir o direito à informação pessoal apenas após aprovação do dono da informação;
– Promover adequação às regulamentações relacionadas à privacidade local (compliance).
– Segurança das Informações:
– Estabelecer controles de contratação e manutenção segura de sistemas e hardware, com áreas de segurança física e ocupacional;
– Assegurar que informações coletadas remotamente não serão utilizadas para outros fins senão o estabelecido com o dono da informação e o custodiante (como estão seus acordos com as empresas terceiras de gestão da TI?);
– Assegurar que donos das informações e respectivos custodiantes estejam comprometidos com as ações de gestão dos riscos fim a fim;
– Promover conhecimento sobre o assunto na organização, dentre e fora de TI.

Regulamentações:

• Assegurar padronização e controle de segurança de dados pessoais e corporativos;
• Obter respaldo legal para ações decorrentes de incidentes gerados com as informações coletadas;
• Garantir padronização mínima de comunicação e controle de dispositivos;
• Garantir homogeneidade de níveis de serviço e responsabilidade legal de custodiantes e donos da informação.

A segurança da informação já estabelece controles que englobam camadas de hardware e softwares, processos, estrutura física, entre outros, que muito já podem contribuir no cenário de IoT

Sempre vale a pena lembrar que toda inovação traz riscos ao negócio e a gestão destes é dependente direta da participação responsável do corpo executivo da empresa.

Fechar empresas, perder empregos, machucar pessoas, corromper a logística, promover caos na infraestrutura básica de saúde, energia, água, esgoto, ou simplesmente colocar nossas vidas nas mãos de pessoas desconhecidas e mal-intencionadas não é uma opção aceitável.

Tudo que envolve IoT é vulnerável e, na mesma medida, pode ser seguro. IoT é um mundo de oportunidades, vamos tirar proveito com segurança.

Mais