IoT é agora

0
207

Mais conhecida como IoT – Internet of Things, a proposta da Internet das Coisas é conectar tudo entre si por meio da Internet e, portanto, melhorar a vida das pessoas, tornando-a mais fácil e ágil.

Mas o que está por trás desta grande ideia? Dispositivos de baixo custo computacional, que não garantem a segurança dos dados que coletam, seja no armazenamento, na transmissão ou mesmo no descarte estão sendo desenvolvidos sem padrões e regulamentações.  A IoT consiste no advento da conexão de smartphones, brinquedos, eletrodomésticos, carros, câmeras de monitoração predial, detectores de fumaça, redes sociais, sites de compra e venda de alimentos, webcams, …tudo isto e muito mais. Veja abaixo uma lista de projetos em andamento:

  • Controle de glicose pelo usuário e por médicos conectados remotamente;
  • Monitores de gravidez de risco, com análise de dados em tempo real;
  • Monitor de temperatura e pressão com previsão comportamental;
  • Cesto de lixo que processa latas de refrigerante e ainda envia dados estatísticos pela Internet;
  • Termostato que ajusta a temperatura da casa conforme a rotina dos moradores;
  • Carros autônomos.

Projetos estes que estão, por um lado, facilitando a vida das pessoas e, por outro, tirando o sono daqueles que tiveram seus dados roubados, alterados, divulgados, ou mesmo que passaram por experiências dolorosas, por alteração indevida de ação do dispositivo. E isso é só o começo.

Neste momento em que tudo se conecta, a preocupação com a segurança das pessoas cresce exponencialmente. Temas como “privacidade”, “segurança da informação”, “cyber security” e “regulamentação” estão sob forte discussão na sociedade privada e também nos governos.

Enquanto regulamentações e standards que englobam questões importantes da IoT estão em desenvolvimento e, portanto, não estão sendo de fato aplicados por fabricantes e/ou indústrias, incluir IoT na sua gestão de riscos de TI soa como uma ação de prevenção tangível. Para atingir isto, é preciso:

  • Identificar ativos (tangíveis e intangíveis) e respectivas vulnerabilidades (física e lógica);
  • Identificar controles de segurança atuais e outros novos, se necessário;
  • Desenhar cenários de ameaça; estimar probabilidades de impacto;
  • Em pós análise, estabelecer níveis de risco da companhia e esclarecer planos de ação.

Como se trata de uma área em constante atualização, já temos informação o bastante para estabelecer cenários e promover mudanças. A tabela abaixo contribui como um esboço mínimo de cenários de infecção e controle de dispositivos de IoT.

 

Ativos Ameaças e Potencial Incidente Controles
  • Eletrodomésticos;
  • Automóveis;
  • Roteadores;
  • Smartphones;
  • Brinquedos eletrônicos;
  • Sistemas de áudio visual;
  • Componentes de segurança predial;
  • Câmeras de vigilância. 

 

Entre outros que, remotamente, podem sofrer interferência indevida por qualquer pessoa ou software.

  • DDoS – Distributed Denial of Service (Indisponibilização dos serviços) – sistemas de água, energia, gás, hospitais, sinais de trânsito, logística, transporte e monitoração de carga, etc;
  • Infecção por Ransomware – Sequestro de dados coletados e bloqueio da operação do dispositivo até o pagamento do resgate;
  • Uso indevido de dados coletados remotamente;
  • Disponibilização não autorizada, de fotos, vídeos, histórico médico, dados comportamentais, histórico escolar, etc.;
  • Uso do dispositivo alheio sem permissão e com a intenção de provocar danos – desligar câmeras de segurança, ligar webcam, alterar dados de monitoração de sistemas cardíacos, controle de glicose, provocar superaquecimento de dispositivos, etc.

 

Privacidade de dados:
o    Garantir o direito à informação pessoal apenas após aprovação do dono da informação;
o    Promover adequação às regulamentações relacionadas à privacidade local (compliance).Segurança das Informações:
o    Estabelecer controles de contratação e manutenção segura de sistemas e hardware, com áreas de segurança física e ocupacional;
o    Assegurar que informações coletadas remotamente não serão utilizadas para outros fins senão o estabelecido com o dono da informação e o custodiante (como estão seus acordos com as empresas terceiras de gestão da TI?);
o    Assegurar que donos das informações e respectivos custodiantes estejam comprometidos com as ações de gestão dos riscos fim a fim;
o    Promover conhecimento sobre o assunto na organização, dentre e fora de TI.Regulamentações:
o    Assegurar padronização e controle de segurança de dados pessoais e corporativos;
o    Obter respaldo legal para ações decorrentes de incidentes gerados com as informações coletadas;
o    Garantir padronização mínima de comunicação e controle de dispositivos;
o    Garantir homogeneidade de níveis de serviço e responsabilidade legal de custodiantes e donos da informação.

A segurança da informação já estabelece controles que englobam camadas de hardware e softwares, processos, estrutura física, entre outros, que muito já podem contribuir no cenário de IoT.

 

Sempre vale a pena lembrar que toda inovação traz riscos ao negócio e a gestão destes é dependente direta da participação responsável do corpo executivo da empresa.

Fechar empresas, perder empregos, machucar pessoas, corromper a logística, promover caos na infraestrutura básica de saúde, energia, água, esgoto, ou simplesmente colocar nossas vidas nas mãos de pessoas desconhecidas e mal-intencionadas não é uma opção aceitável.

Tudo que envolve IoT é vulnerável e, na mesma medida, pode ser seguro. IoT é um mundo de oportunidades, vamos tirar proveito com segurança.


  • Karina Queiroz – BAT | Regional Head of IT Security
Deixe um comentário