Líder do Comitê de Segurança da ABINC afirma que a baixa conscientização em segurança do mercado IoT é um dos maiores desafios a serem superados neste setor
Uma pesquisa realizada pelo McKinsey em 2021 aponta que um crescimento anual superior a 10% no número de dispositivos IoT interconectados leva a maior vulnerabilidade a ataques cibernéticos, violações de dados e desconfiança. O relatório ainda afirma que para que a atual fragmentada Internet das Coisas atinja o seu potencial como um ecossistema totalmente interligado, a resposta pode residir na convergência da cibersegurança e da IoT. Entretanto, a baixa conscientização em segurança do mercado IoT ainda é apontada como um dos maiores desafios a serem superados com urgência no setor, através de melhores práticas e medidas de proteção contra ataques cibernéticos.
Segundo Yanis Cardoso Stoyannis, Líder do Comitê de Segurança da Associação Brasileira de Internet das Coisas (ABINC), o mercado de IoT está amadurecendo a passos largos, abrindo um leque de grandes possibilidades de aplicações. “Os modelos de negócio se tornaram muito mais atraentes porque várias barreiras estão sendo superadas, como, por exemplo, uma maior eficiência dos processos de implantação e melhorias das soluções de integração”, afirma. Por outro lado, o especialista ressalta que a baixa conscientização sobre os riscos tecnológicos é um dos maiores obstáculos a serem superados com necessidade de urgência.
“O cenário é preocupante, porque a forte tendência para a adoção de IoT contrasta com a baixa maturidade em segurança, o que aumenta consideravelmente a probabilidade de ocorrer ataques cibernéticos que podem comprometer os resultados esperados e ainda incorrer em riscos para a sociedade, uma vez que boa parte dos projetos de IoT beneficiam direta ou indiretamente a população, como aqueles voltados para cidades inteligentes e utilities”, complementa o membro da ABINC.
O relatório do McKinsey ainda aponta que, até 2030, o mercado de fornecedores de IoT tem potencial para alcançar aproximadamente US$ 500 bilhões, com a possibilidade desse número aumentar significativamente caso haja uma gestão eficaz da segurança cibernética. Na perspectiva de um cenário integrado com segurança, de acordo com o estudo, espera-se que os executivos aumentem os gastos com a IoT em uma média de 20 a 40 por cento. Além disso, novos e emergentes casos de uso poderão desbloquear um valor adicional de cinco a dez pontos percentuais para os fornecedores de IoT.
Yanis enfatiza que os projetos de IoT são desenvolvidos para durar muitos anos, geralmente mais de 10, visando obter retorno do investimento nesse período. Ele adverte: “Dispositivos vulneráveis com restrições de remediações quando submetidos a um tempo de vida tão longo estão mais propensos a sofrerem invasões e informações valiosas podem ser comprometidas. Deste modo, empresas podem sofrer com diversas consequências, desde ações maliciosas nos ambientes em que os dispositivos atuam ou até utilizar a rede IoT para invadir outros sistemas da organização, gerando prejuízos financeiros, danos à reputação, perda de credibilidade, falhas ou quedas de desempenho operacional, e até incorrer em danos físicos para cidadãos, dependendo das características da solução”, aponta.
Segundo Yanis, para estabelecer e manter a confiança em um ecossistema tão diversificado como o da IoT, a segurança precisa ser incorporada em toda a cadeia de valor de IoT através de uma visão holística. “Desde a elaboração e aprimoramento de metodologias e práticas voltadas ao uso seguro da IoT, da adequação dos processos de desenvolvimento de soluções e dispositivos mais seguros, da adoção de critérios de seleção de fornecedores baseadas na confiabilidade de seus produtos, até o aperfeiçoamento das metodologias de implementação, operação e manutenção”, explica.
O líder do comitê também recomenda práticas para garantir a proteção de dispositivos IoT contra ataques cibernéticos, incluindo a especificação criteriosa das características técnicas de segurança dos dispositivos e a implementação de soluções de segregação da rede e controle de acesso, a partir de duas abordagens: projetos que contemplam a aquisição de novos dispositivos e aqueles que visam proteger dispositivos existentes.
Ele ressalta que, em todos os casos, é necessário determinar o contexto do projeto: “Objetivo, finalidade, abrangência do projeto, tipos de dados coletados, se existem dados sensíveis, a natureza dos sensores, fluxo de dados, criticidade dos elementos controlados, necessidades de integração, dentre outros elementos que devem ser levados em consideração para estabelecer a criticidade do projeto, relacionar as possíveis ameaças e determinar os possíveis impactos”.
Para projetos que incluem a aquisição de dispositivos, torna-se crucial especificar todas as características técnicas de segurança do dispositivo em função do mapeamento realizado na etapa anterior, como o controle de acesso privilegiado, protocolos adotados para transmissão segura dos dados, criptografia de dados armazenados, atestação de que o dispositivo foi testado e as vulnerabilidades corrigidas, proteção contra injeção de código não autorizado, garantia de integridade de firmware, segurança no processo de boot (inicialização do sistema), garantia de atualizações de novas vulnerabilidades encontradas, entre outros.
No entanto, no caso de dispositivos já existentes e em produção, Yanis comenta ser necessário realizar um inventário e mapeamento dos dispositivos, averiguar suas características técnicas, possíveis vulnerabilidades existentes, analisar a existência de correções de segurança (patches) junto ao fabricante e a possibilidade de aplicação ou atualização, etc. “Teremos assim um panorama sobre a gravidade e abrangência do problema e informações suficientes para determinar possíveis ações para mitigação dos riscos, como a implementação de solução de segregação da rede dos dispositivos através de sistemas de controle de acesso, como firewalls de rede que atuem na camada da aplicação e consigam analisar os protocolos de comunicação dos elementos”, complementa.
Por fim, o especialista destaca a necessidade de garantir que os dados não sejam alterados indevidamente desde a coleta até o destino. “Para garantir a integridade das informações coletadas, é crucial adotar mecanismos que garantam que todos os dispositivos sejam conhecidos e pertençam à organização. A integridade dos dados é uma preocupação crescente, principalmente quando os dados coletados pela IoT são usados para treinar modelos baseados em Aprendizado de Máquina (ML – Machine Learning). Criminosos podem manipular dados de treinamento da Inteligência Artificial através da alteração dos dados coletados pelos sensores, o que chamamos de ataque de envenenamento, ou data poisoning, comprometendo significativamente os resultados do modelo”, finaliza Yanis.