Segurança dos dados é fator importante para crescimento da IoT

Nos últimos anos registrou-se um grande crescimento de dispositivos conectáveis. O aumento da conectividade está ocorrendo em diferentes setores de negócios, oferecendo novas funcionalidades e oportunidades. De acordo com pesquisa da Accenture (NYSE: ACN), a Internet das Coisas (IoT) tem potencial para contribuir com US$ 14,2 trilhões da produção mundial na indústria até 2030.

No entanto, à medida que os dispositivos são conectados, eles também são expostos à ameaça de ataques cibernéticos. Para a indústria, os riscos da quebra na segurança dos dados são gravíssimos, entre as consequências estão o comprometimento dos projetos executados e a falência de uma empresa.

A atenção quanto as ameaças à indústria 4.0 elevou os investimentos em segurança de dados. Segundo a IDC, os gastos com inteligência artificial e machine learning devem chegar a US$ 671 milhões em 2019. Uma das justificativas para esse número é a busca por prevenção de ataques de ransomware.

Se, ainda que atenta a proteção dos dados a indústria está sobre risco, o que esperar da proteção individual dos cidadãos? Com dispositivos conectáveis presentes em todos os ambientes também aumentou a ameaça à segurança de dados pessoais.

Uma pesquisa realizada no primeiro semestre de 2018 pela Kaspersky Lab, identificou um crescimento no número de malwares direcionados à Internet das Coisas naquele ano. A equipe da empresa dedicada IoT cita ações como mineração de criptomoedas e sequestro de dispositivos para criação de redes de bots para ataques DDoS como as principais ameaças.

O método mais comum usado pelos hackers para espalhar malwares continua sendo a tentativa de adivinhar as credenciais de uso. Segundo a Kaspersky Lab, o esquema de tentativa e erro para obter acesso a um dispositivo foi identificado em 93% dos ataques, revela o Kaspersky Lab.

Segundo o relatório desenvolvido pela empresa de segurança digital, os fabricantes precisam dar mais atenção para a segurança de seus produtos, implementando barreiras para a proteção de dados ainda na fase de concepção do projeto.

Quando se trata do ambiente doméstico as pessoas também podem contribuir para aumentar a segurança dos dados pessoais criando senhas fortes e complexas e mantendo os softwares sempre atualizados. A atenção à segurança doméstica é cada vez mais importante à medida que mais dispositivos residenciais e vestíveis podem ser conectados a internet.

Uma pesquisa realizada no Brasil aponta para o risco a privacidade e segurança dos usuários de produtos conectáveis. Segundo a empresa de segurança digital Avast, um em cada cinco dispositivos conectáveis está vulnerável a ataques de hackers.

Os números da pesquisa indicam que 20,1% dos dispositivos conectáveis são vulneráveis a ataques cibernéticos. Entre os aparelhos estão webcams e babás eletrônicas, das quais 22,3% não são seguras e podem ser usadas para espionar os pais e seus próprios filhos. Além disso, entre as impressoras, 9,7% podem ser atacadas com facilidade, junto com 62,4% dos roteadores — o equipamento mais em risco, de acordo com o estudo.

Com acesso aos roteadores, os hackers poderiam facilmente acessar outros dispositivos conectados a mesma rede. O relatório da Avast alerta que qualquer dispositivo vulnerável pode ser usado para infectar outros, adicioná-los a uma botnet ou para assumir o controle deles e prejudicar seu proprietário, já que, além da possibilidade de espionagem é possível acessar informações de contato e detalhes de cartões de crédito.

Fontes: TecmundoTechtudo

Conquistas e avanços da IoT para 2020

Iniciamos em 2020 uma nova década de desenvolvimento e oportunidades para o ecossistema da Internet das Coisas (IoT). Ao longo do último ano elencamos as principais tendências para o setor, relatamos diversas experiências de quem trabalha no desenvolvimento e aplicabilidade das soluções baseadas em IoT, e promovemos encontros com especialistas, como no 1° ABINC Summit.

Em todo mundo notamos diversos avanços legislativos que beneficiaram a exploração do ecossistema, o que contribui para elevar as expectativas de especialistas quanto ao maior número de dispositivos no mercado, que se tornarão mais intuitivos e convenientes para o uso. Para os consumidores, os avanços também significam melhorias na qualidade de vida.

Com um futuro promissor é preciso estar atento às oportunidades de negócios. A expansão das redes está permitindo a entrada de um número maior de dispositivos e em paralelo, os custos para a implementação de soluções habilitadas para IoT estão diminuindo. No entanto, a implementação bem-sucedida de IoT se resume ao processamento inteligente de dados.

Serão bem-sucedidas as organizações que entenderem exatamente quais resultados querem alcançar através das iniciativas de IoT, quais são as melhores pessoas para atingir esse objetivo e a importância de permitir a conectividade do dispositivo para identificar e agir com os dados corretos.

Com mais dispositivos conectados um grande volume de informações passou a ser transferido através de muitas redes, e quanto maior o número de dados maior é o risco e a segurança. É importante que o aumento de dispositivos conectados ao ecossistema de IoT seja acompanhado por uma segurança robusta capaz de prevenir ataques maliciosos e o roubo de informações sigilosas.

Os Governos também devem ter um papel fundamental para o aumento da segurança nos dispositivos conectados, através de ações regulatórias como a nova lei de privacidade de informações da Califórnia, que entrou em vigor no primeiro dia do ano. A nova lei exige que todos os dispositivos IoT vendidos no estado sejam incorporados com “medidas razoáveis ​​de segurança cibernética”.

A segurança nos dispositivos habilitados para IoT tende a ganhar mais força nos próximos anos. Essa mudança deve ocorrer ainda em 2020 com o desenvolvimento de dispositivos com segurança aprimorada. As técnicas de machine learning, AI e big data ajudarão a identificar e reduzir riscos, tornando mais segura a proteção dos dados.

Outra importante tendência de aplicações através do ecossistema é a manutenção preditiva, que poderá entre outras coisas, identificar o momento ideal para a realização de manutenção nos elevadores, alertar sobre vazamentos nas residências etc. Através das habilidades preditivas da IoT as empresas podem oferecer serviços de atendimento domiciliar contratualmente e assim, tomar as medidas apropriadas para evitar danos sempre que um problema é percebido.

Inscreva-se no IoT Networking Happy Hour de Janeiro 2020

2020 chegou e é com empolgação que a ABINC e o IoT OpenLabs convidam você para o nosso primeiro happy hour da década, com muito chopp, amigos e, é claro, um bate-papo sobre Internet das Coisas.

São somente 30 vagas, não perca tempo e garanta a sua!

  • Quando: 22 de janeiro de 2020
  • Hora: 19h00 às 22h00
  • Onde: IoT OpenLabs | Haddock Lobo, 595 – 8° andar, São Paulo
  • Valor associado ABINC: R$ 25,00 (cupom enviado por e-mail, caso não tenha recebido o seu, solicite para [email protected].br)
  • Valor não associado ABINC: R$ 50,00

Clique aqui para garantir a sua vaga!

Referências: Insights da IoT corporativa, IoT For All

Imagem de Gerd Altmann por Pixabay

Dispositivos da Internet das Coisas como um vetor de DDoS

Por Steve Olshansky
Gerente de Programas de Tecnologia da Internet

Robin Wilton
Consultor Sênior da Internet Trust

À medida que aumenta a adoção de dispositivos da Internet das Coisas, também aumenta o número de dispositivos IoT inseguros na rede. Esses dispositivos representam um conjunto cada vez maior de recursos de computação e comunicações abertos ao uso indevido. Eles podem ser sequestrados para espalhar malware (softwares destinados a danificar ou desabilitar computadores e sistemas de computadores) recrutados para formar redes de robôs para atacar outros usuários da Internet, e até mesmo usados para atacar infraestruturas nacionais críticas ou as funções estruturais da própria Internet (damos vários exemplos de manchetes recentes na Seção de Referência, no final).

O problema é o que fazer com a IoT como fonte de risco. Este artigo inclui reflexões sobre eventos que vieram à tona nas últimas semanas, apresenta algumas reflexões sobre mitigações técnicas e esboça os limites do que achamos que pode ser feito tecnicamente. Além desses limites estão os domínios das medidas políticas, que − embora relevantes para o quadro geral − não são o tópico deste post.

Por que estamos explorando essa questão agora? Em parte devido à nossa atual campanha para melhorar a confiança nos dispositivos de IoT para o consumidor.

E em parte, também, por causa de relatórios recentes que, como um passo para mitigar esses riscos, os dispositivos conectados serão submetidos a testes ativos, para detectar se eles ainda podem ser acessados usando senhas e identidades padrão de usuários. Aqui está um desses relatórios, do IEEE.

Acreditamos que a sondagem ativa aumenta os riscos práticos, de privacidade e de segurança, que devem eliminá-los como uma abordagem, ou garantir que outras opções, menos arriscadas, sejam sempre consideradas em primeiro lugar.

Dispositivos remotos: controle, propriedade e responsabilidade

Grande parte do poder de um ataque de negação de serviço distribuído (DDoS) vem da capacidade de recrutar dispositivos em todo o planeta, independentemente da localização física do invasor ou, na verdade, do alvo. Uma contra medida é tornar mais difícil para um ator mal-intencionado obter controle remoto de um dispositivo IoT.

Obter o controle de um dispositivo envolve (ou deve envolver) a autenticação como um usuário autorizado. Dispositivos de IoT que não têm controle de acesso ou têm controle de acesso com base em uma senha padrão têm pouca ou nenhuma proteção contra esse controle. Por isso, é frequentemente sugerido que um passo inicial para proteger dispositivos conectados é garantir que os usuários substituam a senha padrão por uma que seja difícil de adivinhar.

Porém, este passo apresenta obstáculos. Os usuários são notoriamente ruins para escolher e alterar senhas, frequentemente escolhendo palavras triviais, quando eles se incomodam em definir senhas, e, é claro, às vezes sem perceber que devem, em primeiro ligar, definir uma senha.

O comportamento dos consumidores também pode se basear na suposição de que seus dispositivos são seguros. Eles podem supor, por princípio, que seu provedor de serviços de Internet (ISP) ou provedor de soluções de casa conectada não está fornecendo um dispositivo que os coloque sob risco por falta de segurança − assim como eles podem esperar que o dispositivo não pegue fogo durante o uso normal.

Várias partes interessadas, expectativas e requisitos

Como se pode ver, já temos um problema cuja solução pode exigir ação de mais de uma parte interessada:

  • Os fabricantes de dispositivos precisam projetar seus produtos para exigir algum tipo de controle de acesso e solicitar que o usuário o habilite,
  • Os usuários precisam ter a consciência e a disciplina para usar o mecanismo de controle de acesso e, se necessário, lembrar e substituir senhas quando for necessário e
  • Os usuários podem supor que, sob certas circunstâncias, “outra pessoa” está cuidando de manter seus dispositivos seguros e protegidos.

E tudo isso tem que ser feito de forma a reconciliar o triângulo de requisitos, dos quais, tradicionalmente, você pode “escolher quaisquer dois”. O controle resultante deve ser:

  • Seguro (caso contrário, perde-se o sentido da coisa)
  • Utilizável (se for muito difícil de entender, ou inconveniente, os usuários irão ignorá-lo)
  • Gerenciável (deve ser possível reparar, substituir ou atualizar o controle sem comprometer a capacidade de usar o dispositivo ou manter a segurança e a privacidade do usuário).

No contexto da IoT, dois itens adicionais precisam ser abordados.

Primeiro, seja qual for a solução, ela deve ser acessível. Caso contrário, produtos “seguros, mas caros” tenderão a perder participação de mercado em favor de concorrentes “inseguros, mas baratos”, e o risco representado por dispositivos IoT inseguros continuará a crescer.

Em segundo lugar, o processo acima descrito tem uma falha, isto é, “não é de onde estamos partindo”. Dispositivos conectados com pouca segurança já estão amplamente disponíveis e implantados em grande número. Nesses casos, é muito tarde para os fabricantes projetarem segurança para o produto, consequentemente precisamos procurar meios alternativos para reduzir o risco de que dispositivos IoT sejam um vetor de ameaças.

Escolher a intervenção apropriada

Se o dispositivo foi simplesmente projetado sem os mecanismos de segurança apropriados, e sem os meios para adicioná-los uma vez implantados, além de representar um risco significativo à segurança ou ao bem-estar das pessoas, há pouco a ser feito além de tentar retirá-los do mercado (por exemplo, em 2017, as autoridades alemãs emitiram uma proibição contra uma boneca conectada, alegando que ela era, de fato, um dispositivo de vigilância e que também poderia colocar as crianças sob risco).

Se os dispositivos já implantados puderem ser protegidos pela ação do usuário, a questão será decidir como isso poderá ser melhor realizado. Nós achamos que haverá uma gama de opções, algumas mais apropriadas para diferentes tipos de dispositivos conectados do que outras.

Campanhas gerais de conscientização pública, destinadas a informar os consumidores sobre a importância da boa prática de senhas, podem ser ineficazes ou insuficientemente direcionadas para serem relevantes; mas como aumentarmos a precisão de tais mensagens sem invadir a privacidade dos usuários?

É aceitável segmentar os compradores de tipos específicos de dispositivos ou marcas específicas? Os ISPs (provedores de serviços de Internet) devem ter os meios (ou um dever) para escanear suas redes para esses dispositivos e alertar seus assinantes sobre os riscos potenciais? Devem eles testar dispositivos em suas redes para ver se a senha padrão foi alterada? Como último recurso, e dada a ameaça potencial que a IoT representa à infraestrutura nacional crítica, até mesmo os governos têm responsabilidade nesses casos, e é desejável que eles intervenham, diretamente ou através dos ISPs?

Como o artigo do IEEE observa, em comentários do Centro de Tecnologia da Informação da Universidade de Tóquio, uma iniciativa em larga escala como essa aumenta o número de interessados que devem desempenhar algum papel. Provavelmente envolverá o governo, um instituto técnico aprovado e os ISPs. Isso pode significar que os governos precisarão conciliar conflitos entre as ações que desejam realizar e as leis relacionadas à privacidade pessoal, consentimento ou acesso não autorizado a computadores. Essas decisões estão, como observamos, além do escopo deste post, exceto para notar que elas aumentam a dificuldade de garantir que a abordagem da “investigação ativa” seja gerenciável, legal e segura.

Conclusões e recomendações

Nós reconhecemos que as circunstâncias variam e situações diferentes podem exigir abordagens diferentes. Aqui está uma indicação da gama de intervenções que achamos que podem ser aplicadas. Esta não é uma lista exaustiva, mas serve para mostrar que muitas opções estão disponíveis, e várias delas podem ser necessárias.

  • Segurança do design. Em primeiro lugar, se todos os dispositivos de IoT foram bem projetados, seu risco será bastante reduzido.
  • Fixar o gerenciamento do ciclo de vida. Um bom design inclui a capacidade de gerenciar dispositivos implantados durante todo o seu ciclo de vida, incluindo atualizações seguras para firmware/software e desativação segura (isso pode implicar que alguns processos e protocolos precisem incluir uma etapa de “consentimento”).
  • Testes de laboratório de dispositivos. Avaliar novos dispositivos em relação a critérios de qualidade para segurança e gerenciamento do ciclo de vida e fornecer feedback aos fabricantes. Isso pode se estender para incluir certificação e marcas de confiança.
  • Campanhas gerais de conscientização (por exemplo, incentivar os usuários a alterar as senhas padrão).
  • Conscientização direcionada/chamada para ação (isso pode ser baseado nos resultados dos testes de laboratório, sob a forma de um aviso de “recall” do fabricante para produtos não seguros).
  • Segmentação por dispositivo “passivo” (por exemplo, um ISP pode detectar tráfego que indique um dispositivo inseguro e enviar um alerta fora de banda ao usuário sugerindo ação corretiva).
  • Segmentação por dispositivo “ativo” (por exemplo, uma entidade procura tipos de dispositivos conhecidos por terem uma falha de segurança e notifica o usuário com ações sugeridas).
  • “Sondagem ativa” (por exemplo, uma entidade pesquisa dispositivos remotamente para identificar aqueles que ainda têm senhas padrão).

Como essa lista sugere, muitas alternativas podem ser consideradas antes de embarcar em algo potencialmente contencioso, como uma investigação ativa − e das opções listadas, a análise ativa exigiria o máximo de esforço em termos de governança, gerenciamento, avaliação de impacto ético e de privacidade/medidas de segurança. Aqui estão apenas algumas das nossas preocupações com a abordagem “sondagem ativa”:

  • Fazer isso (ou mesmo tentar) sem o conhecimento e a permissão expressa do proprietário do dispositivo, independentemente da motivação, é um ataque técnico a esse dispositivo.
  • O proprietário do dispositivo não tem como distinguir um ataque mal-intencionado de um “autorizado” e legítimo e, portanto, pode reagir de forma inadequada a uma investigação legítima, ou não reagir adequadamente a uma investigação maliciosa. Isto pode dar origem a resultados não intencionais e indesejáveis. Por exemplo, se os usuários forem avisados por meio de um anúncio geral de que “sondagens legítimas serão realizadas durante a noite de quinta-feira da semana que vem”, os hackers poderão interpretar isso como uma oportunidade para lançar seus próprios ataques, sabendo que os proprietários terão menor probabilidade de reagir.
  • Isto poderia resultar na criação de um grande banco de dados de dispositivos vulneráveis, o que seria um alvo e um recurso para possíveis invasores. A criação de tal ativo não deve ser feita sem cautela e previsão.
  • É até possível que uma investigação ativa possa infringir a soberania de outra nação: por exemplo, é aceitável que um país investigue os dispositivos conectados de embaixadas estrangeiras em seu território, como parte de uma iniciativa como essa?

De modo geral, nossa opinião é que a abordagem da investigação ativa tem o maior risco de minar a confiança dos usuários na Internet, especialmente ao violar as expectativas normais dos proprietários e usuários de dispositivos em relação à privacidade, propriedade e controle. Concluímos que testar ativamente a segurança do dispositivo tentando fazer login usando senhas padrão conhecidas deve ser um último recurso, à luz de uma ameaça específica e identificada, e que deve ser utilizado somente quando outras alternativas não estiverem disponíveis ou não forem práticas.

Para decidir qual das intervenções é apropriada (e a intervenção bem-sucedida pode precisar de uma combinação de medidas), recomendamos a aplicação de princípios estabelecidos de outras disciplinas relacionadas à governança da TI:

  • Necessidade: existe uma maneira menos arriscada e menos intrusiva de atingir os mesmos fins?
  • Proporcionalidade: o resultado desejado é suficiente para justificar o impacto potencial de segurança e privacidade da intervenção?
  • Consentimento: o consentimento informado do indivíduo foi solicitado e fornecido livre e conscientemente
  • Transparência: está claro para todas as partes interessadas o que está sendo feito e por quê?
  • Responsabilização: os resultados são mensuráveis? A prestação de contas pelos resultados é clara − incluindo resultados negativos se algo der errado?

Nós reconhecemos que os dispositivos conectados inseguros representam uma ameaça substancial e crescente, que precisa de uma resposta eficaz. No entanto, também acreditamos que a resposta pode e deve ser gradativa, com base na avaliação de uma gama completa de opções e na aplicação de princípios estabelecidos de boa governança.

Exemplos recentes da IoT como um vetor de ataques

Outros recursos

Building TrustInternet of Things (IoT)SecurityDDoSDDoS attacks

Isenção de responsabilidade: Os pontos de vista expressos neste post são de responsabilidade dos autores e podem ou não refletir as posições oficiais da Internet Society.

Fonte: https://www.internetsociety.org/

Artigo traduzido e compartilhado sob licença:

Creative Commons License

Como o blockchain e a IoT podem aumentar a produtividade do estoque  

A tecnologia blockchain surgiu a cerca de 10 anos, atendendo o mercado financeiro digital, mas só recentemente atraiu a atenção do ambiente corporativo.

Apesar do grande potencial, o blockchain não é uma tecnologia independente, mas a sua convergência com sistemas modernos utilizados na Indústria 4.0 como o big data, Inteligência Artificial (AI), e Internet das Coisas (IoT) irá transformar a indústria de manufaturas e a logísticas de produtos e transporte.

Entre tantos benefícios, a ferramenta tem muito a contribuir na segurança e precisão das informações, e assim, garantindo a credibilidade das organizações, principalmente em um ambiente onde a segurança dos dados é cada vez mais preocupante.

Quando utilizado com outras tecnologias, o blockchain oferece às empresas uma oportunidade para repensar suas práticas internas e externas, melhorando a eficiência e a produtividade do negócio. Como exemplo, podemos citar o Walmart e seu sistema de blockchain para controle da qualidade dos produtos.

Anunciado em 2018, a plataforma desenvolvida pela empresa tem por finalidade checar a qualidade dos produtos que chegam às gôndolas dos supermercados da rede nos EUA.

Num primeiro momento, apenas fornecedores diretos de verduras e legumes precisam utilizar o sistema, fornecendo informações de localização e estado dos alimentos. Além disso, a plataforma irá informar dados de temperatura, origem e localização em tempo real.

A informações da rede é que, através do blockchain, os dados dos produtos estarão disponíveis em apenas 2,2 segundos. Se fosse realizado da maneira tradicional, o levantamento levaria semana para ser concluído devido toda papelada envolvida no processo.

Com os alimentos sendo monitorados desde a colheita no campo até as prateleiras dos supermercados, a rede e seus fornecedores podem, entre outras vantagens, prevenir o abastecimento de alimentos estragados ou infectados.

Estudos do Walmart apontam que a adoção do sistema poderá gerar uma redução de até 20% dos custos na cadeia. Os fornecedores indiretos, como empresas de logística, também terão que se adaptar ao sistema, mas apenas em setembro deste ano.

Para criar a rede blockchain, o Walmart formou uma parceria com a IBM, que realizou o controle do estoque de mangas, comidas de bebê, frango e outros alimentos. Após 18 meses a pesquisa mostrou que a plataforma foi mais eficaz no controle do estoque do que o sistema federal.

Ainda que os projetos com a tecnologia blockchain estejam sendo operados em pequena escala, espera-se grandes transformações na indústria através de sua combinação com outras tecnologias, principalmente aquelas que utilizam IoT e AI, aumentando a proteção e a segurança da rede.

Associado da ABINC tem como benefícios:

+ Preços promocionais nos eventos da associação;

+ Ter acesso às demandas e necessidades de IOT do mercado (empresas e governo);

+ Networking com todo o ecossistema de IOT ABINC;

+ Ter seus casos de sucesso em IOT divulgados para todo o mercado.

Quanto maior for a nossa comunidade, mais forte e representativo será o nosso setor. Participe!

Clique aqui e saiba mais.

Referências: IstoÉ, Sonda