IoT e Leis de Privacidade

Os equipamentos inteligentes ou “Internet Of Things” como são conhecidos (IoTs) coletam dados o tempo todo.

Estes dispositivos são relógios (smart watchs), TVs (Smart TVs), aparelho de ar-condicionado, lâmpadas, chaves de automóveis ou casas, roupas, dentre outros.

Estamos cercados por eles em todos os lugares, todos mesmos, pois nos “toilletes” temos vasos sanitários inteligentes. E não estou falando dos confortáveis vasos sanitários de hotéis japoneses, com aquecedor etc. Foi desenvolvido pela Universidade de Stanford um dispositivo de análises clínicas que funcionará no vaso sanitário, permitindo que médicos possam acompanhar as análises clínicas dos pacientes no seu ambiente cotidiano, não mais através de exames laboratoriais semestrais ou anuais, enviados após sintomas graves. O Prof. Dr. Ganbhir que desenvolveu o algoritmo relata o seguinte:

“Há uma nova tecnologia de detecção de doenças no laboratório de Sanjiv “Sam” Gambhir, MD PhD, e sua principal fonte de dados é a número um. E número dois. É um banheiro inteligente. Mas não o tipo que levanta sua própria tampa em preparação para o uso; esse banheiro é equipado com tecnologia que pode detectar uma variedade de marcadores de doenças nas fezes e na urina, incluindo os de alguns tipos de câncer, como câncer colorretal ou urológico. O dispositivo pode ser particularmente atraente para indivíduos geneticamente predispostos a certas condições, como síndrome do intestino irritável, câncer de próstata ou insuficiência renal, e que desejam manter-se atualizados sobre sua saúde.”

Fonte: Stanford University – Smart toilet monitors for signs of disease

Como podem ver, os equipamentos inteligentes podem coletar dados das mais diversas fontes, e estes dados podem ter um propósito benéfico ou não.

O problema é exatamente este, se não sabemos o “propósito” da coleta da informação, como poderemos confiar?

É importante as empresas que desenvolvem seus projetos com IoTs, terem em mente que é necessário que todas partes envolvidas saibam quais informações estão sendo coletadas, para que serão utilizadas, e por quanto tempo serão armazenadas. Estes são os pontos chaves das leis de proteção de dados privados (GDPR europeia e LGPD no Brasil).

Uma vez que o “termo de consentimento de uso dos dados” seja claro, as leis não são um obstáculo para utilização das novas tecnologias.

Os cuidados com segurança da informação, quando trabalhados com IoTs, que coletam dados em tempo real, devem ser redobrados. Os perigos dos ataques cibernéticos a esses equipamentos podem ser gigantescos.

Uma arquitetura de dados prevendo uma camada de segurança que aplique algoritmos de predição e prescrição de reações mediante situações duvidosas, garantem sucesso contra ataques.

O uso de Inteligência Artificial para monitoramento do fluxo de dados coletados e recebidos dos equipamentos inteligentes tem sido utilizado com sucesso nas ferramentas de proteção de dados.

Algumas empresas como FICO (Fair Isaac Company) e ACI utilizam machine learning e IA nas suas soluções de segurança transacional, muito utilizadas por bancos e empresas de cartões de crédito.

Para pequenas empresas e para o cidadão comum, sugiro os seguintes cuidados para garantir a segurança dos seus dados e privacidade:

Fonte desconhecida

1) Evite usar Bluetooth

O Bluetooth é uma tecnologia sem fio para compartilhar dados a uma curta distância sem o uso da Internet. Vários dispositivos podem ser conectados ao mesmo tempo e sincronizar ou trocar informações. Ocorre que, não é 100% seguro, pois existem vários métodos projetados por hackers para Bluetooth.

2) Use uma senha forte

Aplique todas as regras que você conhece: use números, letras maiúsculas e minúsculas aleatórias e principalmente não use a mesma senha para todos os seus dispositivos.

3) Atualize seus dispositivos sempre que surgir uma nova versão

Pode ser cansativo, mas infelizmente, nenhum sistema é 100% seguro e os hackers são incansáveis na luta para decifrar o código ou passar pelo firewall de qualquer aplicativo. Sendo assim atualize seus equipamentos sempre, porém em uma rede segura (da sua casa ou empresa), nunca faça uma atualização em uma rede Wi-fi gratuita e aberta.

4) Instale e aplique uma VPN para proteção máxima

Uma das opções mais populares é recorrer aos provedores de redes privadas virtuais para seus serviços. As VPNs são extremamente práticas e úteis. Para quem não conhece, as VPNs criptografam seus dados, quando eles são transmitidos de um dispositivo para outro, e os possíveis invasores os veem como fluxos de caracteres incompreensíveis. Além disso, uma rede privada virtual pode mascarar seu endereço IP, tornando sua localização exata desconhecida. Ao ativar uma VPN no seu roteador Wi-Fi, você protege imediatamente todos os seus dispositivos IoT que estão na rede. Além disso, eles são compatíveis com a maioria dos dispositivos inteligentes, como roteadores, consoles de jogos, telefones celulares, TVs inteligentes e similares.

5) Não “Concorde” sem “LER” os termos

Você já fez isso tantas vezes que a frase quase perdeu o significado. Se puder, evite compartilhar suas informações pessoais nas mídias sociais. Por exemplo, evite fazer check-in em locais, pois esse é um sinal imediato e óbvio de que sua casa provavelmente está vazia por algum tempo. Além disso, suas informações pessoais podem acabar em sites diferentes, portanto, você deve ler as letras miúdas e proteger sua privacidade.

6) Crie sua solução IoT sobre a plataforma IoT compatível com GDPR e LGPD

Conforme comentei acima as regras de proteção de dados são muito simples no seu contexto geral, se os seus projetos seguirem princípios básicos de governança e controle você atenderá a ambas leis sem nenhum problema.

As regras de “ouro” são:

  • Proteja seus dados de visualizadores não autorizados (segurança, firewall, VPN);
  • Tenha documentado o processo de coleta, tratamento, armazenamento e destruição de dados (governança do ciclo de vida de dados);
  • Transparência (não use LETRAS MIUDAS ou FRASES COMPLICADAS para pegar a AUTORIZAÇÃO dos seus CLIENTES);

Aos usuários dos equipamentos inteligentes (smartphones, smart TVs, smart whach, etc), se não querem compartilhar suas informações, sigam os cuidados básicos de segurança digital, leia os termos de consentimento que todos os aplicativos pedem para você autorizar.

Tudo na vida tem seu preço”! Frase popular e antiguíssima, mas totalmente aplicável às tecnologias disruptivas.

Se queremos adotar IA para prevenir doenças e catástrofes, teremos que compartilhar cada vez mais informações, teremos cada vez menos privacidade, os interesses coletivos serão sempre sobrepostos aos interesses individuais.

Fontes: FICO, ACI, Comissão Europeia GDPR, Lei Geral de Proteção de Dados, Stanford University: Smart toilet monitors for signs of disease

Componentes inadequados comprometem a segurança dos dados no ecossistema de IoT

A Internet das Coisas (IoT) é o ecossistema tecnológico mais popular na era da transformação digital, conectando tudo a internet. Ela é a principal tecnologia por trás dos revolucionários carros autônomos, das casas e cidades inteligentes. O número de dispositivos conectáveis cresce a cada ano. Estima-se que muito em breve teremos 30 bilhões de dispositivos IoT.

Sua popularização se deve principalmente pelos inúmeros benefícios atribuídos ao ecossistema, como: comunicação eficaz entre dispositivos, automatização, redução de custos, otimização do tempo, etc. No entanto, com inúmeros dispositivos coletando informações a todo o momento, o risco à segurança desses dados é iminente.

Incidentes recentes elevaram a desconfiança quanto a segurança de dispositivos IoT. E não é por menos. No primeiro semestre de 2019 a revista Forbes publicou dados de uma pesquisa sobre segurança digital, que divulgou cerca de 150 milhões de tentativas de ataques em pouco mais de um ano, originados de 4.642 endereços de IP distintos.

Outro relatório divulgado recentemente pela Risk Based Security indicou que durante os primeiros seis meses de 2019, ocorreu um total de 3.813 violações de segurança; isso é cerca de 20 por dia. À medida que mais empresas adotam a IoT surgirá uma série de novas vulnerabilidades de segurança. O aumento do risco pode ser atribuído a limitações do dispositivo e devido a oportunidades perdidas de aprimorar a segurança.

As causas para a quebra de segurança dos dados podem ser encontradas ainda na idealização e montagem dos dispositivos. Muitos fabricantes estão usando processadores baratos e de baixa capacidade para hardware de IoT. Estes componentes são incapazes de sustentar a carga adicional imposta pelas mais recentes técnicas de criptografia.

Isso resulta em uma perigosa falta de segurança para um ecossistema de IoT. Quando observada em bilhões ou trilhões de dispositivos, essa falta de preocupação com a segurança cria um cenário ideal para a abordagem de vírus e malware na rede.

Segundo o diretor de pesquisa de infraestrutura de TI da Bloor Research, Paul Bevan, para manter os custos baixos e os lucros mais altos, as empresas que estão criando sensores de IoT em pequena escala não estão usando componentes de hardware e benchmarking adequados para acomodar requisitos de criptografia de segurança poderosos. Essa atitude precisa mudar, caso contrário, o risco à exposição de ameaças online deve aumentar.

Um artigo publicado no portal IoT For All defende que determinar qual aspecto é mais determinante para inibir os riscos da segurança de dados no ecossistema de IoT é um grande desafio. A realidade é que, mesmo que os dispositivos estejam protegidos por defesas de perímetro de segurança cibernética tradicionais, como redes privadas virtuais (VPNs) ou firewalls, o número crescente de violações de dados indica que elas seriam igualmente vulneráveis.

Para especialistas do setor de segurança digital, a melhor maneira para superar estes desafios está no aumento da conscientização sobre os ataques cibernéticos nos desenvolvedores e fabricantes de IoT. É necessário incorporar padrões de segurança para que possam ser configurados antes, durante e após o desenvolvimento, permitindo assim, privacidade e integridade dos dados.

Nós já publicamos diversos artigos traduzidos da Internet Society sobre padrões e boas práticas de segurança para dispositivos de IoT, como o IoT Trust Framework®. Confira abaixo alguns desses artigos:

Referências: IoT For All, Forbes

Imagem de Gerd Altmann por Pixabay