Apesar de todas as suas vantagens, os dispositivos IoT não foram projetados com a segurança em mente. Isso pode levar a problemas enormes.
A Internet das Coisas (IoT) trouxe muitos benefícios. Também mudou a forma como os negócios e os riscos de TI são gerenciados. Nos últimos anos, surgiram relatórios sobre câmeras sequestradas, dispositivos médicos hackeados e sistemas de controle industrial comprometidos. O problema só vai piorar à medida que o 5G se tornar dominante e os dispositivos IoT incorporados se tornarem mais comuns.
A IoT adiciona outra camada de segurança às proteções existentes. É isso que torna tudo tão difícil. Como a IoT potencialmente toca tudo dentro de uma empresa - e externamente para parceiros e cadeias de suprimentos - ela envolve firmware, sistemas operacionais, pilhas TCP / IP, design de rede, ferramentas de segurança de dados e muito mais.
Merritt Maxim é vice-presidente e diretor de pesquisa da Forrester. "Vulnerabilidades neste amplo ecossistema são mais fáceis de ignorar", diz ele.
Esse é um problema sério. Pode ser extremamente difícil identificar todos os dispositivos IoT em uma rede. Este não é o fim.
Muitos dispositivos IoT não foram projetados tendo em vista a segurança. "As pessoas que implantam e configuram sistemas IoT nem sempre têm um excelente domínio de segurança. A adição de vários dispositivos de diferentes fabricantes aumenta a complexidade", Joe Nocera, líder do Cyber and Privacy Innovation Institute da PwC.
Fora de controle
Cada discussão sobre segurança de IoT começa com um simples fato: A Internet das Coisas é fundamentalmente diferente da TI convencional em termos de segurança. Muitos dispositivos IoT não têm uma interface de usuário, portanto, os ataques costumam ser realizados diretamente no dispositivo ou por meio do dispositivo para obter acesso a uma rede corporativa. Maxim também aponta que os ataques podem ter uma dinâmica diferente de ransomware ou outros ataques.
Ele diz: "A motivação geralmente é para uma escala maior de interrupção."
Na verdade, um ataque pode causar dispositivos que não podem ser reparados ou interrupções nos negócios que podem ter motivações financeiras ou políticas. Por exemplo, em fevereiro, um hacker violou uma estação de tratamento de água na Flórida por meio de um sistema de controle industrial e tentou alterar a qualidade da água. Em 2018, ladrões cibernéticos invadiram um cassino no Reino Unido por meio de um termômetro conectado à Internet em um aquário localizado no saguão. Os dados dos clientes do cassino foram roubados por ladrões.
Os fabricantes costumam criar seus próprios firmware, protocolos e padrões de design. Eles nem sempre fazem um ótimo trabalho de manutenção e correção de sistemas. Muitos dispositivos IoT dependem de versões anteriores do Windows e do Linux. A IoT está trazendo mais dores de cabeça para a mesa: os sistemas de controle industrial e as máquinas que não deveriam ser conectadas ao mundo agora fazem parte.
Proteja-se
Surpreendentemente, 74% das empresas pesquisadas pelo Ponemon Institute em junho passado disseram que seus programas de gerenciamento de risco de IoT não estavam conseguindo acompanhar os riscos representados pelo uso onipresente de dispositivos de IoT.
Nocera da PwC afirma que conhecer os dispositivos IoT em execução na rede e quais dados eles possuem é o primeiro passo para construir uma proteção forte.
Ele diz: "Muitas empresas não sabem."
Isso é ainda mais difícil pelo fato de alguns fabricantes usarem nomes ou códigos obscuros que não identificam claramente seus dispositivos. Nocera sugere que você atribua responsabilidades a um grupo e conduza um inventário para identificar potenciais pontos de falha e riscos. Às vezes, uma organização pode precisar de gerenciamento especializado de ativos ou solução de descoberta.
É crucial estabelecer visibilidade e controle sobre todo o cenário da IoT.
Nocera diz: "Uma organização deve ser capaz de ligar e desligar vários dispositivos e configurá-los de acordo."
É possível, com as ferramentas certas, garantir que apenas os serviços necessários estejam em execução em um dispositivo e que todos os outros dispositivos sejam desligados. Outro problema que os endereços de gerenciamento de configuração são garantir que os dispositivos não usem senhas padrão ou configurações de fábrica.
Ulf Mattsson (estrategista-chefe de segurança da Protegrity), diz que as senhas devem ser alteradas regularmente. Ele recomenda o uso de tokens, anonimato de dados e autenticação multifator (MFA), bem como autenticação biométrica. A criptografia de dados em movimento e em repouso, firewalls de próxima geração e sistemas de prevenção de intrusão (IPS) são todos necessários. Ele diz que é crucial manter esses sistemas atualizados e com patches.
Nocera também observa que a segmentação de rede é outra ferramenta útil. É importante isolar os principais sistemas, como controles industriais, aplicativos corporativos e outras informações críticas, para que os hackers não possam invadir as redes por meio de dispositivos IoT.
Ele diz, por exemplo, que "se você é uma empresa de transporte marítimo e empresa de logística, talvez os dispositivos IoT usados para gerenciar sua frota não precisem se comunicar com o dispositivo IoT e outros sistemas usados em um depósito", desta forma, se houver dispositivos são comprometidos, você perde apenas um depósito e não todos os seus depósitos.
É seguro jogar TI
Existem muitas outras estratégias que podem ser usadas para construir uma infraestrutura de IoT mais resiliente. Essas estratégias incluem o bloqueio de credenciais de nuvem que podem ser usadas para reconfigurar dispositivos. Desativando recursos que não são usados. Auditar regularmente a infraestrutura de IoT e desativar dispositivos desnecessários. Manter a proteção contra malware atualizada e substituir dispositivos menos seguros. Você também deve estar ciente de como o 5G impacta uma estrutura de IoT.
Maxim diz que também é aconselhável procurar dispositivos IoT mais recentes que usem silício seguro e tecnologias de raiz de confiança (RoT). Isso reduz a probabilidade de que o BIOS ou o nível do sistema operacional possam ser alterados. Outra área que vale a pena observar é o uso crescente de conectores, interfaces de programação de aplicativos (APIs), que estendem e às vezes mascaram fontes de dados e dispositivos.
Quer contratar nossos desenvolvedores dedicados? Obtenha uma estimativa grátis
Uma abordagem holística que usa uma variedade de ferramentas e estratégias para proteger dispositivos e dados é a melhor defesa. A Maxim declara que qualquer dispositivo ou sistema IoT deve passar pela mesma revisão rigorosa que os aplicativos corporativos e deve estar sujeito a padrões de segurança rígidos após a implantação.
Ele acrescenta que a IoT apresenta riscos novos e às vezes mais sérios, que podem interromper negócios ou causar a morte.