IOT

Como encarar os desafios de segurança em um ecossistema IoT?

21/08/2020

Tempo estimado de leitura: 4 minutos

A segurança em um ecossistema IoT vai além dos sensores e dispositivos conectados. É preciso considerar todas as camadas pelas quais o dado trafega.

O mercado tem inovado muito rapidamente e, para as empresas, é preciso adaptar alguns processos, sistemas e aplicações. Nem sempre é uma tarefa fácil, mas a adoção de tecnologias tem apoiado essa jornada. Entre elas, está a Internet das Coisas (IoT).

Um estudo recente da Konduto, empresa de antifraude para pagamentos digitais, mostrou que o número de pedidos em e-commerce cresceu 119,45% em junho quando comparado ao mês de janeiro.

Imagina como é para essas empresas de e-commerce receber um grande volume de pedidos e, ao mesmo tempo, monitorar toda a cadeia de suprimento para que os clientes recebam o que compraram?

Um ecossistema IoT poderia ajudar nesse desafio ao monitorar todas as áreas dessas empresas. Assim, elas teriam uma visão em tempo real dos inventários para uma tomada de decisão mais ágil e estratégica.

SAIBA MAIS: Saiba como funciona a IoT.

O problema é que a segurança ainda não é uma prioridade para muitas companhias, ainda mais quando o assunto é IoT. A Panaseer, plataforma de monitoramento de segurança, encomendou um relatório com 200 líderes de segurança em 2019.

Quando questionados sobre para quais ativos esses líderes tinham menos visibilidade na companhia, a Internet das Coisas foi a resposta mais repetida. Mas por que isso acontece?

A (falta de) segurança em um ecossistema IoT

Olhando especificamente para um ecossistema IoT, o relatório da Panaseer apontou alguns desafios. O primeiro deles é que as organizações utilizam ferramentas tradicionais de segurança, mas que essas soluções não conseguem encontrar dispositivos IoT.

São ferramentas voltadas a endpoints (dispositivos conectados à rede) que vão mapear notebooks, tablets, máquinas e servidores por meio de um IP (protocolo para identificar dispositivos ou conexões, que funciona como um “CPF”).

Porém, embora dispositivos IoT tenham um IP, eles podem ser executados como gateways (seria como um modem que vai organizar o tráfego de informações entre uma máquina e a internet). Então, mesmo que o time de TI executasse essas ferramentas tradicionais, seria difícil:

  • Saber o que é esse dispositivo (sensor, atuador etc.)
  • Onde ele está instalado.
  • A que ele está conectado.
  • Quais controles são executados nele.
  • Se existe vulnerabilidade.

Outro problema da falta de visibilidade: saber se um dispositivo IoT está danificado — o que pode comprometer o seu desempenho.

E por que isso acontece? Porque as empresas podem achar que um sensor, por não estar funcionando corretamente, tem apenas problema de configuração de fábrica. O dispositivo até volta a trabalhar, mas precisa ser reiniciado diversas vezes. E é aqui que mora o problema.

Um dispositivo IoT que esteja danificado, mas ainda em funcionamento, pode enviar dados incorretos ao seu ecossistema. Imagine as consequências, por exemplo, se esse dispositivo for usado como apoio para diagnósticos de pacientes?

Ainda há a questão de lançamento no mercado. Muitas fabricantes correm para apresentar novas soluções IoT, e não incorporam a segurança na fase de design. Quando uma vulnerabilidade é encontrada, alguém terá de solucioná-la.

Por que priorizar a segurança?

Segurança nunca esteve tão em alta desde o início da pandemia e a Internet das Coisas também não ficaria fora desse tema. O motivo é que as organizações estão se adaptando a uma demanda que prioriza velocidade e agilidade na entrega.

“A segurança não é levada a sério como deveria ser e questões referentes a ela são negligenciadas porque os times devem desenvolver e entregar seus produtos o mais rápido possível”, explica Julio Della Flora, coordenador da pós-graduação do Centro de Inovação VincIT da UNICIV.

Ainda é difícil para as empresas estabelecerem processos e melhores práticas de segurança. Por mais que muitas apostem no desenvolvimento ágil (saiba mais sobre o conceito aqui), Della Flora acredita que o comportamento de muitas ainda é reativo.

“Elas vão se preocupar somente ao sentirem os prejuízos financeiros e de reputação após sofrerem um ataque ou encontrarem um sistema comprometido.”

– Julio Della Flora

Para as empresas que já adotam o conceito DevOps (confira 5 benefícios dessa metodologia aqui), é preciso estabelecer processos de gerenciamento de segurança no desenvolvimento de uma solução IoT e aproximar mais o setor do time de segurança da informação.

“Organizações com essa cultura DevOps não podem isolar ou barrar os profissionais de segurança. Eles serão essenciais para identificar falhas nas soluções IoT e em capacitar os colaboradores – envolvidos ou não no projeto – sobre melhores práticas de segurança”, diz Julio.

Como Della Flora destaca, as pessoas de uma organização têm diferentes níveis de acesso aos projetos. “A falta de conhecimento sobre a segurança e a sua importância em um ecossistema IoT, que envolve uma grande quantidade de dados, pode custar caro para a empresa.”

Como desenvolver melhores práticas de segurança?

O primeiro passo para ser uma organização com foco em segurança é mudar a cultura, acredita o especialista. “Significa que todos os colaboradores devem ter em mente que a segurança precisa estar em todas as etapas do projeto.”

Della Flora afirma também a importância de parcerias com empresas especialistas em cibersegurança. Para ele, o setor de segurança de algumas organizações não tem profissionais especializados em pentests e análises de vulnerabilidade. Saiba mais sobre o assunto aqui.

“Muitas empresas deixam os desenvolvedores responsáveis em executar testes de vulnerabilidades, identificá-las e corrigi-las. Porém, uma coisa é capacitá-los para isso, que vai custar tempo e recursos, outra é ter um time de especialistas em hackear o sistema”, diz.

Como a questão orçamentária pode ser uma dificuldade, Della Flora lembra que a Lei Geral de Proteção de Dados Pessoais (LGPD), que entra em vigor em agosto de 2020, caso a MP 959 não seja votada, também vale para a Internet das Coisas (IoT).

“Algumas empresas já adotam uma série de metodologias de mercado, como a ISO 27000, e gerenciamento de segurança da informação em seus próprios sistemas para estarem em conformidade com a lei. Outras podem contratar fornecedores que prestem esses serviços, mas elas devem observar que essas práticas de segurança podem ser estendidas ao desenvolvimento de um ecossistema IoT”, finaliza.

Quer saber mais sobre segurança na Internet das Coisas? Confira, no infográfico abaixo, as principais vulnerabilidades e ataques que podem existir em um ecossistema IoT.

Compartilhe:

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *