Opinião do Especialista Segurança da Informação

Internet das Coisas – Riscos e Desafios desta Inovação Disruptiva (Paulo Pagliusi)

Publicado por Paulo Pagliusi

A IoT ou Internet das Coisas é definida pela ISO/IEC como uma conexão de entidades físicas (ou “coisas”) com sistemas de TI através de redes. Segundo estudo realizado pelo Gartner em fevereiro de 2017, até 2020 serão 20,4 bilhões de ‘coisas’ conectadas em todo mundo, e até 2021, de acordo com o IDC, US$ 1,4 trilhão terá sido gasto com investimentos nesse setor. Diante desse cenário, em que diversos dispositivos IoT tornarão nossas vidas mais automatizadas, seguras e convenientes, seria imprudente ignorar a importância da tecnologia na criação de grandes oportunidades de mercado para diferentes setores. De fato, IoT é a tecnologia de ponta que mais impulsionará a transformação dos negócios nos próximos anos, provocando inovações disruptivas na forma como se gera valor na economia e alavancando novos e valiosos mercados emergentes.

Neste contexto, vale destacar a frase de Peter Drucker: “toda inovação significa um risco; qualquer atividade econômica é de alto risco e, não inovar, é muito mais arriscado do que construir o futuro [inovando]”. Porém, enquanto as empresas têm aumentado o foco em tecnologias emergentes como IoT para transformar seus negócios, muitas não avaliam os riscos desta adoção. Na pesquisa KPMG & Forbes de fevereiro de 2018, intitulada: “Disruption is the New Norm”, feita com mais de 200 altos executivos, foi constatado que 46% deles não reavaliaram o acréscimo do risco às suas empresas, em face à adoção da tecnologia IoT. Eles deixaram de mensuram o quanto a adoção da IoT aumenta a potencial superfície de ataque aos seus ambientes de TI. Como resultado, a segurança passa a ser um dos principais desafios à efetivação da IoT no dia a dia das empresas.

Como a segurança ainda não é o foco da IoT, já que é algo novo até para os fabricantes que ainda estão padronizando técnicas de desenvolvimento seguro, entidades como a ABINC (Associação Brasileira de Internet das Coisas), estão criando um comitê para debater a segurança na IoT e contribuir na elaboração e promoção das melhores práticas de segurança. Junto com outras entidades e especialistas do tema ao redor do mundo, como IOTSF, ISF, ISA/IEC, OWASP, ISO/IEC, IISF e CSA, o desafio do grupo é proteger toda a cadeia física e camadas de software para tratamento massivo de dados produzidos pelos dispositivos da Internet das Coisas, além de ajudar a definir aspectos regulatórios e impactos jurídicos advindos da utilização da IoT, como a privacidade e proteção de dados pessoais.

Destaca-se que o Big Data coletado pelos dispositivos IoT abre muitas novas oportunidades de mercado, mas também gera novos riscos, incluindo ataques cibernéticos ou perguntas sobre a propriedade de informações, bem como questões de privacidade. Como resultado, o maior problema enfrentado pela IoT não será a comunicação entre dispositivos ou a coleta e a capacidade de compartilhar dados, mas sim a manutenção segura de dados. A vulnerabilidade global a atos maliciosos no ciberespaço está crescendo à medida que avança a tecnologia IoT e, se nada for feito, a cada vez maior superfície cibernética sujeita a ataques irá tornar o ambiente IoT um verdadeiro “paraíso” para ciberatacantes.

A falha em proteger um dispositivo IoT pode ter um impacto direto em muitos outros e, portanto, há uma necessidade crescente de se aplicar técnicas para fortalecimento da segurança, de modo a evitar que os riscos desta exposição sejam passados para sistemas mais importantes. Um fator preocupante é a exploração de vulnerabilidades cibernéticas em sistemas de infraestrutura, que está se tornando cada vez mais frequente, uma ameaça crescente à segurança geral das empresas e da sociedade.

Diante do exposto, seguem as cinco principais recomendações de segurança para os que desejam adotar IoT em suas empresas, mitigando os principais riscos:

  1. Considerar os requisitos de segurança na seleção de fornecedores de IoT;
  2. Homologar soluções de IoT em ambiente controlado de testes, segregado do ambiente de produção;
  3. Desabilitar serviços inseguros dos dispositivos IoT e alterar as senhas padrões dos fabricantes;
  4. Incluir os equipamentos no processo de gestão de vulnerabilidades da empresa. Atualizá-los constantemente, sempre que possível;
  5. Segregar as redes do ambiente IoT, preferencialmente em uma rede de gerência que faça uso de dupla autenticação e criptografia forte.

Sobre o autor

Paulo Pagliusi

Paulo Pagliusi, Ph.D., CISM

Sócio de Technology Risk Consulting da KPMG
Chairperson do Comitê de Segurança da ABINC
Diretor da ISACA Rio de Janeiro Chapter

Paulo Pagliusi é um dos palestrantes mais requisitados atualmente, tendo se apresentado em mais de 200 eventos.

Consultor Ph.D. in Information Security, pela Royal Holloway, University of London, Mestre em Ciência da Computação pela UNICAMP, Pós-Graduado em Análises de Sistemas, pela PUC - RJ, Paulo Pagliusi é também CEO da Pagliusi Cibersecurity, Vice-Presidente da CSABR (Cloud Security Alliance Brasil) e Vice-Presidente da ISACA (Information Systems Audit and Control Association), Rio de Janeiro, onde obteve a certificação internacional CISM (Certified Information Security Manager).

Atua há mais de 20 anos com segurança da informação, como coordenador e consultor em projetos, cursos e eventos, em organizações como: ITI e GSI - Presidência da República, Ministério da Defesa, Marinha, Petrobras, FINEP, AGU, Receita Federal, SERPRO, IRB-Brasil Resseguros, Fundação Atech e Ezute, nos temas de: governança de segurança da informação, gestão de riscos e auditoria de TI, estratégia e gestão de riscos cibernéticos, privacidade & proteção de dados, consciência situacional cibernética para Conselhos, resiliência de sistemas de informação, cloud computing e fraudes na Internet.

Vencedor do 8º Concurso Inovação na Gestão Pública Federal, recebedor do 5ª Prêmio “A Nata dos Profissionais de Segurança da Informação”, e dos Prêmios “Personalidade Brasileira Dos 500 Anos” e “Destaque Profissional 500 Anos de Brasil”. Com nome citado na RFC (Request for Comments) 5106 (2008), da IETF (Internet Engineering Task Force), é autor de vários artigos especializados e também do livro: Internet Authentication for Remote Access - Authentication Solutions for Internet Remote Access Networks Aiming Ubiquitous Mobility. Scholar's Press, Alemanha, 2013. Referência para o governo brasileiro como especialista no caso Snowden, durante as audiências públicas da Comissão Parlamentar de Inquérito do Senado Federal criada para investigar a espionagem norte-americana. É um dos mentores do Cyber Manifesto, que tem o objetivo de estimular o apoio e a criação de uma visão compartilhada para proteger o Brasil de ataques cibernéticos.

Comente