A segurança em IoT precisa ser redobrada. Entenda por quê

A adoção da internet das coisas tende a se tornar quase mandatória com o avanço da quarta Revolução Industrial. Mas, com os ganhos de eficiência e competitividade, vêm também riscos e a necessidade de atenção redobrada à proteção contra ciberataques

A segurança em IoT precisa ser redobrada. Entenda por quê

Em março de 2021, um grupo de hackers anunciou a invasão do banco de dados de uma das mais destacadas startups do ramo de segurança do Vale do Silício. No ataque, foram acessados arquivos digitais com imagens de 150 mil câmeras de vigilância online. Entre as empresas expostas, estavam montadoras, outras empresas de tecnologia, escolas, hospitais e até departamentos de polícia. Segundo os hackers, o objetivo foi expor a disseminação e a vulnerabilidade da vigilância por câmeras. Mas a invasão acabou por mostrar também a dimensão que um ataque similar a estruturas que utilizam IoT, com outros objetivos, poderia ter. 

A ameaça é real e crescente, na medida em que, cada vez mais atividades do dia a dia dependem de equipamentos conectados à internet. Hoje, a tecnologia IoT já é adotada em muitas empresas, em muitos lugares, em atividades essenciais como, por exemplo, no controle da distribuição de água e energia. Há cada vez mais dispositivos “usáveis” para medir o desempenho em atividades físicas e, em breve, carros autônomos e drones serão comuns nas cidades. São apenas alguns exemplos, dentro de uma infinidade de aplicações da IoT. 

Em paralelo à expansão do número de dispositivos conectados, porém, cresce também o de ciberataques. Apenas no primeiro semestre de 2021, foram registrados 1,51 bilhão de violações de dispositivos de IoT no mundo. O número representou um aumento de mais de 100%, em relação aos 639 milhões registrados no mesmo período do ano anterior, de acordo com levantamento da Kaspersky, de sistemas antivírus.   

Outro estudo mais recente da empresa mostrou ainda que, apesar do aumento dos ataques, 43% das empresas têm alguma parte de suas infraestruturas de IoT sem nenhum tipo de proteção. Isso acontece por motivos que vão do receio de que a solução de segurança afete o desempenho da IoT, até a falta de pessoal qualificado nas equipes internas para lidar com a cibersegurança, afirma o estudo. 

Violações de dispositivos IoT mais que dobraram no mundo, no primeiro semestre de 2021

As consequências de negligenciar a segurança podem – e costumam – ser graves. Em uma lista do Departamento de Segurança Interna dos Estados Unidos sobre os riscos gerados pelo uso da tecnolgia IoT sem os devidos cuidados, estão elencadas a manipulação indesejada, por terceiros, do fluxo de informações, de ou para os dispositivos conectados; roubo de dados sensíveis, incluindo aí informações de clientes; e interrupção ou alteração do ritmo de operações comerciais e industriais, entre outras.     

Ignorar o avanço da IoT, no entanto, não é uma opção para empresas que querem se manter competitivas e ganhar mercado. Iniciativas de IoT vêm gerando bilhões de dólares anuais em valor para as empresas, através da redução de custos, ganhos de eficiência, redução de riscos e abertura de novas frentes de negócios. Com a chegada do 5G, o movimento tende a acelerar. Nas estimativas da McKinsey, até 2030, o montante deverá ficar entre US$ 5,5 trilhões e US$ 12,6 trilhões. 

Em parte, é por isso que o número de dispositivos conectados cresce em ritmo acelerado. De acordo com dados da IoT Analytics, no ano passado a alta foi de 8%, para 12,1 bilhões. Este ano, a previsão é de que o ritmo de expansão aumente, para 18%, e o número de dispositivos de IoT ativos alcance a marca de 14,4 bilhões no mundo.

Como elevar a segurança em IoT?

Há alternativas, contudo, para empresas que querem aproveitar todo o potencial da tecnologia sem se exporem a riscos desnecessários. A saída está na adoção de melhores práticas em processos e de soluções adequadas de infraestrutura, com o suporte de empresas experientes e agnósticas, capazes de aproveitar as melhores tecnologias disponíveis, independente de qual o fornecedor. Ou seja, a ideal para cada caso. 

A primeira coisa a se ter em mente é que não existe uma solução que sirva para todos os casos. Por isso, um projeto de qualidade em IoT contempla a segurança desde a etapa de design. Nem todos os dados e sistemas precisam ser protegidos com o mesmo rigor. Na decisão do que priorizar, consideram-se as peculiaridades de cada organização, o contexto de negócios, escalabilidade, os tipos mais comuns de ameaça, e os impactos que podem ter sobre a infraestrutura, dados e serviços.

A IoT cresce em ritmo acelerado em todo o mundo

Na hora de escolher o que será usado na infraestrutura de IoT, é importante lembrar também que, entre a imensa gama de dispositivos disponíveis, parcela significativa vêm sem mecanismos de segurança incorporados ou é incompatível com os sistemas de segurança mais comuns disponíveis no mercado. Uma vez escolhidos os dispositivos, é fundamental a troca das senhas e nomes de usuário padrão dos equipamentos por nomes de usuários e senhas difíceis de quebrar.

Mas criar um bom sistema de segurança de IoT não basta. Como a tecnologia avança, e cibercriminosos descobrem novas vulnerabilidades nos dispositivos e softwares, a redução de riscos em IoT demanda boas estratégias de atualização e de gerenciamento de vulnerabilidades. A checagem de vulnerabilidades pode ser feita de forma automatizada. Mas medidas como a atualização coordenada de softwares com fornecedores da empresa também ajudam a aumentar a segurança.

Outra parte importante da lista de melhores práticas de mitigação de riscos tem relação com a criação de uma cultura robusta de segurança dentro da empresa. Além de prevenir os empregados quanto aos golpes mais comuns no mercado, o ideal é que a empresa participe de grupos de compartilhamento de informações sobre cibersegurança com outras empresas. Assim, será possível comunicar vulnerabilidades, saber sobre as estratégias de invasão mais atuais usadas por hackers e receber ajuda rapidamente, em caso de qualquer problema. E, claro, tenha um plano efetivo de reação, que seja praticado com frequência.

Apesar de todas as medidas disponíveis, no entanto, como mostra o caso da startup de segurança invadida por hackers, não existe solução definitiva. Por isso, ter por perto fornecedores experientes que possam ajudar a checar e reduzir vulnerabilidades, é sempre uma garantia extra.