por Lucas Souza

A Internet das Coisas, ou Internet of Things (IoT), deixou de ser uma tendência e vem se consolidando como um meio de transformação digital em diversas áreas de negócio e empresas. Essa capacidade de conectar o mundo físico com o mundo digital trouxe inúmeras possibilidades de aplicação, gerando produtos e serviços que passaram a integrar o dia a dia de milhares de pessoas, movimentando bilhões na economia e atraindo investimentos cada vez mais elevados do mercado.

Afinal, basta caminhar pela rua e, sem dificuldade, encontraremos alguém usando uma pulseira ou relógio inteligente. Dispositivos como lâmpadas e caixas de som inteligentes são cada vez mais comuns em nossas casas — e, nas empresas, tecnologias que analisam dados de sensores, termômetros, balanças e outros dispositivos inteligentes auxiliam a evitar perdas ou melhorar a eficiência.

Mas com a popularização destes dispositivos surgiram, ao mesmo tempo, preocupações quanto à segurança e gestão das vulnerabilidades pelos fornecedores — e isso não partiu apenas de especialistas, mas também dos próprios consumidores. Foi o que demonstrou um estudo, realizado em 2019 pela The Internet Society e Consumers International, em que usuários de vários países foram entrevistados: 53% revelaram não confiar na maneira como tais dispositivos protegem seus dados e sua privacidade, e 63% acham “assustadora” a forma como suas informações são coletadas.

Para entender melhor o real impacto que a quantidade gigantesca de aparelhos conectados pode causar ao serem usados para atividades maliciosas, podemos citar um famoso caso de DDoS (Distributed Denial-of-Service), ataque cujo objetivo é interromper o fornecimento de um serviço ou deixá-lo lento através do envio de milhares de requisições de diversos dispositivos, até que os recursos dos servidores se esgotem.

O caso foi divulgado pela Akamai em 2016, e ocorreu contra o website de um repórter especializado em cibersegurança. Com taxas de dados de até 620 gigabits por segundo (Gbps), a ação partiu de uma rede controlada remotamente pelos atacantes, composta por milhares de dispositivos IoT como câmeras de monitoramento e gravadores de vídeo presentes em diversos países. Até então, esse havia sido um dos maiores ataques já registrados na história.

Posteriormente, porém, esse caso foi ultrapassado por ataques com taxas muito maiores, chegando a terabits por segundo (Tbps) devido ao uso de redes cada vez maiores — e pela crescente utilização de produtos IoT pelos consumidores. Casos desse tipo são possíveis principalmente através da exploração de vulnerabilidades, muitas vezes com correções disponíveis, que podem comprometer esses dispositivos — e permitir que sejam controlados remotamente.

Mas DDoS são apenas um dos vetores de ataque amplificados pela criação desse ecossistema de IoT com milhares de dispositivos conectados, que foi acelerado pela liberação de novas tecnologias a partir da expansão do mercado. Em muitas situações, porém, isso fez com que as estratégias de segurança  na concepção dos produtos ficassem em segundo plano, criando novas oportunidades de ataque — e até mesmo expondo a novos riscos sistemas que antes estavam isolados e passaram a se conectar a essa infraestrutura.

É importante entender que trabalhar para mitigar estes riscos, através de uma estratégia de cibersegurança, ajuda a proteger a continuidade do negócio e gera maior confiança aos usuários. Para isso, existem alguns pontos importantes que devem ser considerados — e, entre eles, podemos citar:

  • criação de mecanismos de gerenciamento de senhas que tragam configurações padrão seguras e permitam que os usuários possam configurá-las facilmente — evitando passwords fracas e possibilitando o uso de um segundo fator de autenticação;
  • atualizações e correções de segurança periódicas de forma que seja possível efetuar, regularmente, checagens e aplicação de novas atualizações;
  • criptografia no acesso, armazenamento e a comunicação dos dados — principalmente através de interfaces de acesso, para proteger as informações do usuário;
  • criação de políticas de gestão e divulgação de vulnerabilidades, permitindo que sejam reportadas, endereçadas, corrigidas e divulgadas.

Com o constante aumento da preocupação criada em relação à segurança dos dispositivos IoT e a inexistência de consenso ou padrões de segurança — assim como o aumento de itens conectados —, as entidades governamentais e independentes passaram a se unir para criar guias ou normas que pudessem melhorar esse cenário.

Estes são, portanto, alguns dos guias que podem ser usados como base no desenvolvimento de dispositivos IoT:

  • NISTIR 8259ª, criado pelo National Institute of Standards and Technology;
  • C2 Consensus on IoT Device Security Baseline Capabilities, criado pelo Council to Secure the Digital Economy (CSDE);
  • IoT Security Best Practice Guidelines, criado pelo Hong Kong Computer Emergency Response Team Coordination Centre (HKCERT);
  • Code of Practice for consumer IoT security, criado pelo governo do Reino Unido.

Tais compêndios, vale ressaltar, definem um conjunto de recursos de segurança geralmente necessários para garantir a proteção de dispositivos e dados.

Surgiram, ainda, normas para especificar (e, futuramente, certificar) os recursos de segurança, base que todo dispositivo conectado precisa ter. Por exemplo:

  • EN 303 645, criada pelo ETSI;
  • ANSI/CTA-2088, criada pela Consumer Technology Associaton (CTA);
  • TEC 31318:2021, criada pelo Telecommunication Engineering Center (TEC) da Índia.  

A Califórnia, aliás, foi pioneira nesse sentido — e aprovou uma lei que obriga especificamente todos os dispositivos IoT vendidos no estado a implementar medidas razoáveis de cibersegurança. Deve-se observar, ainda, que as leis de proteção de dados, como a GDPR e LGPD, também são aplicáveis sob tal contexto.

Outro aspecto a ser considerado é que, com o aumento da demanda por dispositivos IoT e dos ataques, além da criação de normas e leis, a busca por profissionais de cibersegurança, principalmente especialistas em IoT, deve continuar aumentando. Em uma pesquisa conduzida em 2017 pela Inmarsat, 60% dos entrevistados relataram que precisavam de mais profissionais com experiência em cibersegurança. Ou seja, isso significa que esses especialistas são escassos — e que a demanda por certificações, treinamentos ou programas de requalificação focados em segurança em IoT deve aumentar cada vez mais.

Além disso, as empresas devem passar a buscar por soluções e serviços de segurança para auxiliar na execução de penetration testing nos produtos, certificação e análise de código ou binários, uso de elementos de hardware embarcados que implementem e lidem com questões de criptografia, autenticação e certificação, consultorias de segurança para implantação e auditoria de processos que sigam os princípios de Security by Design.

E os consumidores também podem se beneficiar destas mudanças, já que existem algumas iniciativas como a categorização em rótulos, usadas pela Cyber Security Agency of Singapore (CSA) e The Finnish Transport and Communications Agency (Traficom), cujo objetivo é demonstrar que o produto ou serviço foi avaliado e auditado, através de vários requisitos de segurança, e alcançou um nível mínimo de segurança — gerando, assim, mais confiança ao usuário e facilitando sua escolha sobre o que deseja adquirir.

Ao mesmo tempo, esse tipo de iniciativa aumenta a competitividade das empresas — que, ao investirem em segurança, passam uma mensagem de responsabilidade para o público, mostrando que consideram a segurança de seus produtos e serviços durante todo o processo de criação.