SlideShare uma empresa Scribd logo
1 de 40
Baixar para ler offline
05/2018
José Reynaldo Formigoni Filho, MSc
Gerente de Tecnologias de
Segurança da Informação e
Comunicação
Segurança em
Iot: conceitos e
padronização
Agenda
Visão geral sobre IoT
Padronização em IoT
Segurança em IoT
Exemplos de projetos
Considerações finais
Agenda
Visão geral sobre IoT
Padronização em IoT
Segurança em IoT
Exemplos de projetos
Considerações finais
O momento da IoT
Mas afinal, o que é IoT ?
Fonte: Plano Nacional de Internet das Coisas – IoT.BR. Minuta do decreto
Plano Nacional de Internet das Coisas - Decreto Presidencial
Art. 1º Fica instituído o Plano Nacional de Internet das Coisas – IoT.BR com a
finalidade de acelerar o desenvolvimento e a implementação da Internet das
Coisas, bem como definir seus objetivos, ambientes de aplicação, temas
transversais e estrutura de governança, nos termos do disposto neste Decreto.
Parágrafo único. A Internet das Coisas e seu ecossistema serão organizados com
base nos princípios da livre competição, da livre circulação de dados inter-
fronteiras, da segurança e privacidade para os usuários, da parceria entre público e
privado e entre diferentes níveis federativos.
O momento da IoT
Mas afinal, o que é IoT ?
Fonte: Plano Nacional de Internet das Coisas – IoT.BR. Minuta do decreto
Art. 2º Para fins deste Decreto, considera-se:
I – Internet das Coisas ou IoT: é a infraestrutura global que possibilita a prestação de serviços de
valor adicionado pela conexão (física ou virtual) de “coisas” com “dispositivos” baseados nas
tecnologias da informação e comunicação existentes e nas suas evoluções, com interoperabilidade e
não se confunde com a infraestrutura necessária para prestação de serviços de telecomunicações
entre pessoas nos termos da Lei 9.472, de 16 de julho de 1997;
II – Coisas: são, no que diz respeito à Internet das Coisas, objetos no mundo físico (objeto material) ou
no mundo digital (objeto virtual), que são capazes de serem identificados e integrados pelas redes de
comunicação;
III – Dispositivos: são, no que diz respeito à Internet das Coisas, uma parte de equipamento com
capacidade mandatória de comunicação e capacidade opcional de sensoriamento, atuação, coleta,
armazenamento e processamento de dados;
.
Agenda
Visão geral sobre IoT
Padronização em IoT
Segurança em IoT
Exemplos de projetos
Considerações finais
Por que ainda não chegamos lá?
Padronização
ITU Y.2060
Criou em 2011 a iniciativa de
padronização global em IoT (IoT-GSI).
Em 2012 essa iniciativa gerou o
documento Y.2060, intitulado “Overview
of the Internet of things”.
10/06/15: ITU standards to integrate
Internet of Things in Smart Cities
Fonte: http://www.itu.int/en/ITU-T/gsi/iot/Pages/default.aspx
Agenda
Visão geral sobre IoT
Padronização em IoT
Segurança em IoT
Exemplos de projetos
Considerações finais
Segurança em IoT
• O QUE OS ESPECIALISTAS PENSAM?
The Internet of Things Is Wildly Insecure—
And Often Unpatchable
Bruce Schneier – Wired - January 6, 2014
• Os sistemas embarcados, largamente utilizados em IoT estão crivados de vulnerabilidades, e não há
nenhuma boa maneira de corrigi-los.
• As indústrias que produzem os dispositivos para IoT não tem a mesma cultura em segurança da
informação e nem capacidade de lidar com este problema quando comparamos com a indústria de
sw e PCs, as quais tiveram que lidar com este problema no início da década de 90.
SEGURANÇA EM IOT: MODELO DE REFERÊNCIA DO ITU
Cidade
Inteligente
Transporte
Inteligente
Edifício
Inteligente
Energia
Inteligente
Indústria
Inteligente
Saúde
Inteligente
Moradia
Inteligente
Camada de suporte de
Serviço e Aplicação
Camada de
conetividade
Camada de
Dispositivos
Camada de
Aplicação
Capacidade de
Gerência
Capacidades
de Rede
Dispositivos Gateways
Capacidades
de Transporte
Suporte
Genérico
Suporte
Específico
Aplicações IoT
Capacidade de
Segurança
Autorização
Confiança e
Reputação
Gestão de Chaves
Criptográficas
Identificação
AutenticaçãoGestão de QoS
Gestão de
Dispositivos
Principais ameaças
Violação de
privacidade
DDoS
Negação de serviço
distribuída
Segurança do usuário
Perda financeira
DESAFIOS DA SEGURANÇA EM IOT
Grande quantidade de fornecedores e
diversidade dos dispositivos
Baixa maturidade em segurança
Dispositivos de baixo custo
Dificuldades para atualizações
Controles tradicionais não compatíveis
Maior superfície de ataque
SEGURANÇA IOT - CAMADA DE DISPOSITIVOS
O fabricante do dispositivo deve ser capaz de atender:
• Desenvolvimento de hardware seguro
• Hardware o mais restritivo possível
• Hardware e software embarcado à prova de
adulteração
• Mecanismos de atualizações segura
Requisitos de segurança para sensores:
• Funcionalidades de identificação e
autenticação
• Criptografia para:
• Integridade de dados armazenados
• Comunicação segura
Estado atual da segurança para dispositivos IoT merece atenção:
• Muitos dispositivos IoT já saem de fábrica com software desatualizado
• Suscetibilidade a software malicioso
• Potencial de persistência (longevidade) dos problemas de segurança e privacidade
• Falta de experiência e cultura de segurança dos fabricantes
SEGURANÇA IOT - CAMADA DE CONECTIVIDADE
Principais problemas:
• Vazamentos de dados
• Comunicação não autenticada
• Comunicação não encriptada
• Falta de isolamento de redes
• Falta de autenticação mútua
Os mecanismos de segurança utilizados:
• A segmentação da rede é fundamental para evitar a
propagação de ataques
• Boas práticas para as redes domésticas HAN:
segregação e uso de gateways
• Uso de SDN para alterar o comportamento da rede
dinamicamente
• TLS para a camada de transporte (TCP)
• DTLS para a camada de transporte (UDP)
SEGURANÇA IOT - CAMADAS DE SERVIÇOS E
APLICAÇÕES
Barreiras e maturidade:
• Processos de desenvolvimento inseguros
• Falta de cultura de segurança
• Processos de responsabilização dentro de uma cadeia de
fornecedores
• Integração dos processos de segurança contra acidentes e falhas
(safety) e segurança contra ataques (security)
• Processos de validação de segurança
Tendências:
• Troca de informação de segurança
• Divisão de responsabilidade sobre segurança entre os
atores
Tecnologias em destaque:
• Blockchain
• Ambiente de execução confiável (TEE).
Segurança em IoT: criticidade dos ativos
Arma
Stuxnet worm projetado
para atacar sistemas de
controle industriais
*Programmable Logic Controller – equipamento utilizado na automação de processos industriais
Tática
Explorou 4 vulnerabilidades 0-
day para modificar a
programação dos PLCs*
Alvo
Usinas de enriquecimento
de urânio iranianas
Caso 1 – Controles industriais
Em 2015
Miller e Valasek mostraram
explorações remotas e
reais de automóveis
utilizando a configuração de
fábrica
Em 2014
Charlie Miller e
Christopher Valasek
mostraram potenciais
problemas de segurança
em diversos automóveis
Caso 2 – Veículos conectados
Versão original: https://www.youtube.com/watch?v=bG2JJw6S0AE
Caso 2 – Veículos conectados
Padronização da segurança em IoT
Há consenso entre os especialistas que há necessidade de estabelecer regras de segurança
para os dispositivos que são conectados às redes de Internet das Coisas, pois muitos de seus
fabricantes não se preocupam com os requisitos de segurança no desenho dos chips, nem em
suas atualizações.
Padronização da segurança em IoT
• Iniciativa recente do NIST: consulta pública do
documento “Interagency Report on Status of International
Cybersecurity Standardization for the Internet of Things
(IoT) – fev 2018
• Objetivo: ajudar os órgãos de padronização e
desenvolvedores de tecnologia a desenvolver e padronizar
componentes, sistemas e serviços da IoT.
• Período da consulta: de 14/02 a 18/04/2018
Padronização da segurança em IoT
A European Union Agency for Network
and Information Security (ENISA), publicou
no final do ano passado um estudo
(https://www.enisa.europa.eu/publications
/baseline-security-recommendations-for-
iot) com o objetivo de fornecer
informações sobre os requisitos de
segurança da IoT, mapeando ativos
críticos e ameaças relevantes, avaliando
possíveis ataques e identificando boas
práticas e medidas de segurança a serem
aplicadas para proteger os sistemas de
IoT.
Padronização da segurança em IoT
• Working Group 1 - Self-Certification Scheme:
o objetivo deste grupo de trabalho é determinar
requisitos para um sistema de autocertificação
de baixo custo, acessível e prontamente
acionável, a fim de melhorar a qualidade e a
abrangência da segurança em produtos de IoT.
Responsável por manter o “IoT Security
Compliance Framework”;
• Working Group 2 - Best Practice Guides: têm
por objetivo produzir diretrizes de melhores de
segurança para diferentes classes de
dispositivos e sistemas.
Agenda
Visão geral sobre IoT
Padronização em IoT
Segurança em IoT
Exemplos de projetos
Considerações finais
Internet das Coisas: um plano de ação para o Brasil
• O BNDES, em parceria com o Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC)
está apoiando um estudo para o diagnóstico e a proposição de plano de ação estratégico para o país
em Internet das Coisas (Internet-of-Things - IoT).
• O estudo está sendo conduzido pelo consórcio McKinsey/Fundação CPqD/ Pereira Neto Macedo
selecionado por meio da Chamada Pública BNDES/FEP Prospecção nº 01/2016 – Internet das Coisas
(Internet of Things - IoT).
• Com o objetivo de realizar um diagnóstico e propor políticas públicas no tema Internet das Coisas para
o Brasil, o estudo está organizado em 3 grandes fases:
• Diagnóstico Geral e aspiração para o Brasil;
• Seleção de verticais e horizontais; e
• Aprofundamento e elaboração de plano de ação (2017 - 2022).
Proposta do Estudo de IoT: Apoiar a elaboração e implantação do
Plano Nacional de IoT
Em andamento
Diagnóstico e
Aspiração
Brasil
Seleção de
verticais
e horizontais
Investigação
de verticais,
elaboração da
Visão e Plano
Suporte à
implementação
III IV
▪ Desenvolver
benchmark de
projetos e
políticas de IoT
▪ Mapear roadmap
tecnológico de
IoT no mundo
▪ Analisar
demanda e
oferta de IoT no
Brasil
▪ Definir critérios
chaves para
seleção de
verticais e
horizontais
▪ Priorizar
verticais e
horizontais
▪ Aprofundar-se
nas verticais
escolhidas
▪ Elaborar Visão
para IoT para
cada vertical
▪ Elaborar Plano
de Ação 2017-22
▪ Apoiar e
acelerar a
implementação
do Plano de Ação
I II
Plano Nacional de
IoT em 1º
consulta
pública:
Diagnóstico
Dez/16
Plano Nacional de
IoT em 2º
consulta
pública: Plano
de Ação e
Metas
Plano Nacional
de IoT
em fase de
Implantação
[1] FEP - Fundo de Estruturação de Projetos
Verticais - ambiente de aplicação: saúde, cidades,
rural, indústria, logística, lojas, setor elétrico,
veículos, casas, etc
Horizontais – habilitadores: infraestrutura de
conectividade, ambiente regulatório, capacidade
de investimento, segurança e privacidade, etc.
Publicação de todo o Conteúdo do Estudo no site do BNDES
http://www.bndes.gov.br/wps/portal/site/home/conhecimento/estudos/chamada-publica-internet-
coisas/estudo-internet-das-coisas-um-plano-de-acao-para-o-brasil
Segurança cibernética no projeto
• Foram analisados 11 países, além da iniciativas da Comissão
Europeia
• Principais questões identificadas:
• Segurança, interoperabilidade e padronização são os
principais desafios para o avanço de IoT
• Segurança é a principal barreira para adoção do IoT na
Europa
• Divisão em três grupos:
• Arcabouço regulatório em estágio avançado: CE, EUA, Coreia,
Alemanha, Cingapura e Emirados Árabes
• Governo desenvolveu diretrizes e promove debates sobre o
tema - arcabouço regulatório em desenvolvimento: UK, Japão
e Suécia
• Iniciativas, discussões e arcabouço regulatório em estágio
inicial: China, Rússia e Índia
Segurança cibernética no projeto
• Para cada uma das camadas foram estudados os aspectos
tecnológicos relacionados com segurança cibernética:
• Dispositivos;
• Rede e conectividade;
• Suporte a serviços e aplicações;
• Um item específico de questões adicionais tais como:
• Pilares de segurança;
• Privacidade;
• Criptografia;
• Iniciativas, padrões e tendências
• Relação do players no Brasil relacionados com segurança
em IoT
IMPLANTAÇÃO DE SMART GRID NO BRASIL:
SITUAÇÃO ATUAL
• Pesquisa e
desenvolvimento
• Projetos pilotos
• Recursos
governamentais
Primeira onda
Smart Grid 1.0
• Implantação de estruturas
AMI
• Automação e
monitoramento da rede
Segunda onda
Smart Grid 2.0 •Abordagem multicamada e
multitecnologia
•Integração TI/TO
•Geração distribuída e
armazenamento
•Veículos elétricos
• Big data analytics
Terceira onda
Smart Grid 3.0
Developed
countries
Brasil
AÇÕES INTERNACIONAIS – MELHORES PRÁTICAS E
PADRONIZAÇÕES
International
Electrotechnical
Commission
ENERGY
AÇÕES INTERNACIONAIS – MELHORES PRÁTICAS
AÇÕES INTERNACIONAIS – CERTIFICAÇÕES E
FERRAMENTAS
ENERGY
TACIT – Threat Assesment Framework
for Critical Infraestructure Protection
Simulation tool for Smart Grids Cyber
Attacks - The final version has been
released!
ARQUITETURA AMI - UK
Fonte: Department of Energy & Climate Change - Smart Metering Implementation Programme.
AVALIAÇÃO DE SEGURANÇA DE MEDIDORES
TESTES FUNCIONAIS – VISÃO GERAL
• Número de modelos de medidores testados: 14
• Roteiro baseado no RTM 586 do Inmetro
• Requisitos funcionais:
• Características básicas
• Identificação do software
• Exatidão dos algoritmos e funções de medição
• Influência da interface de entrada de dados
• Proteção contra mudanças acidentais ou não intencionais
• Proteção dos parâmetros
• Carga de software legalmente relevante
• Teste sob condições adversas de instalação do medidor
Agenda
Visão geral sobre IoT
Segurança em IoT
Padronização na segurança do IoT
Exemplos de projetos
Considerações finais
COMENTÁRIOS FINAIS
• Estamos vivendo algo semelhante ao que aconteceu com TIC na década de 90
• Fabricantes de dispositivo não tem histórico no desenvolvimento de seguro:
necessidade de mudança de cultura
• As soluções de segurança e privacidade devem suportar diferentes contextos (casa,
trabalho, etc.) e também escalabilidade e interoperabilidade.
• O sucesso da IoT depende do desenvolvimento de um ecossistema suportado por
um apropriado arcabouço regulatório e um clima de confiança onde questões como
identificação, privacidade, segurança e interoperabilidade são essenciais.
• A padronização da segurança em IoT é um grande desafio dada a diversidade de
dispositivos e aplicações
• A discussão sobre o tema é recente e a maioria dos órgãos de padronização se
encontram ainda da fase de recomendações de melhores práticas.
TRANSFORMANDO
EM REALIDADE
w w w . c p q d . c o m . b r
José Reynaldo Formigoni Filho
reynaldo@cpqd.com.br
Cel.: (19) 998382321
Fixo: (19) 37057121

Mais conteúdo relacionado

Mais procurados

Aula 19 instalação de drivers de dispositivos
Aula 19   instalação de drivers de dispositivosAula 19   instalação de drivers de dispositivos
Aula 19 instalação de drivers de dispositivos
Marcos Basilio
 
Imei módulo3 sistema operativo
Imei   módulo3 sistema operativoImei   módulo3 sistema operativo
Imei módulo3 sistema operativo
teacherpereira
 
Tipos de Licença de Softwares
Tipos de Licença de SoftwaresTipos de Licença de Softwares
Tipos de Licença de Softwares
Lucas Castejon
 

Mais procurados (20)

Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdf
 
Internet das Coisas - Conceitos, tecnologias e aplicações
Internet das Coisas - Conceitos, tecnologias e aplicaçõesInternet das Coisas - Conceitos, tecnologias e aplicações
Internet das Coisas - Conceitos, tecnologias e aplicações
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Mercado de Trabalho em TI
Mercado de Trabalho em TIMercado de Trabalho em TI
Mercado de Trabalho em TI
 
Fundamentals of IoT Security
Fundamentals of IoT SecurityFundamentals of IoT Security
Fundamentals of IoT Security
 
Atividade acl extendida
Atividade acl extendidaAtividade acl extendida
Atividade acl extendida
 
Montagem manutenção de computadores
Montagem manutenção de computadoresMontagem manutenção de computadores
Montagem manutenção de computadores
 
Sistemas Digitais - Aula 04 - Internet das Coisas
Sistemas Digitais - Aula 04 - Internet das CoisasSistemas Digitais - Aula 04 - Internet das Coisas
Sistemas Digitais - Aula 04 - Internet das Coisas
 
Aula 19 instalação de drivers de dispositivos
Aula 19   instalação de drivers de dispositivosAula 19   instalação de drivers de dispositivos
Aula 19 instalação de drivers de dispositivos
 
Vulnerabilidades em Redes Wifi
Vulnerabilidades em Redes WifiVulnerabilidades em Redes Wifi
Vulnerabilidades em Redes Wifi
 
Imei módulo3 sistema operativo
Imei   módulo3 sistema operativoImei   módulo3 sistema operativo
Imei módulo3 sistema operativo
 
DevSecOps: Colocando segurança na esteira
DevSecOps: Colocando segurança na esteiraDevSecOps: Colocando segurança na esteira
DevSecOps: Colocando segurança na esteira
 
Chapter_1.pptx
Chapter_1.pptxChapter_1.pptx
Chapter_1.pptx
 
Aula - Modelos de Processos de Desenvolvimento de Software / Mobile App
Aula - Modelos de Processos de Desenvolvimento de Software / Mobile AppAula - Modelos de Processos de Desenvolvimento de Software / Mobile App
Aula - Modelos de Processos de Desenvolvimento de Software / Mobile App
 
Maquinas multinivel
Maquinas multinivelMaquinas multinivel
Maquinas multinivel
 
Overview of IoT and Security issues
Overview of IoT and Security issuesOverview of IoT and Security issues
Overview of IoT and Security issues
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
VLAN - Conceitos Básicos
VLAN - Conceitos BásicosVLAN - Conceitos Básicos
VLAN - Conceitos Básicos
 
Redes de Computadores - Aula 01
Redes de Computadores - Aula 01Redes de Computadores - Aula 01
Redes de Computadores - Aula 01
 
Tipos de Licença de Softwares
Tipos de Licença de SoftwaresTipos de Licença de Softwares
Tipos de Licença de Softwares
 

Semelhante a Segurança em IoT - conceitos e iniciativas de padronização

20141110 Apresentação UTFPR
20141110 Apresentação UTFPR20141110 Apresentação UTFPR
20141110 Apresentação UTFPR
Tiago Silveira
 

Semelhante a Segurança em IoT - conceitos e iniciativas de padronização (20)

Panorama de Segurança na Internet das Coisas
Panorama de Segurança na Internet das CoisasPanorama de Segurança na Internet das Coisas
Panorama de Segurança na Internet das Coisas
 
IoT + Blockchain: o mesh perfeito
IoT + Blockchain: o mesh perfeitoIoT + Blockchain: o mesh perfeito
IoT + Blockchain: o mesh perfeito
 
Aula1 io t
Aula1 io tAula1 io t
Aula1 io t
 
Plano Nacional de IoT e a Segurança Cibernética das Coisas
Plano Nacional de IoT e a Segurança Cibernética das CoisasPlano Nacional de IoT e a Segurança Cibernética das Coisas
Plano Nacional de IoT e a Segurança Cibernética das Coisas
 
IoT Internet das Coisas
IoT Internet das CoisasIoT Internet das Coisas
IoT Internet das Coisas
 
CLASS 2016 - Palestra Roberto Engler
CLASS 2016 - Palestra Roberto EnglerCLASS 2016 - Palestra Roberto Engler
CLASS 2016 - Palestra Roberto Engler
 
Robótica e Internet das Coisas - Palestrante: Tania Regina Tronco
Robótica e Internet das Coisas - Palestrante: Tania Regina TroncoRobótica e Internet das Coisas - Palestrante: Tania Regina Tronco
Robótica e Internet das Coisas - Palestrante: Tania Regina Tronco
 
(In)segurança em iot no setor elétrico
(In)segurança em iot no setor elétrico(In)segurança em iot no setor elétrico
(In)segurança em iot no setor elétrico
 
Internet das coisas
Internet das coisasInternet das coisas
Internet das coisas
 
Palestra - Os Trens da Internet das Coisas - Do Conceito Básico até sua Aplic...
Palestra - Os Trens da Internet das Coisas - Do Conceito Básico até sua Aplic...Palestra - Os Trens da Internet das Coisas - Do Conceito Básico até sua Aplic...
Palestra - Os Trens da Internet das Coisas - Do Conceito Básico até sua Aplic...
 
Symantec Protege Mais de 1 Bilhão de Dispositivos da Internet das Coisas (IoT)
Symantec Protege Mais de 1 Bilhão de Dispositivos da Internet das Coisas (IoT)Symantec Protege Mais de 1 Bilhão de Dispositivos da Internet das Coisas (IoT)
Symantec Protege Mais de 1 Bilhão de Dispositivos da Internet das Coisas (IoT)
 
Desafios do IoT
Desafios do IoTDesafios do IoT
Desafios do IoT
 
I SDTA - Mecanismos de Autenticação e Autorização de Dispositivos de Internet...
I SDTA - Mecanismos de Autenticação e Autorização de Dispositivos de Internet...I SDTA - Mecanismos de Autenticação e Autorização de Dispositivos de Internet...
I SDTA - Mecanismos de Autenticação e Autorização de Dispositivos de Internet...
 
QCon Rio 2015 - Workshop IoT: Sensores Conectados
QCon Rio 2015 - Workshop IoT: Sensores ConectadosQCon Rio 2015 - Workshop IoT: Sensores Conectados
QCon Rio 2015 - Workshop IoT: Sensores Conectados
 
Internet das Coisas (IoT): Indo além da conectividade
Internet das Coisas (IoT): Indo além da conectividadeInternet das Coisas (IoT): Indo além da conectividade
Internet das Coisas (IoT): Indo além da conectividade
 
Internet das Coisas e a Indústria 4.0
Internet das Coisas e a Indústria 4.0Internet das Coisas e a Indústria 4.0
Internet das Coisas e a Indústria 4.0
 
Internet das Coisas hoje
Internet das Coisas hojeInternet das Coisas hoje
Internet das Coisas hoje
 
IoT Fundamentals - Cenários, Aplicações e Segurança - Segurança Cibernética
IoT Fundamentals - Cenários, Aplicações e Segurança - Segurança CibernéticaIoT Fundamentals - Cenários, Aplicações e Segurança - Segurança Cibernética
IoT Fundamentals - Cenários, Aplicações e Segurança - Segurança Cibernética
 
Internet de Todas as Coisas (IoE)
Internet de Todas as Coisas (IoE)Internet de Todas as Coisas (IoE)
Internet de Todas as Coisas (IoE)
 
20141110 Apresentação UTFPR
20141110 Apresentação UTFPR20141110 Apresentação UTFPR
20141110 Apresentação UTFPR
 

Mais de José Reynaldo Formigoni Filho, MSc

Mais de José Reynaldo Formigoni Filho, MSc (8)

Blockchain no setor elétrico: conceitos, potenciais aplicações e iniciativas
Blockchain no setor elétrico: conceitos, potenciais aplicações e iniciativasBlockchain no setor elétrico: conceitos, potenciais aplicações e iniciativas
Blockchain no setor elétrico: conceitos, potenciais aplicações e iniciativas
 
Tecnologia blockchain: uma visão geral
Tecnologia blockchain:  uma visão geralTecnologia blockchain:  uma visão geral
Tecnologia blockchain: uma visão geral
 
Tecnologia Blockchain: uma visão Geral (CPqD)
Tecnologia Blockchain: uma visão Geral (CPqD)Tecnologia Blockchain: uma visão Geral (CPqD)
Tecnologia Blockchain: uma visão Geral (CPqD)
 
Smart metering security assessment in smart grid projects: the Brazilian Expe...
Smart metering security assessment in smart grid projects: the Brazilian Expe...Smart metering security assessment in smart grid projects: the Brazilian Expe...
Smart metering security assessment in smart grid projects: the Brazilian Expe...
 
Smart Grid Forum 2016 Segurança IoT v3
Smart Grid Forum 2016 Segurança IoT v3Smart Grid Forum 2016 Segurança IoT v3
Smart Grid Forum 2016 Segurança IoT v3
 
Gestão de Risco e Maturidade WS Aneel 2016 v3
Gestão de Risco e Maturidade WS Aneel 2016 v3Gestão de Risco e Maturidade WS Aneel 2016 v3
Gestão de Risco e Maturidade WS Aneel 2016 v3
 
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...
 
Smart grid projects and ciber security in brazil conference
Smart grid projects and ciber security in  brazil conference Smart grid projects and ciber security in  brazil conference
Smart grid projects and ciber security in brazil conference
 

Último

Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Dirceu Resende
 

Último (7)

Apostila e caderno de exercicios de WORD
Apostila e caderno de exercicios de  WORDApostila e caderno de exercicios de  WORD
Apostila e caderno de exercicios de WORD
 
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfFrom_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
 
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAEAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
 
Entrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiEntrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo Pagliusi
 
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
 
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPalestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
 
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
 

Segurança em IoT - conceitos e iniciativas de padronização

  • 1. 05/2018 José Reynaldo Formigoni Filho, MSc Gerente de Tecnologias de Segurança da Informação e Comunicação Segurança em Iot: conceitos e padronização
  • 2. Agenda Visão geral sobre IoT Padronização em IoT Segurança em IoT Exemplos de projetos Considerações finais
  • 3. Agenda Visão geral sobre IoT Padronização em IoT Segurança em IoT Exemplos de projetos Considerações finais
  • 4. O momento da IoT Mas afinal, o que é IoT ? Fonte: Plano Nacional de Internet das Coisas – IoT.BR. Minuta do decreto Plano Nacional de Internet das Coisas - Decreto Presidencial Art. 1º Fica instituído o Plano Nacional de Internet das Coisas – IoT.BR com a finalidade de acelerar o desenvolvimento e a implementação da Internet das Coisas, bem como definir seus objetivos, ambientes de aplicação, temas transversais e estrutura de governança, nos termos do disposto neste Decreto. Parágrafo único. A Internet das Coisas e seu ecossistema serão organizados com base nos princípios da livre competição, da livre circulação de dados inter- fronteiras, da segurança e privacidade para os usuários, da parceria entre público e privado e entre diferentes níveis federativos.
  • 5. O momento da IoT Mas afinal, o que é IoT ? Fonte: Plano Nacional de Internet das Coisas – IoT.BR. Minuta do decreto Art. 2º Para fins deste Decreto, considera-se: I – Internet das Coisas ou IoT: é a infraestrutura global que possibilita a prestação de serviços de valor adicionado pela conexão (física ou virtual) de “coisas” com “dispositivos” baseados nas tecnologias da informação e comunicação existentes e nas suas evoluções, com interoperabilidade e não se confunde com a infraestrutura necessária para prestação de serviços de telecomunicações entre pessoas nos termos da Lei 9.472, de 16 de julho de 1997; II – Coisas: são, no que diz respeito à Internet das Coisas, objetos no mundo físico (objeto material) ou no mundo digital (objeto virtual), que são capazes de serem identificados e integrados pelas redes de comunicação; III – Dispositivos: são, no que diz respeito à Internet das Coisas, uma parte de equipamento com capacidade mandatória de comunicação e capacidade opcional de sensoriamento, atuação, coleta, armazenamento e processamento de dados; .
  • 6. Agenda Visão geral sobre IoT Padronização em IoT Segurança em IoT Exemplos de projetos Considerações finais
  • 7. Por que ainda não chegamos lá? Padronização
  • 8. ITU Y.2060 Criou em 2011 a iniciativa de padronização global em IoT (IoT-GSI). Em 2012 essa iniciativa gerou o documento Y.2060, intitulado “Overview of the Internet of things”. 10/06/15: ITU standards to integrate Internet of Things in Smart Cities Fonte: http://www.itu.int/en/ITU-T/gsi/iot/Pages/default.aspx
  • 9. Agenda Visão geral sobre IoT Padronização em IoT Segurança em IoT Exemplos de projetos Considerações finais
  • 10. Segurança em IoT • O QUE OS ESPECIALISTAS PENSAM? The Internet of Things Is Wildly Insecure— And Often Unpatchable Bruce Schneier – Wired - January 6, 2014 • Os sistemas embarcados, largamente utilizados em IoT estão crivados de vulnerabilidades, e não há nenhuma boa maneira de corrigi-los. • As indústrias que produzem os dispositivos para IoT não tem a mesma cultura em segurança da informação e nem capacidade de lidar com este problema quando comparamos com a indústria de sw e PCs, as quais tiveram que lidar com este problema no início da década de 90.
  • 11. SEGURANÇA EM IOT: MODELO DE REFERÊNCIA DO ITU Cidade Inteligente Transporte Inteligente Edifício Inteligente Energia Inteligente Indústria Inteligente Saúde Inteligente Moradia Inteligente Camada de suporte de Serviço e Aplicação Camada de conetividade Camada de Dispositivos Camada de Aplicação Capacidade de Gerência Capacidades de Rede Dispositivos Gateways Capacidades de Transporte Suporte Genérico Suporte Específico Aplicações IoT Capacidade de Segurança Autorização Confiança e Reputação Gestão de Chaves Criptográficas Identificação AutenticaçãoGestão de QoS Gestão de Dispositivos
  • 12. Principais ameaças Violação de privacidade DDoS Negação de serviço distribuída Segurança do usuário Perda financeira
  • 13. DESAFIOS DA SEGURANÇA EM IOT Grande quantidade de fornecedores e diversidade dos dispositivos Baixa maturidade em segurança Dispositivos de baixo custo Dificuldades para atualizações Controles tradicionais não compatíveis Maior superfície de ataque
  • 14. SEGURANÇA IOT - CAMADA DE DISPOSITIVOS O fabricante do dispositivo deve ser capaz de atender: • Desenvolvimento de hardware seguro • Hardware o mais restritivo possível • Hardware e software embarcado à prova de adulteração • Mecanismos de atualizações segura Requisitos de segurança para sensores: • Funcionalidades de identificação e autenticação • Criptografia para: • Integridade de dados armazenados • Comunicação segura Estado atual da segurança para dispositivos IoT merece atenção: • Muitos dispositivos IoT já saem de fábrica com software desatualizado • Suscetibilidade a software malicioso • Potencial de persistência (longevidade) dos problemas de segurança e privacidade • Falta de experiência e cultura de segurança dos fabricantes
  • 15. SEGURANÇA IOT - CAMADA DE CONECTIVIDADE Principais problemas: • Vazamentos de dados • Comunicação não autenticada • Comunicação não encriptada • Falta de isolamento de redes • Falta de autenticação mútua Os mecanismos de segurança utilizados: • A segmentação da rede é fundamental para evitar a propagação de ataques • Boas práticas para as redes domésticas HAN: segregação e uso de gateways • Uso de SDN para alterar o comportamento da rede dinamicamente • TLS para a camada de transporte (TCP) • DTLS para a camada de transporte (UDP)
  • 16. SEGURANÇA IOT - CAMADAS DE SERVIÇOS E APLICAÇÕES Barreiras e maturidade: • Processos de desenvolvimento inseguros • Falta de cultura de segurança • Processos de responsabilização dentro de uma cadeia de fornecedores • Integração dos processos de segurança contra acidentes e falhas (safety) e segurança contra ataques (security) • Processos de validação de segurança Tendências: • Troca de informação de segurança • Divisão de responsabilidade sobre segurança entre os atores Tecnologias em destaque: • Blockchain • Ambiente de execução confiável (TEE).
  • 17. Segurança em IoT: criticidade dos ativos
  • 18. Arma Stuxnet worm projetado para atacar sistemas de controle industriais *Programmable Logic Controller – equipamento utilizado na automação de processos industriais Tática Explorou 4 vulnerabilidades 0- day para modificar a programação dos PLCs* Alvo Usinas de enriquecimento de urânio iranianas Caso 1 – Controles industriais
  • 19. Em 2015 Miller e Valasek mostraram explorações remotas e reais de automóveis utilizando a configuração de fábrica Em 2014 Charlie Miller e Christopher Valasek mostraram potenciais problemas de segurança em diversos automóveis Caso 2 – Veículos conectados
  • 21. Padronização da segurança em IoT Há consenso entre os especialistas que há necessidade de estabelecer regras de segurança para os dispositivos que são conectados às redes de Internet das Coisas, pois muitos de seus fabricantes não se preocupam com os requisitos de segurança no desenho dos chips, nem em suas atualizações.
  • 22. Padronização da segurança em IoT • Iniciativa recente do NIST: consulta pública do documento “Interagency Report on Status of International Cybersecurity Standardization for the Internet of Things (IoT) – fev 2018 • Objetivo: ajudar os órgãos de padronização e desenvolvedores de tecnologia a desenvolver e padronizar componentes, sistemas e serviços da IoT. • Período da consulta: de 14/02 a 18/04/2018
  • 23. Padronização da segurança em IoT A European Union Agency for Network and Information Security (ENISA), publicou no final do ano passado um estudo (https://www.enisa.europa.eu/publications /baseline-security-recommendations-for- iot) com o objetivo de fornecer informações sobre os requisitos de segurança da IoT, mapeando ativos críticos e ameaças relevantes, avaliando possíveis ataques e identificando boas práticas e medidas de segurança a serem aplicadas para proteger os sistemas de IoT.
  • 24. Padronização da segurança em IoT • Working Group 1 - Self-Certification Scheme: o objetivo deste grupo de trabalho é determinar requisitos para um sistema de autocertificação de baixo custo, acessível e prontamente acionável, a fim de melhorar a qualidade e a abrangência da segurança em produtos de IoT. Responsável por manter o “IoT Security Compliance Framework”; • Working Group 2 - Best Practice Guides: têm por objetivo produzir diretrizes de melhores de segurança para diferentes classes de dispositivos e sistemas.
  • 25. Agenda Visão geral sobre IoT Padronização em IoT Segurança em IoT Exemplos de projetos Considerações finais
  • 26. Internet das Coisas: um plano de ação para o Brasil • O BNDES, em parceria com o Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC) está apoiando um estudo para o diagnóstico e a proposição de plano de ação estratégico para o país em Internet das Coisas (Internet-of-Things - IoT). • O estudo está sendo conduzido pelo consórcio McKinsey/Fundação CPqD/ Pereira Neto Macedo selecionado por meio da Chamada Pública BNDES/FEP Prospecção nº 01/2016 – Internet das Coisas (Internet of Things - IoT). • Com o objetivo de realizar um diagnóstico e propor políticas públicas no tema Internet das Coisas para o Brasil, o estudo está organizado em 3 grandes fases: • Diagnóstico Geral e aspiração para o Brasil; • Seleção de verticais e horizontais; e • Aprofundamento e elaboração de plano de ação (2017 - 2022).
  • 27. Proposta do Estudo de IoT: Apoiar a elaboração e implantação do Plano Nacional de IoT Em andamento Diagnóstico e Aspiração Brasil Seleção de verticais e horizontais Investigação de verticais, elaboração da Visão e Plano Suporte à implementação III IV ▪ Desenvolver benchmark de projetos e políticas de IoT ▪ Mapear roadmap tecnológico de IoT no mundo ▪ Analisar demanda e oferta de IoT no Brasil ▪ Definir critérios chaves para seleção de verticais e horizontais ▪ Priorizar verticais e horizontais ▪ Aprofundar-se nas verticais escolhidas ▪ Elaborar Visão para IoT para cada vertical ▪ Elaborar Plano de Ação 2017-22 ▪ Apoiar e acelerar a implementação do Plano de Ação I II Plano Nacional de IoT em 1º consulta pública: Diagnóstico Dez/16 Plano Nacional de IoT em 2º consulta pública: Plano de Ação e Metas Plano Nacional de IoT em fase de Implantação [1] FEP - Fundo de Estruturação de Projetos Verticais - ambiente de aplicação: saúde, cidades, rural, indústria, logística, lojas, setor elétrico, veículos, casas, etc Horizontais – habilitadores: infraestrutura de conectividade, ambiente regulatório, capacidade de investimento, segurança e privacidade, etc.
  • 28. Publicação de todo o Conteúdo do Estudo no site do BNDES http://www.bndes.gov.br/wps/portal/site/home/conhecimento/estudos/chamada-publica-internet- coisas/estudo-internet-das-coisas-um-plano-de-acao-para-o-brasil
  • 29. Segurança cibernética no projeto • Foram analisados 11 países, além da iniciativas da Comissão Europeia • Principais questões identificadas: • Segurança, interoperabilidade e padronização são os principais desafios para o avanço de IoT • Segurança é a principal barreira para adoção do IoT na Europa • Divisão em três grupos: • Arcabouço regulatório em estágio avançado: CE, EUA, Coreia, Alemanha, Cingapura e Emirados Árabes • Governo desenvolveu diretrizes e promove debates sobre o tema - arcabouço regulatório em desenvolvimento: UK, Japão e Suécia • Iniciativas, discussões e arcabouço regulatório em estágio inicial: China, Rússia e Índia
  • 30. Segurança cibernética no projeto • Para cada uma das camadas foram estudados os aspectos tecnológicos relacionados com segurança cibernética: • Dispositivos; • Rede e conectividade; • Suporte a serviços e aplicações; • Um item específico de questões adicionais tais como: • Pilares de segurança; • Privacidade; • Criptografia; • Iniciativas, padrões e tendências • Relação do players no Brasil relacionados com segurança em IoT
  • 31. IMPLANTAÇÃO DE SMART GRID NO BRASIL: SITUAÇÃO ATUAL • Pesquisa e desenvolvimento • Projetos pilotos • Recursos governamentais Primeira onda Smart Grid 1.0 • Implantação de estruturas AMI • Automação e monitoramento da rede Segunda onda Smart Grid 2.0 •Abordagem multicamada e multitecnologia •Integração TI/TO •Geração distribuída e armazenamento •Veículos elétricos • Big data analytics Terceira onda Smart Grid 3.0 Developed countries Brasil
  • 32. AÇÕES INTERNACIONAIS – MELHORES PRÁTICAS E PADRONIZAÇÕES International Electrotechnical Commission ENERGY
  • 33. AÇÕES INTERNACIONAIS – MELHORES PRÁTICAS
  • 34. AÇÕES INTERNACIONAIS – CERTIFICAÇÕES E FERRAMENTAS ENERGY TACIT – Threat Assesment Framework for Critical Infraestructure Protection Simulation tool for Smart Grids Cyber Attacks - The final version has been released!
  • 35. ARQUITETURA AMI - UK Fonte: Department of Energy & Climate Change - Smart Metering Implementation Programme.
  • 37. TESTES FUNCIONAIS – VISÃO GERAL • Número de modelos de medidores testados: 14 • Roteiro baseado no RTM 586 do Inmetro • Requisitos funcionais: • Características básicas • Identificação do software • Exatidão dos algoritmos e funções de medição • Influência da interface de entrada de dados • Proteção contra mudanças acidentais ou não intencionais • Proteção dos parâmetros • Carga de software legalmente relevante • Teste sob condições adversas de instalação do medidor
  • 38. Agenda Visão geral sobre IoT Segurança em IoT Padronização na segurança do IoT Exemplos de projetos Considerações finais
  • 39. COMENTÁRIOS FINAIS • Estamos vivendo algo semelhante ao que aconteceu com TIC na década de 90 • Fabricantes de dispositivo não tem histórico no desenvolvimento de seguro: necessidade de mudança de cultura • As soluções de segurança e privacidade devem suportar diferentes contextos (casa, trabalho, etc.) e também escalabilidade e interoperabilidade. • O sucesso da IoT depende do desenvolvimento de um ecossistema suportado por um apropriado arcabouço regulatório e um clima de confiança onde questões como identificação, privacidade, segurança e interoperabilidade são essenciais. • A padronização da segurança em IoT é um grande desafio dada a diversidade de dispositivos e aplicações • A discussão sobre o tema é recente e a maioria dos órgãos de padronização se encontram ainda da fase de recomendações de melhores práticas.
  • 40. TRANSFORMANDO EM REALIDADE w w w . c p q d . c o m . b r José Reynaldo Formigoni Filho reynaldo@cpqd.com.br Cel.: (19) 998382321 Fixo: (19) 37057121