O documento discute os desafios crescentes de segurança da informação na era da Internet das Coisas (IoT). Com o aumento exponencial de dispositivos conectados, também crescem as ameaças de invasão e roubo de dados. Isso exige novas estratégias de proteção corporativa que integrem segurança em toda a cadeia de valor desde o desenvolvimento de produtos.
3. IoT3
ÍNDICE
1. Um mundo de coisas conectadas .................................................. 05
2. Cenário preocupante .......................................................................... 07
3. Tarefa fácil para o invasor ................................................................ 08
4. Como a companhia se previne ...................................................... 09
5. Referências .............................................................................................. 11
5. IoT5
1. UM MUNDO DE COISAS CONECTADAS
Apesar da cidade nas alturas e dos carros
voadores não terem se tornado realidade, muito
do que antigamente era somente visão futurista no
desenho animado Os Jetsons já faz parte do dia a dia.
Parecia improvável ler notícias em uma tela, como
fazia o pai da família espacial, mas as checamos em
tablets ou notebooks. As ligações por vídeo, que
pensávamos ser muito inovadoras, atualmente são
uma forma de comunicação usual, e inclusive os
relógios que realizavam chamadas se materializaram
nos chamados smartwatches.
Mesmo que o espaço não seja compartilhado
com empregados robóticos, é possível afirmar que
o futuro chegou. Wearable devices, nome dado aos
acessórios conectados carregados junto ao corpo
e que podem medir frequência cardíaca, pressão
sanguínea ou quantidade de passos, por exemplo,
e eletrodomésticos inteligentes, como televisores e
aspiradores autônomos, estão incorporados à rotina.
Com distintas funcionalidades, esses dispositivos
formam uma rede de “coisas”, independentes entre si,
que são capazes de se comunicar diretamente, sem
intermediação humana, utilizando a internet como
base. Essa é a definição que a consultoria internacional
IDC dá para Internet das Coisas (cuja sigla em inglês é
IoT, em referência a Internet of Things).
Há 13 bilhões de “coisas” conectadas no mundo e,
até 2020, a projeção é que sejam 30 bilhões, segundo
perspectiva da IDC. Com o crescimento da oferta, as
transformações se dão em ritmo acelerado. Falando
sobre casas inteligentes, por exemplo, já é possível
controlar à distância aspectos como iluminação,
climatização, informação sobre vazamentos de gás e
entrada de pessoas e há, até mesmo, geladeiras que
avisam seus donos sobre a hora de repor o estoque
de alimentos.
ONDE ESTÃO, OU ESTARÃO, OS DISPOSITIVOS CONECTADOS:
Fonte: IDC
CONSUMIDOR
GOVERNO
EMPRESAS
veículos
compras
saúde
atividade física
entretenimento
serviços de emergência
usuários
meio ambiente
energia
gestão do trânsito
serviços de inteligência
transporte
público
cadeia de valor
manufatura
serviços e automação
transporte
serviços
6. IoT
Médicos podem acompanhar remotamente condições
do coração de pacientes graças a marca-passos que
enviam informações de forma instantânea; sensores
comunicam sobre a necessidade de manutenção de
equipamentos; e, na agricultura, aparatos medem
espessura de caule e altura dos vegetais, indicando o
momento ideal para a colheita. É um universo enorme
de oportunidades, que promete otimizar processos e
gerar benefícios econômicos. No entanto, na medida
em que aumentam os pontos de conexão, elevam-
se, também, as ameaças de invasão de sistemas,
multiplicando o risco de roubo de dados.
Imagine, por exemplo, que por meio de uma geladeira
inteligentesejapossívelacessareinfectarcomputadores
de uma empresa ou que invasores tomem o controle
de um veículo no meio de uma estrada. Tais eventos
também não são ficção científica e merecem atenção
tanto por parte dos usuários quanto pelas companhias.
No mundo corporativo, o aumento da exposição e
possibilidades de vazamentos de informação mudam
o perfil dos investimentos destinados à segurança e à
hierarquização de profissionais orientados à proteção
de dados. Embora ainda haja um longo caminho a ser
percorrido, a necessidade de fazer da segurança da
informação uma estratégia estruturada ganha cada
vez mais protagonismo.
OS NÚMEROS NÃO MENTEM
Fontes: IDC e Symantec
Fonte: Gartner
Press Release do Gartner - Gartner diz que até 2020, mais da metade dos principais processos de negócios e sistemas incorporará
algum elemento de Internet das Coisas (14 de Janeiro, 2016): http://www.gartner.com/newsroom/id/3185623
6
de “coisas” conectadas no mundo
Atualmente há
em 2020
Este número vai chegar a
dos wearables vão se
converter em uma alternativa
aos smartphones
$$
dos
investimentos
em IoT
vêm de:
Manufatura
Transporte Cidades inteligentes
Aplicativos dirigidos ao usuário
Em 2020, um mercado
negro superior a
vai existir para vender dados de
vídeo e de falsos sensores para
permitir atividades criminais e
estimular a adoção de produtos
e serviços de privacidade
7. IoT7
2. CENÁRIO PREOCUPANTE
Apesar da praticidade e otimização de processos
do mundo hiperconectado, é importante fazer um
cálculo básico. Se, atualmente, registra-se a criação
de mais de um milhão de malwares por dia, segundo
o estudo Internet Security Threat Report 2016
(ISTR 2016), da Symantec, como será o cenário de
ameaças em 2020, quando o número de dispositivos
conectados deve ser duas vezes maior do que o
existente hoje em dia? Ao somar a esse cenário a falta
de consciência dos usuários sobre os riscos de não
proteger seus dados e dispositivos, a combinação
pode ser catastrófica.
As coisas conectadas podem servir tanto como
“aliados” estratégicos quanto “alvos” em ataque
DDoS (Distributed Denial of Service, ou negação de
serviço), explica Arthur Oreana, gerente de vendas
da Symantec no Brasil e especialista em segurança
com a certificação CISSP (Certified Information
Systems Security Professional). No primeiro caso, os
atacantes invadem dispositivos de IoT e os utilizam
para formar redes que perpetram as ações, sem
que os donos das “coisas” percebam. Isso significa
que seu smartwatch pode ser utilizado como um
“zumbi” para ajudar a tirar do ar os serviços online
de diferentes empresas, sem que você sonhe com
essa possibilidade. Na segunda opção, são ataques
feitos diretamente às coisas conectadas: uma invasão
a algum aparelho que incide na saúde do usuário ou a
sensores instalados em turbinas de aviões, para citar
apenas alguns exemplos.
Atualmente, 43% dos investimentos em IoT
vêm dos setores de manufatura e transporte, além
de cidades inteligentes e aplicativos dirigidos ao
usuário, segundo a consultoria IDC. Nos próximos
cinco anos, todas as empresas vão precisar de um
plano de negócios que inclua o conceito, já que todas
as indústrias, em certa medida, terão começado a
adotar iniciativas do tipo, estima a entidade.
OS RISCOS VÊM DE TODOS OS LADOS
Fonte: Symantec
Quase um milhão
de malwares
criados por dia
Transmissão de dados
pessoais, logins e senhas
sem criptografar
Aplicativos sem
políticas de
privacidade
Aplicativos
conectados a
diferentes domínios
ao mesmo tempo
Uso de dispositivos
para ataque DDoS sem
que o usuário saiba
Invasões a aparelhos
pessoais, colocando o
usuário em risco
WWW
8. IoT8
Já o Gartner prevê que até 2020 mais da metade
dos principais processos e sistemas de negócios vai
incorporar algum elemento da IoT, seja em grande ou
pequena parte de sua composição. Como resultado,
analistas de negócio e desenvolvedores de processos
centrados na informação deverão adquirir experiência
e ferramental para conseguir executar seu trabalho.
A natureza das soluções das coisas conectadas,
a forma como são implementadas e o tipo de dados
que geram e consomem exigem nova abordagem
de segurança e privacidade. Os riscos trazidos por
esse complexo e pouco familiar ambiente avançam
rapidamente. Em uma pesquisa realizada pela Symantec,
68% dos entrevistados afirmaram que negociariam sua
privacidade para utilizar gratuitamente uma aplicação.
“Isso é sumamente alarmante, dado que as pessoas
ainda não têm consciência suficiente sobre até onde essa
informação vai. Muitos consumidores se preocupam
com segurança mas, ironicamente, a maioria está
disposta a permitir acesso à sua informação pessoal”,
compara Juan Ávila, diretor de engenharia e pré-venda
da Symantec para México e Colômbia. “Temos leis que
protegem dados pessoais mas, como usuários, temos
de começar a nos educar”, ressalta.
Outro levantamento da Symantec revelou que 20
de cem aplicativos de saúde - setor no qual cada
vez há mais dispositivos conectados - transmitem
informação pessoal de usuários, logins e senhas sem
qualquer tecnologia de criptografia. Mais de 50 deles
não dispunha de políticas de privacidade e cada um
se conectava, em média, a cinco domínios diferentes
para serviços de propaganda e análise de dados.
3. TAREFA FÁCIL PARA O INVASOR
Quando o comportamento despreocupado do
usuário e a tecnologia mais acessível se aliam, o
resultado é um trabalho cada vez mais simples para
o invasor. Com diferentes portas de acesso a redes
pessoais, atualmente pode-se comprar um ataque ou
aprender por tutorial como promover um. A imagem
de um atacante altamente especializado em sistemas,
sentado diante de uma tela preta com letras verdes,
está cada vez mais ultrapassada. Ele utiliza, hoje,
engenharia social para identificar os interesses do
usuário – aonde vai, quais são suas redes sociais e
atividades regulares - e, por spam ou spear-phishing,
envia um ataque que pareça vir de uma pessoa ou
entidade conhecida, como empresa bancária ou
clube esportivo.
“A preocupação dos fabricantes deveria ser, a priori,
a segurança para todos os dispositivos conectados e
geralmente não é”, analisa Jessica González, gerente
de pré-vendas para o México da Nexsys, distribuidor
parceiro da Symantec. “Há uma indústria onde toda a
informação que geramos tem um preço”, diz Ivan Anaya,
engenheiro de sistemas da Symantec para o México.
Marca-passos ou aparelhos de medição de insulina
podem ser monitorados por internet e retroalimentam
bases de dados de hospitais e médicos. No cibercrime,
a área da saúde é o maior alvo de ataques e um registro
médico vale muito mais que dados de um cartão de
crédito porque não pode, simplesmente, ser destruído
ou substituído. Isso leva os hospitais a soluções de
segurança para que seus pacientes estejam protegidos.
O NOVO INVASOR
Fonte: Symantec
Tarefa mais facilitada
Encontra, na internet,
tutoriais que ensinam a
cometer cibercrimes
Envia ataques direcionados
Mira o empregado como
porta de entrada para
ataques corporativos
Usa engenharia social
para identificar hábitos
das vítimas
Contrata serviços de
organizações especializadas
em invadir sistemas
9. IoT9
Se um invasor divulgar contratos, dados confidenciais,
estratégia comercial ou, inclusive o estado de saúde
de um diretor, há impacto direto na companhia. “A
percepção de um líder fraco pode afetar os mercados”,
exemplifica Anaya, citando como exemplo o valor das
ações, que oscila conforme elevação ou redução da
confiança em determinada marca ou mercado. Tal
característica também amplia as chances do ataque
conhecido como ransomware, ou o sequestro de
dispositivos e aplicações, que exige o pagamento de
um resgate para restabelecimento do acesso ao device
ou sistema. O custo chega a alguns milhares de dólares
e costuma ser a única forma de resolução conhecida.
É possível se prevenir, mas para isso é imprescindível
tocar em um aspecto sólido como rocha na empresa:
sua cultura estratégica organizacional.
4. COMO A COMPANHIA SE PREVINE
Por conta da Internet das Coisas, todas as
empresas, inclusive as de origem puramente
analógica e que, hoje, não têm qualquer intimidade
com tecnologia, deverão considerar segurança da
informação em toda sua cadeia produtiva: desde
o desenho do produto ou serviço até entrega ao
cliente final. Dessa forma, a indústria automotiva,
por exemplo, terá de garantir que os sistemas de
seus carros sejam impenetráveis, do mesmo modo
que bancos protegem seus caixas eletrônicos e os
departamentos de atendimento de companhias de
diferentes setores asseguram informações pessoais
de seus clientes.
A IDC estima que para 2017, 90% dos centros
de dados e gestão de sistemas empresariais vão se
adaptar rapidamente a novos modelos de negócio,
incluindo planos formatados para IoT que integrem
mobilidade, cloud computing e analytics, entre
outros. Há quatro passos essenciais para o plano de
negócios em IoT, segundo a IDC:
Fonte: IDC
PLANO DE NEGÓCIOS DE IOT
Integrar ofertas de mobilidade, cloud
computing e analytics em uma única e
coerente plataforma IoT
Investir em soluções de
segurança que unam governança,
regulação e compliance
Tornar-se o ponto focal e central de
um amplo ecossistema baseado em
indústria e Tecnologia da Informação
Ser disruptivo com a cadeia
de suprimentos e agregar
inteligência a cada ponto
da cadeia de valor
10. IoT10
Além disso, a ampla rede de coisas conectadas
dilui a barreira entre dispositivos para uso pessoal
e profissional. Como os aparelhos pessoais não têm
os mesmos níveis de segurança que equipamentos
corporativos, os ataques miram os empregados, que
são o alvo mais fraco de acesso às redes. Cinco de cada
seis companhias com mais de 2,5 mil empregados são
vítimas de ataque cibernéticos e com tantos objetos
conectados simultaneamente à internet, o controle e
proteção dos dados transmitidos viram tarefas ainda
mais complexas.
Para tablets ou smartphones, o plano de proteção
pode ser mais simples, baseado em soluções de
gerenciamento de dispositivos, política de troca de
senhas e backups periódicos. Contudo, com IoT, não há
ação direta em grande parte dos dispositivos, apesar
de se tratarem de objetos inteligentes, que capturam
e transmitem informações. Se até um eletrodoméstico
aparentemente inofensivo como uma geladeira já foi
identificado como o canal de envio maciço de e-mails
maliciosos, manter uma visão estratégica antiga sobre
segurança da informação é um verdadeiro perigo.
“A rotina de segurança tem que ser muito melhor
estabelecida porque independe de intervenção
humana”, explica Anderson Figueiredo, consultor e e
palestrante de TI e Telecom. Segundo Jessica González,
com frequência as empresas se baseiam em medidas
tecnológicas individuais sem fazer um esquema
generalizado para identificar a eficácia das iniciativas
de segurança. Como muitos dispositivos usam sistemas
operacionais desatualizados ou não alinhados a
protocolos de proteção, a vulnerabilidade aumenta.
“Aindasofremosparacriarprocessoseprocedimentos
mas, acima de tudo, para segui-los”, diz Figueiredo.
O principal equívoco é encarar o investimento em
segurança da informação como um gasto. O tema
deve estar totalmente intrínseco à estratégia global do
negócio. “Quando a organização chega a esse nível,
atingiu o ponto ideal. Uma falha pode jogar pelo ralo o
lucro de muito tempo.”
1º
2º
3º
4º 5º
Se o futuro chegou para trazer mais facilidade e tecnologia para nosso dia a dia, é hora de adequar a forma de
pensar a segurança da informação para que o benefício não se transforme no motivador de um generalizado – e
hiperconectado – caos.
Fonte: “Internet Threat Security Report (ISTR) 2016”, Symantec
SETORES MAIS VIOLADOS QUANTO AO NÚMERO DE IDENTIDADES EXPOSTAS
60,6% 28% 6,5% 2,7% 1,4%
Serviços Financeiro Administração
pública
Atacado Varejo
259,9 120,12 27,86 11,79 5,8
Identidades Expostas (milhões)
11. IoT11
5. REFERÊNCIAS
2016 Internet Security Threat Report (ISTR 2016) - Symantec
Gartner diz que 6,4 bilhões de coisas conectadas estarão em uso em 2016, um aumento de 30% em relação a 2015 - Gartner
Gartner diz que em 2020, mais da metade dos principais novos processos de negócios e sistemas vai incorporar algum
elemento de Internet das Coisas - Gartner
Conectando a IoT: a estrada para o sucesso (1) – IDC
Conectando a IoT: a estrada para o sucesso (2) – IDC
Projetos IDC – Internet das Coisas - IDC
Instaurada Câmara de Gestão para comunicações máquina a máquina – Ministério das Comunicações