Como garantir a segurança em dispositivos IoT?

A segurança da internet das coisas (IoT) deve ser uma preocupação. Isso porque aumentou a frequência de ataques que afetam dispositivos IoT ou detectam falhas que as empresas de tecnologia tentam corrigir rapidamente com um patch. Concentrando-se na incorporação de novos recursos e tornando os dispositivos mais fáceis de usar e conectáveis, os fabricantes geralmente negligenciam um ponto crucial, a segurança.

Os usuários estão cientes dos problemas de segurança que afetam os dispositivos IoT. A pesquisa realizada pela Eset, empresa de detecção proativa de ameaças, indica que 70% dos entrevistados consideram que esse tipo de dispositivo não é seguro, principalmente em termos de privacidade; que é onde está a principal preocupação. No entanto, 62% acredita que não deixariam de comprar esse tipo de tecnologia por esse motivo.

“Como os ataques de IoT começaram a se tornar cada vez mais comuns, questões sobre sua segurança começaram a se concentrar em quando o próximo ataque aconteceria e quantos em quantos dispositivos seriam, em vez de quais medidas de segurança seriam implementadas para evitá-los”, diz Camilo Gutierrez, chefe do Laboratório de Pesquisa da Eset América Latina. As poucas garantias da IoT são apenas notícias sobre um aumento no investimento em soluções de segurança, conforme revelado pela Juniper em um estudo recente, que mostra que os gastos com proteção para a Internet das Coisas crescerão em 300% entre 2018 e 2023.

Dispositivos conectados de maneira insegura representam um problema sério, porque as vulnerabilidades existentes podem ser facilmente exploradas pelos criminosos para criar botnets e usá-las para seu próprio benefício. Desde ataques de negação de serviço, como os realizados com o botnet Mirai, à mineração de criptomoedas, as possibilidades para os invasores são muitas e, atualmente, há cada vez mais dispositivos com falhas que podem ser exploradas como resultado de um ataque.

Alguns meses atrás, um caso de roubo de dados em um cassino ficou conhecido. O ataque ocorreu por meio de um termostato inteligente em um aquário, por meio do qual cibercriminosos conseguiram se infiltrar na rede e acessar o banco de dados do cassino, roubando informações como nomes de altos apostadores e, em seguida, extrair os dados da rede para finalmente enviá-los para a nuvem.

Smart TVs, brinquedos conectados, câmeras IP, dispositivos de gravação e vários outros tipos de equipamentos podem ser vítimas de um ataque que se aproveita de vulnerabilidades existentes sem patches ou uma má política de gerenciamento.

No início deste ano, Tony Anscombe, especialista em segurança da Eset, conduziu uma investigação (que levou ao desenvolvimento de um whitepaper) no qual 12 produtos de IoT projetados para a criação de uma casa inteligente são analisados em profundidade. Sua análise confirmou que cada um dos dispositivos avaliados apresentava algum problema de privacidade.

Regulamentos podem forçar os fabricantes a alocar mais recursos para tornar seus dispositivos mais seguros, ao invés de concentrar investimentos em lançar revisões de tempos em tempos. “Esse caminho é muito mais longo e mais caro, já que não se trata apenas de determinar quais medidas mínimas devem ser aplicadas em um mundo em constante mudança como é o da segurança da informação, mas também de que ele deve ser adaptado à legislação de cada país. Seja qual for o método selecionado para tentar resolver este problema, a verdade é que todas as partes devem participar de sua solução. Dos fabricantes aos usuários, passando pelos legisladores e pelos pesquisadores que descobrem as vulnerabilidades. Além disso, os processos de revisão devem ser constantes para estarem atualizados em relação às ameaças e ataques existentes”, conclui Gutierrez.