Implicações de segurança para IoT

segurança de dispositivos IoT

Com o número de dispositivos conectados crescendo a cada dia – pesquisa Juniper Research indica que, até 2022, mais de 50 bilhões de dispositivos estarão conectados à IoT -, é essencial que todas as pessoas tenham uma maior compreensão da importância da segurança para a Internet das Coisas (IoT) e por que isso precisa ser levado muito à sério pelos usuários e empresas.

Com fabricantes investindo cada vez mais em dispositivos inteligentes, com sensores em veículos, lâmpadas, tomadas, eletrodomésticos e diversos outros aparelhos, esses sensores permitem que cada dispositivo se conecte a internet e se comunique com outros sistemas e dispositivos, aumentando exponencialmente o risco de fraudes e roubo de dados.

Vulnerabilidades em potencial


Dispositivos de IoT oferecem diversos recursos, mas também podem apresentar vulnerabilidades que colocam em risco dados pessoais e empresariais. Milhões de dispositivos não contam com criptografia de ponta ou senhas codificadas, trazem configurações de segurança falhas, e mesmo dispositivos que saem de fábrica com recursos de segurança, podem ser instalados sem que as pessoas os configurem corretamente; ou seja, estão apenas esperando que alguma falha seja utilizada para que essas informações mãos de criminosos.

Muitos dispositivos corporativos, que nunca foram conectados a internet, agora fazem parte de uma rede IoT. Roteadores, câmeras, impressoras estão entre os dispositivos que mais podem trazer problemas de segurança e criminosos cibernéticos estudam cada um deles para entender como funcionam e quais suas falhas de segurança e como essas vulnerabilidades podem ser usadas para uma invasão.

Especialistas em segurança apontam o botnet Mirai, e seus variantes, como um dos malwares que mais se beneficiam das vulnerabilidades dos dispositivos IoT e os criminosos cibernéticos estão focando nesses aparelhos e evoluindo seus ataques para dispositivos conectados em PDVs. Da mesma forma, grupos ligados a organizações governamentais também estão  mirando esses dispositivos para ataques de DDoS.

Como o foco é a facilidade de uso, implantação e oferecer produtos de baixo custo, a segurança acaba ficando em segundo plano.  Assim, é essencial que as empresas avaliem a função dos dispositivos IoT e qual sua real utilidade para os negócios antes de permitir que sejam integrados em suas redes.

Regulamentação


Além disso, é preciso entender que um dispositivo IoT pode não apresentar muito risco, mas à medida que ele conversa com outros dispositivos e acessa a dados na rede, a ameaça passa a ser real e isso torna necessário a criação de regulamentos e normas que obriguem às empresas a criarem dispositivos mais seguros.

Uma dessas medidas é a Lei de Segurança de Dispositivos IoT da Califórnia, que entrou em vigor no dia 1 de janeiro de 2020, e exige que os fabricantes implementem recursos de segurança razoáveis em seus produtos e que eles sejam apropriados à função dos dispositivos, aos dados que podem ser coletados ou transmitidos e que protejam o dispositivo contra acesso e uso não autorizados.

Da mesma forma, o NIST (Instituto Nacional de Padrões e Tecnologia), órgão do governo norte-americano, também lançou um guia que lista seis recursos de segurança recomendados para o uso de dispositivos IoT:

  • Identificação do dispositivo – número de série ou endereço exclusivo para se conectar a redes
  • Configuração – formas de um usuário autorizado alterar configuração ou firmware
  • Proteção – o fabricante precisa deixar claro como o dispositivo protege os dados
  • Acesso – o dispositivo deve ter acesso limitado à rede e precisa manter um log com a identidade dos usuários que acessaram ou tentaram acessa-lo
  • Atualização – o dispositivo precisa oferecer formas de atualização seguras e de fácil configuração
  • Registro de eventos – o dispositivo deve registrar eventos de segurança e tornar os registros acessíveis ao proprietário ou fabricante para que possam identificar vulnerabilidades e corrigi-las

Entretanto, enquanto essas recomendações não forem realmente seguidas por todos os fabricantes, o ideal é que os dispositivos IoT usem uma rede separada da rede da empresa, limitando o acesso de possíveis hackers; e que esses dispositivos sejam verificados regularmente para manter as atualizações de segurança em dia.

Com o Varonis DatAdvantage, você monitora e analisa todos os acessos a todos os arquivos da empresa, facilitando o rastreamento, monitoramento e a análise do comportamento dos usuários. Fale conosco e solicite um teste gratuito para saber como podemos manter os dados da sua empresa seguros.