IoT: está na hora de criar um modelo de segurança sólido para os aparelhos inteligentes

É graças à popularidade de certos aparelhos de fácil consumo (como o assistente de voz virtual da Amazon Echo, por exemplo), que o mercado da Internet das Coisas cresce a passos largos. Uma pesquisa realizada pela Ericsson prevê que em 2023 - daqui a apenas quatro anos - o número de conexões IoT via mobile atinja o patamar das 3.500 milhões ligações. Por outro lado, o DBS Bank estima que este setor alcançará o seu ponto de inflexão quando a taxa de utilização dos aparelhos inteligentes chegar aos 20%, já no final deste ano.

Prevendo-se que nos próximos anos um só indivíduo esteja conectado a pelo menos cinco dispositivos, é certo que estamos cada mais vulneráveis e expostos a ciberataques. Incluindo às ameaças que surgem no interior da nossa casa. E embora atualmente, a maioria dos utilizadores entenda o quão importante é protegerem os telemóveis, os computadores e os servidores das empresas com softwares de segurança, esta mesma sensibilidade não se aplica a outros dispositivos IoT, como fechaduras de portas inteligentes ou câmaras de videovigilância ligadas a redes IP.

Mas atenção: todos os aparelhos, desde que conectados à Internet, podem ser alvo de malware. Conscientes deste facto estão os hackers, concluiu a Kaspersky, numa pesquisa onde apurou que só no primeiro semestre de 2018 se contabilizaram três vezes mais amostras de malware em dispositivos conectados à Internet (121.588) do que durante todo o ano de 2017.

À medida que os ataques a aparelhos IoT crescem a um ritmo alarmante, aumenta também a necessidade da indústria de Cibersegurança desenvolver um modelo adaptado à IoT, mais maduro e eficiente.

Um ecossistema de segurança completo

Há histórias que ficam para a História. Uma delas aconteceu em 2013, na Target (cadeia de lojas norte-americana), e marcou o setor da cibersegurança. Na altura, o malware introduzido em múltiplos dispositivos dos pontos de venda resultou na exposição dos dados bancários de aproximadamente 40 milhões de clientes. Mais tarde, a investigação do caso descobriu que os autores do crime obtiveram acesso à rede da empresa ao roubarem as credenciais usadas por um técnico de reparação do ar condicionado, quando este ligou um dos aparelhos à rede wireless da Target.

Os sistemas de climatização incorporam vários elementos IoT, não só no controlo dos processos, como na comunicação entre as várias funcionalidades e no próprio acesso, que é cada vez mais remoto, permitindo aos técnicos obterem informação e resolverem problemas à distância, sem estarem em contacto direto com os aparelhos. Por serem inteligentes, estes dispositivos permitem novos métodos de trabalho, mais cómodos e práticos, mas também acarretam riscos, abrindo novas portas ao cibercrime.

O exemplo da Target ilustra na perfeição a necessidade de uma solução de segurança integrada, que atue eficazmente em todos os elementos que compõem o sistema de um aparelho IoT. A consolidação deste modelo permitirá, em casos como o da Target, otimizar os processos de segurança, sendo possível avaliar e planear o volume de trabalho que o estado de “segurança suficiente” da rede exige, não só ao nível do domínio de Cibersegurança como das práticas individuais, efetuadas por todos os colaboradores de uma empresa.

Uma tarefa desafiante

A diversidade cada vez maior de dispositivos e indústrias IoT dificulta o desenvolvimento de uma estratégia coesa de proteção. Diferentes aparelhos exigem diferentes níveis de “maturidade”, ao nível da segurança. Por isso mesmo, e embora seja uma tarefa complexa, os especialistas de cada área devem procurar uma metodologia específica e abrangente ao seu setor, com o objetivo de criarem um modelo “maduro” e integrado de segurança, aplicável a todo o ecossistema da Internet of Things.

Uma das principais vantagens deste modelo, aplicado à IoT, é que consegue gerar medidas de atuação contra ciberameaças ao longo de toda cadeia de negócio, que dão resposta a necessidades empresariais reais. Desta forma, é possível definir um estado de “segurança suficiente” para cada sistema organizacional, identificar os meios de proteção mais adequados a cada caso e ajudar os especialistas de Cibersegurança a aplicar os respetivos métodos.

Conteúdo co-produzido pela MediaNext para a Kaspersky