Enigma da segurança cibernética: Quem é responsável por proteger redes de IoT?

Views: 74
0 0
Read Time:7 Minute, 44 Second

É difícil vencer ser capaz de dizer ao seu sistema de som para selecionar e reproduzir uma determinada música, ou pedir algo on-line usando apenas sua voz, ou ter sua geladeira dizendo quando você está ficando sem comida, ou ter sua impressora de escritório diagnosticar-se e exigir serviço automaticamente do fornecedor.

Recursos como este estão impulsionando a demanda por escritórios inteligentes, casas inteligentes, eletrodomésticos inteligentes, edifícios inteligentes e cidades inteligentes — tudo conectado através da Internet das Coisas (IoT).

A IoT é a rede de objetos físicos equipados com sensores, software e outras tecnologias para troca de dados com outros dispositivos e sistemas pela Internet. Estes incluem sistemas embarcados, redes de sensores sem fio, sistemas de controle, sistemas de automação residencial e predial e dispositivos domésticos inteligentes, bem como smartphones e alto-falantes inteligentes.

Havia 7,6 bilhões de dispositivos IoT ativos em todo o mundo no final de 2019 e serão 24,1 bilhões em 2030, de acordo com a empresa de pesquisa de transformação digital Transforma Insights.

Ursinhos de Pelúcia Conectados – Espere, o quê?

Certamente estimuladas pelas necessidades de trabalho de casa de 2020, as pessoas conectaram uma infinidade de dispositivos não comerciais às suas redes corporativas. Alguns são previsíveis e outros podem ser surpreendentes. Por exemplo, ursos de pelúcia e outros brinquedos, equipamentos esportivos como máquinas de exercícios, dispositivos de jogos e carros conectados, de acordo com o Relatório de Segurança Cibernética 2020 da empresa global de cibersegurança Palo Alto Networks.

O número crescente e a variedade de dispositivos ligados às redes IoT está tornando progressivamente difícil implementar a segurança cibernética, porque cada dispositivo é um ponto fraco em potencial.

Por exemplo, é possível hackear um grande número de carros conectados para fechar cidades causando impasse.

Edifícios inteligentes e até cidades podem ser invadidos para comprometer sistemas automatizados que controlam sistemas HVAC, alarmes de incêndio e outras infraestruturas críticas.

Intrusos digitais já acessaram casas através de termostatos inteligentes para aterrorizar famílias, aumentando o calor remotamente; e, em seguida, falando com os moradores através das câmeras conectadas à Internet.

Os efeitos da invasão provavelmente serão mais graves na indústria da saúde, onde falha ou sequestro de equipamentos colocará vidas em risco.

“Dispositivos médicos conectados – desde bombas de infusão habilitadas pelo WiFi até máquinas de ressonância magnética inteligentes – aumentam a superfície de ataque de dispositivos que compartilham informações e criam preocupações de segurança, incluindo riscos de privacidade e potencial violação das regulamentações de privacidade”, escreveu Anastasios Arampatzis, autor do fornecedor de segurança Tripwire.

Segurando os pés dos CEOs para o fogo

Então, quem será responsável pela segurança cibernética em uma rede de IoT? Os fornecedores de aparelhos ou equipamentos individuais? Quem é dono ou dirige a rede? A empresa ou organização que usa a rede IoT?

A empresa global de pesquisa e consultoria Gartner prevê que, até 2024, 75% dos CEOs serão responsabilizados pessoalmente por ataques ao que o Gartner chama de sistemas cibernéticos físicos (CPSs).

O Gartner define os CPSs como “sistemas que são projetados para orquestrar sensoriamento, computação, controle, rede e análise para interagir com o mundo físico, incluindo os humanos”.

Esses sistemas “sustentam todos os esforços de TI, tecnologia operacional (OT) e Internet das Coisas (IoT) conectados, onde considerações de segurança abrangem tanto os mundos cibernético quanto físico, como ambientes de infraestrutura, infraestrutura crítica e saúde clínica, intensivos em ativos e ambientes de saúde clínica”.

A OT consiste em hardware e software que detecta ou causa uma mudança em equipamentos industriais, ativos, processos e eventos através de monitoramento direto e/ou controle.

Em outras palavras, 75% dos CEOs podem ser responsabilizados por falhas de segurança de IoT até 2024.

Por que ceos? Como os reguladores e os governos aumentarão drasticamente as regras e regulamentos que regem os CPSs em resposta a um aumento de incidentes graves resultantes da falha na segurança dos CPSs, escreveu a vice-presidente de pesquisa do Gartner, Katell Thielemann. “Em breve, os CEOs não serão capazes de alegar ignorância ou recuar por trás das apólices de seguro.”

Responsabilizar os CEOs “é uma possibilidade definitiva e é consistente com a maneira como os CEOs são responsabilizados pela exatidão e legitimidade de seus atestados financeiros sob a Lei Sarbanes-Oxley de 2002”, disse Perry Carpenter, diretor evangelista e diretor de estratégia da empresa de treinamento de conscientização de segurança KnowBe4, ao TechNewsWorld.

A Lei Sarbanes-Oxley foi criada para reprimir fraudes corporativas.

A Associação Nacional de Diretores Corporativos (NACD) “percebe que a segurança cibernética e, por extensão, a segurança cibernética devem ser uma questão que chega até mesmo ao nível do Conselho de Administração”, disse Carpenter. “Ele emitiu orientações sobre como fazê-lo.”

As empresas podem comprar seguros cibernéticos, mas as apólices de seguro cibernético “são notórias por não pagar se a empresa não atender a uma alta excelência de segurança”, comentou Carpenter.

Além disso, “os órgãos reguladores não terão pressa em oferecer saídas fáceis para CEOs e empresas que podem ser comprovadamente negligentes”.

Uma abordagem baseada em riscos é viável?

Há um movimento entre as empresas para adotar uma abordagem baseada em riscos para a segurança cibernética, descobriu a empresa global de consultoria de gestão McKinsey & Co.

As abordagens baseadas em riscos para a segurança da informação permitem que as organizações adotem estratégias adaptadas ao seu ambiente operacional único, cenário de ameaças e objetivos de negócios, de acordo com a CDW, que fornece soluções tecnológicas para clientes de negócios, governo, educação e saúde nos EUA, Reino Unido e Canadá.

Eles permitem que os adotantes “entendam o impacto dos esforços de mitigação de riscos, fornecendo uma visão abrangente do risco e preenchendo lacunas que podem ser deixadas por outras abordagens de segurança. O uso de uma abordagem baseada em riscos se encaixa perfeitamente dentro das estratégias de gerenciamento de risco corporativo (ERM) que estão sendo adotadas por muitas organizações.”

“O risco é sempre parte da equação”, disse Carpenter. “O problema vem quando organizações ou CEOs têm uma tolerância inaceitável de alto risco ou simplesmente escolhem enfiar a cabeça na areia.”

É amplamente reconhecido que não existe um sistema totalmente seguro, então responsabilizar os CEOs pela falha de um CPS não seria um exagero?

“O objetivo não será ter 100% de proteção”, disse Carpenter, “mas sim garantir que haja o devido cuidado adequado na forma como os sistemas são arquitetados. Os CEOs não podem simplesmente levantar as mãos e usar [o fato de que 100% de segurança não existe] como desculpa, eles precisam construir com segurança e resiliência em mente.”

Apontar dedos não é tão simples

Apesar dos possíveis paralelos com a Lei Sarbanes-Oxley, a questão da culpa não será fácil de resolver.

“Em última análise, o CEO é responsável pela operação de sua organização, mas a realidade é mais matizada do que simplesmente ‘o dinheiro pára aqui'”, disse Saryu Nayyar, CEO da empresa global de cibersegurança Gurucul,ao TechNewsWorld.

“Os ataques cibernéticos são complexos e muitas vezes envolvem muitas peças em movimento”, disse Nayyar. “Colocar responsabilidade no CEO porque eles são o CEO pode não ser apropriado.”

Dito isto, os CEOs devem ser responsabilizados pessoalmente quando não estabelecerem um alto padrão para suas equipes de segurança ou garantirem que o padrão seja alcançado, observou Nayyar.

Não está claro quem seria ou deveria ser responsabilizado, disse Salvatore Stolfo, fundador e diretor de tecnologia da Allure Security, um aplicativo de segurança como serviço que protege contra golpes de phishing, disse à TechNewsWorld.

“São os CEOs de empresas que fabricam dispositivos IoT inseguros, ou os CEOs de empresas que os compram e implantam?”, perguntou ele. “Não há legislação vigente deixando claro quem, teoricamente, manteria a responsabilidade.”

Uma alternativa para responsabilizar pessoalmente os CEOs seria adotar a recomendação da Comissão de Solarium do Ciberespaço (CSC) para responsabilizar os fabricantes de dispositivos IoT por vender produtos defeituosos ou não fornecer recursos básicos de segurança, incluindo a capacidade de atualizar o software do dispositivo quando as vulnerabilidades de segurança se tornam conhecidas como recomendadas por, sugeriu Stolfo.

Esta é uma das 80 recomendações feitas pelo CSC, que foi criada em 2019 para desenvolver um consenso na defesa dos EUA no ciberespaço.

Como tornar as redes de IoT mais seguras

A Palo Alto Networks recomenda essas etapas para garantir redes IoT:

  • Empregue a descoberta de dispositivos para obter um inventário detalhado e atualizado do número e dos tipos de dispositivos conectados à sua rede IoT, seus perfis de risco e seus comportamentos confiáveis;
  • Segmente sua rede para conter dispositivos IoT em suas próprias zonas de segurança bem controladas, mantendo-os separados dos ativos de TI;
  • Adote práticas seguras de senha, substituindo a senha padrão de dispositivos IoT recém-conectados por dispositivos seguros aderindo às políticas de senha corporativa;
  • Continue corrigindo e atualizando o firmware quando disponível; E
  • Monitore ativamente dispositivos IoT o tempo todo.

Garantir redes de IoT requer uma combinação de comprar produtos seguros por design e tomar uma abordagem holística para a segurança, disse Andrea Carcano, co-fundadora de tecnologia operacional (OT) e da empresa de segurança IoT Nozomi Networks, disse à TechNewsWorld.

“Os profissionais de TI não podem mais se preocupar apenas com a segurança e conectividade de suas redes de TI”, disse Carcano. “Eles devem pensar na segurança de seus sistemas cibernéticos e físicos.”

FONTE: TECHNEWS WORLD

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *