0
0
A Internet das Coisas (IoT) é e sempre será um assunto controverso para a segurança cibernética. Não pela comodidade que estes dispositivos acrescentam, mas pelo risco que injetam na vida das pessoas e das empresas.
Como profissionais de segurança cibernética, costumamos citar piadas cínicas para rir e lidar com a realidade de nossos trabalhos. Então me interrompa se você já ouviu esta: você sabia que o S em IoT significa segurança? Metade de vocês riu disso e a outra metade provavelmente levou um segundo para perceber que não há S ou segurança no acrônimo IoT.
Como profissionais de segurança cibernética, muitas vezes ficamos presos entre a cruz e a espada ao avaliar o risco que esses dispositivos representam para nós, pessoal e profissionalmente. Existem mais de um bilhão de dispositivos IoT na Internet, cada um com potencial para ser explorado. Uma empresa pode ter um imperativo de negócios atraente que uma solução de IoT pode habilitar, mas essa solução pode injetar um risco de segurança indevido para proteger a segurança e a produtividade. Uma câmera de segurança conectada por Wi-Fi pode dar tranquilidade ao proprietário sobre a segurança de uma propriedade, mas também pode expor essa propriedade a riscos adicionais de hackers que podem assumir o controle da câmera e abusar da plataforma.
Forças de mercado x fornecedores de IoT
Então, como nós chegamos aqui? A resposta fácil é: os fornecedores de IoT continuam falhando na implementação de controles sólidos de segurança cibernética. A resposta difícil é: o mercado continua a pressionar muitos fornecedores de IoT a oferecer produtos de menor custo e mais competitivos. Eles conseguem isso sacrificando ou negligenciando completamente a segurança cibernética para suas soluções.
Ao optar por não abordar a segurança, os fornecedores estão empurrando o risco para os consumidores que muitas vezes não percebem os perigos. Em soluções comerciais, isso pode ter sérias consequências. Uma instalação médica que depende de dispositivos IoT para gerenciar o atendimento ao paciente não pode resistir a uma interrupção sem colocar os pacientes em risco. Eles também não gostariam que os dados do paciente fossem expostos inadvertidamente devido a dispositivos IoT inseguros ou, pior ainda, que os cuidados médicos reais fossem interrompidos.
Então, como nós, como consumidores e dependentes da IoT, chegamos a esse estado insustentável de risco e segurança da IoT? As respostas, como sempre parecem fazer, acabam levando de volta ao dinheiro.
Existem alguns grandes nomes no espaço comercial e residencial da IoT. Estas são marcas de nome que quase todos podem reconhecer: Google, Huawei, Microsoft e outros. Embora essas empresas sejam maduras e responsivas às ameaças de segurança na IoT, são as empresas de nicho que são mais preocupantes.
Pontos de custo de IoT
Então, aqui está um experimento de pensamento. Imagine que você é uma pequena empresa de IoT e deseja desenvolver um produto de nicho que entrará em um mercado de IoT já lotado. Que tipo de custos são necessários para desenvolver o produto IoT? Alguns pontos de custo a serem considerados:
1. Pessoal de desenvolvimento qualificado é difícil de encontrar para IoT. Você precisará de uma equipe sólida de especialistas em hardware, rede, design de aplicativos, inteligência de negócios e automação para ajudar a colocar seu produto no mercado.
2. Os custos de hardware e software podem variar de pequenas a grandes somas de dinheiro. Quanto mais complexo o dispositivo e o serviço, maior o custo.
3. Qual é o modelo de conexão? Wi-Fi, Bluetooth, celular? Cada um adiciona mais ao custo, alguns mais do que outros.
4. Você deve projetar uma interface do usuário do produto! Se você pretende vencer com base nos méritos do seu produto, uma experiência de usuário tranquila é essencial.
5. E a segurança? Temos que usar criptografia? Que tal um protocolo seguro ou hardware com firmware seguro? Bem, a menos que haja um requisito regulatório, não há dinheiro para isso. Temos que manter os custos baixos se pretendemos competir.
Melhores etapas de desenvolvimento de segurança IoT
Embora o cenário seja uma generalização, não está longe da verdade. O desenvolvimento de um produto IoT com recursos de segurança aumenta os custos que muitas empresas não consideram ou optaram deliberadamente por negligenciar. Para complicar ainda mais as coisas, e se a empresa que fabrica um dispositivo IoT não o oferecer mais suporte ? Ou se essa empresa simplesmente fechar as portas?
Algo disso é solucionável? Até certo ponto, sim. As empresas geralmente podem enviar atualizações over-the-air (OTA) para produtos que podem resolver problemas de segurança. Eles também podem utilizar estruturas de serviços em nuvem que exigem segurança entre o dispositivo, a nuvem e a empresa. Os fornecedores também podem contratar terceiros externos para auditar e avaliar a solução de IoT. Um terceiro externo pode avaliar de forma justa e ajudar o fornecedor a lidar com vulnerabilidades no hardware ou software. Os desenvolvedores de aplicativos podem ser treinados em desenvolvimento de software seguro. O produto pode ser projetado com hardware robusto o suficiente para acomodar implementações seguras .
No entanto, todas essas coisas representam investimentos monetários que uma empresa deve fazer voluntariamente. E os investimentos são contínuos — com cada patch de dispositivo ou nova oferta de recurso, as mesmas avaliações de segurança precisam ser realizadas repetidas vezes.
É hora de subir
O que nós fazemos? O primeiro passo é educar os consumidores. Como profissionais de segurança, devemos fazer o nosso melhor para ajudar os outros a ter consciência situacional e ajudar a avaliar o risco. Isso, por sua vez, pode ajudar em investimentos de segurança que podem ajudar a mitigar as vulnerabilidades que alguns dispositivos IoT injetam em nossos modelos de risco.
Ajudar a denunciar práticas e empresas inseguras também pode ajudar. Temos uma oportunidade e uma posição únicas para ajudar a defender todos os que utilizam um dispositivo IoT e devemos usar nossas vozes para ajudar sempre que pudermos.
FONTE: DARK READING