A Internet das Coisa (IoT, na sigla em inglês) é uma tendência que veio para ficar, mas ao mesmo tempo sua inserção na agenda de TI da indústria abre portas para uma série de riscos de segurança que ainda não estão no radar dessas empresas. Esses riscos se referem tanto aos próprios dispositivos, como a plataformas, redes e sistemas de operação com os quais estão conectados. O device conectado pode ser usado como um canal para ingresso à rede e assim iniciar um ataque massivo.
Esse tipo de ataque já está ocorrendo, e não é história de ficção – carros conectados já tiveram devices hackeados. Imagina o susto de ter o sistema de seu carro invadido? Isso sem falar no risco óbvio de um acidente. A preocupação é real e não é conversa de bar nem alarmismo, a internet das coisas e suas “coisas” são grandes portas de entrada para os hackers.
Segundo pesquisa do Gartner, até 2020 mais de 50% das grandes implementações de TI necessitarão de serviços de segurança em nuvem para funcionar com riscos aceitáveis. As previsões não são otimistas: até 2020 mais de 25% dos ataques identificados em corporações irão envolver IoT. Por outro lado, não se espera que as empresas se empenhem muito: apenas 10% do orçamento de segurança de TI serão direcionados à Internet das coisas. O mesmo estudo aponta que a proteção de dados, descoberta, autenticação e provisionamento serão responsáveis por 50% dos gastos em segurança em IoT até 2020.
Com pelo menos 25 bilhões de “coisas” conectadas até 2020, era de se esperar que o assunto merecesse mais atenção das empresas, mas ainda há uma briga entre tecnologia de operação e tecnologia da informação, resultando em soluções fracionadas para IoT. As soluções para o problema passam por operações conjuntas entre empresas tradicionalmente da TI e as companhias que fornecerão os equipamentos conectados. Exemplo: Google e seu Android e a Ford e seus carros conectados. A tendência é que ataques via IoT começarão a ser feitos “sob medida” para verticais industriais, o que impele as empresas a criarem soluções de segurança padronizadas e ao mesmo tempo sincronizadas com os riscos de cada indústria.
A questão é que nem os próprios usuários se preocupam com a segurança das suas senhas de seus devices e equipamentos conectados. Um sistema de segurança eficiente, com criptografia, autenticação, e proteção dos dados, em uma casa conectada, não seria suficiente para barrar um ataque de hackers se o dono da casa não mudar a senha default ou usar a mesma para todos seus dispositivos, e-mails e redes sociais. As empresas ainda têm outros desafios a enfrentar como, por exemplo, a duração da bateria dos dispositivos: um sistema de segurança mais avançado em um dispositivo conectado significa mais processamento, o que é igual a maior consumo de bateria.
Uma outra questão que tira o sono de quem pensa em segurança para IoT é a falta de padronização. Não existe uma padronização em arquitetura e segurança, entre os grandes sistemas operacionais de devices conectados, principalmente Android e iOS – o primeiro já rodando em milhões de dispositivos. O mercado tem poder para isso, a exemplo do padrão europeu de telefonia criado na Europa, o GSM. Porém, embora as grandes empresas de tecnologia já invistam em avançados sistemas de segurança, as iniciativas ainda não são integradas. No Brasil, já trabalhamos junto à Anatel e à Abinee para os testes de protocolo IPv6 para dispositivos mobile. Os próximos passos devem evoluir para dispositivos IoT, bem como sua segurança.