A falta de camadas de segurança cibernética em plataformas e equipamentos de Internet das Coisas (IoT) é um problema para o desenvolvimento dessas tecnologias, apontou Christine Bejerasco, CTO da F-Secure, em painel sobre segurança por design no MWC Barcelona 2022 (MWC 2022) nesta quarta-feira, 2. A executiva apontou para o fato de que o botnet Mirai ainda é uma ameaça, o que mostra como o setor é fraco.
“Seis anos atrás nós vimos chegar o Mirai. E mesmo depois de todo esse tempo, o Mirai e seu código ainda podem ser encontrados em malwares e botnets. Ou seja, ainda representa uma ameaça para a IoT, um segmento que tem hoje algo perto de 12 bilhões de dispositivos no mundo. São muitos equipamentos que podem sofrer ataques”, disse a executiva.
Maxim Dontsov, head do grupo de analistas de segurança da informação da Kaspersky, acredita que o volume de ataques seguirá igual no próximo trimestre. “IoT e sistemas embedados estão atraindo os criminosos digitais. O desenvolvimento e a venda de malwares de IoT estão se tornando uma indústria para eles”, explicou Dontsov. “É preciso entender que o que move o criminoso é dinheiro. E para o criminoso digital, brecha é dinheiro. E IoT tem um monte de problemas, como equipamentos que não estão atualizados e a falta de gerenciamento deles”, completa.
Brechas
Bejerasco afirmou que parte desse problema pode ser creditado à indústria de tecnologia que trabalha no formato “move fast and break things” (aja rápido e quebre coisas, na tradução livre para o português): “E essas empresas quebram muitas coisas”, completou.
Outro executivo, Ken Munro, sócio e pesquisador na Pen Test Partners, alertou para o apetite da indústria por colocar produtos de IoT ditos ‘smart’ na prateleira, porém sem segurança: “Nós temos muitos produtos ditos inteligentes que duvido que são necessários. Isso é um desafio. Quero dizer: quer fazer ‘smart device’, faça, mas pelo menos o faça seguro”, pediu.
“Internet das Coisas não é geladeira, chaleira ou brinquedo inteligente. Não é só casa conectada. É algo que pode ser direcionado contra nós, se não tiver camada de proteção. Um exemplo foi uma falha de API em uma estação inteligente de recarga de carro elétrico. Por meio dessa brecha era possível ligar e desligar o serviço de recarga elétrica, algo que poderia causar instabilidade na rede elétrica. Ou seja, uma abertura permite ao atacante usar a IoT como arma”, finalizou.
“Sabemos que muitos dos equipamentos de IoT são seguros. Outros não. O problema é que, se o hacker encontrar uma brecha em um produto, ele está dentro de uma plataforma. Foi o caso que investigamos de uma banheira conectada (ligava e desligava por app de celular). Uma falha na API desta banheira permitia entrar em outras tecnologias da plataforma, como telemática de caminhões e produtos médicos”, relatou Munro.
Jimmy Jones, head de segurança da ZARIOT, explicou que as empresas precisam começar a trabalhar com segurança no “DNA da IoT”, que é o device, a rede e a aplicação. Ou seja, é preciso olhar todo o ecossistema: “Se a empresa do device ou plataforma não assegurar cada aspecto desse DNA, não é seguro por design e isso afeta todo o ecossistema”, alertou.
Futuro
Jones explicou ainda que muitas operadoras estão sentindo a pressão do tema. Para resolver essa questão, o especialista de segurança para operadoras recomendou um trabalho de educação do consumidor para acessar produtos seguros, mas também a separação da rede via fatiamento ou com MVNOs para provedores e soluções de IoT que sejam seguras.
Por sua vez, Bejarasco lembrou que um dos problemas é a falta de profissionais qualificados para trabalhar com segurança em IoT: “Tem falta de material em IoT e falta de material em segurança cibernética. Portanto, se somar 2+2 dá para perceber que temos um problema de larga escala”.
Ainda assim, a profissional acredita que a evolução do debate para mais segurança, padrões e regulação em Internet das Coisas traz uma evolução ao setor. Mas entende que o problema de equipamentos inseguros de IoT deve perdurar por mais uma década, assim como acontece com versões antigas do Windows XP que ainda estão ativas, mas não têm mais proteção.