Garantindo a segurança cibernética e a privacidade na Adoção de IoT
A Internet das Coisas ainda está no início, mas à medida que os dispositivos se tornam cada vez mais conectados em rede, as implicações de segurança começam a causar dores de cabeça para as empresas. Ao contrário dos consumidores, as empresas “serem hackeadas” se traduzem muito mais imediatamente em danos à reputação, perda de receita ou até mesmo pedidos de indenização.
O maior risco para a segurança online de uma empresa vem dos funcionários, diz Jack Warner, especialista em segurança cibernética da TechWarn . Uma equipe mal treinada ou a falta de políticas de TI claras incentiva o comportamento imprudente e o manuseio descuidado de dados confidenciais. Os funcionários podem não estar cientes dos recursos e riscos de um dispositivo ou ter a mentalidade avessa à segurança para notar vazamentos potencialmente prejudiciais.
Mais do que nunca, é importante para as empresas que todos os equipamentos de escritório sejam revisados por uma equipe de engenheiros preocupados com a segurança. Deve haver políticas claras para quais dados podem ser coletados pelos dispositivos e regras às quais os dados devem obedecer. Esta política deve ser aplicada igualmente aos dados coletados por dispositivos pertencentes e implantados pela empresa, bem como pertencentes aos funcionários.
Estudo de caso:dados do aplicativo de condicionamento físico
Em novembro de 2017, o aplicativo de condicionamento físico Strava divulgou dados coletados por seus usuários. Mesmo que os dados já estivessem anônimos, ainda geraram grande atenção quando analistas descobriram que os dados revelavam a localização de bases militares secretas, já que os soldados usavam seus dispositivos IoT de fitness enquanto corriam pela base, patrulhavam ou se exercitavam.
As rotas de treino delinearam o tamanho e a localização das bases, deram uma estimativa de quantos soldados estão estacionados lá e até mesmo qual poderia ser a frequência aproximada da patrulha. O vazamento de dados Strava representa um grande risco de segurança para a operação das forças dos EUA e é totalmente autoinfligido.
Informações como essa também podem facilmente prejudicar uma organização comercial. Locais de teste, locais de reconhecimento ou rotinas de entrega podem muito bem ser propriedade intelectual bem protegida de uma organização.
Existem muitos outros dispositivos IoT que os funcionários podem usar casualmente para revelar dados confidenciais. Os telefones dos funcionários podem registrar sua localização e também serem usados para tirar fotos. Os funcionários podem inadvertidamente compartilhar sua localização por meio da mídia social ou usar um aplicativo de scanner inteligente em seus telefones para converter dados confidenciais em PDF. As senhas podem ser coladas na pasta de rascunho de contas de e-mail pessoais ou as informações do cliente podem chegar à lista de contatos pessoais de um funcionário, de onde são enviadas para vários aplicativos.
Dispositivos em rede em escritórios
Quando a segurança da informação não é levada em consideração desde o início, o escritório típico pode já estar cheio de dispositivos que não respeitam a privacidade e criam vazamentos de segurança. Por exemplo, uma impressora pode reter documentos impressos por um longo tempo (ou até mesmo carregá-los online) e os purificadores de ar podem disponibilizar os dados coletados para um servidor central.
Mesmo sistemas como termostatos, lâmpadas ou fechaduras de portas geralmente vêm com recursos de rede e podem compartilhar seus dados com anunciantes ou pelo menos um serviço de nuvem central. No mínimo, isso abre oportunidades para que invasores ou concorrentes tenham acesso aos segredos da empresa.
Redes e intranets da empresa
Embora tenhamos nos tornado mais sensíveis às informações públicas, bancos de dados internos e redes de organizações ainda são frequentemente vistos como "seguros". Muitas vezes, é aqui que os hackers têm rédea solta e, uma vez dentro da rede, podem aproveitar sua posição privilegiada para se conectar a bancos de dados, infectar computadores com vírus ou sabotar equipamentos críticos.
Os roteadores estão entre os equipamentos mais negligenciados nas redes de escritórios. Embora os dispositivos dos funcionários recebam atualizações automáticas regulares e os servidores sejam uma grande preocupação, os roteadores raramente são inspecionados e não recebem atualizações. Mesmo assim, todo o tráfego da empresa passará por eles, e qualquer pessoa no controle do roteador pode interceptar, formar malformar, injetar ou alterar quaisquer dados enviados para a Internet e outros dispositivos internos.
Um bom roteador VPN não é difícil de encontrar, mas as diferenças de preço entre os modelos podem ser imensas e seus benefícios não são óbvios para o comprador e a operadora.
Dependência de provedores de hospedagem terceirizados
A maior ameaça às necessidades de privacidade de uma organização tornou-se o uso generalizado de serviços hospedados, incluindo e-mail, chat e gerenciamento de arquivos.
Embora alguns anos atrás ainda fosse relativamente comum para pelo menos grandes organizações gerenciar seus próprios servidores de e-mail e armazenar documentos em servidores internos, hoje são quase exclusivamente provedores de nuvem terceirizados. E-mails, bate-papos, documentos, código de software - quase nada resta dentro dos escritórios de muitas empresas.
Uma luta eterna
A forma como os serviços de Internet e os dispositivos da Internet das Coisas estão se desenvolvendo é muito contrária às necessidades de privacidade e segurança das empresas. Até agora, há pouca resistência ou demanda por serviços mais preocupados com a segurança.
A estratégia mais sustentável para as empresas pode ser limitar a quantidade de informações que coletam de seus clientes e hospedar essas informações junto com sua propriedade intelectual, em infraestrutura física autossustentada interna.
O autor deste blog é Jack Warner, especialista em segurança cibernética da TechWarn
Sobre o autor
Jack é um especialista em segurança cibernética com anos de experiência na TechWarn, uma agência digital confiável para empresas de segurança cibernética de classe mundial. Ele próprio um apaixonado defensor da segurança digital, Jack frequentemente contribui para blogs de tecnologia e mídia digital compartilhando percepções de especialistas sobre tópicos como ferramentas de denúncia e segurança cibernética.
Tecnologia da Internet das Coisas
- A segurança e a privacidade estão impedindo a IoT?
- A lei de melhoria da segurança cibernética da IoT:o que significa e como nos preparamos para isso?
- Simples, interoperável e seguro - realizando a visão da IoT
- Aproveitamento de dados IoT da borda para a nuvem e vice-versa
- A IoT e a computação em nuvem são o futuro dos dados?
- Atenuando os riscos cibernéticos da IoT e encontrando soluções
- IoT e cibersegurança
- IoT e sua compreensão dos dados
- IoT e AI avançam na tecnologia
- Dispositivos IoT avançam e se multiplicam, para aumentar 200% em 2021