Por que a segurança cibernética é essencial para a tranquilidade da segurança física

A era dos dispositivos conectados promete muitas coisas:combinando dados digitais de sistemas analógicos anteriormente desconectados, podemos fornecer novos insights e inovações para melhorar a eficiência e a segurança em nossas casas e locais de trabalho. A primeira regra de inovação, no entanto, deve ser "não causar danos", o que, no caso da Internet das Coisas (IoT), significa acertar os princípios básicos de segurança cibernética primeiro.

O ímpeto está mudando rapidamente nas áreas de vigilância por vídeo e segurança física. Embora a jornada para a nuvem tenha sido mais lenta do que em outros setores, cada vez mais os sistemas de CFTV, controle de acesso e áudio estão se tornando conectados à rede e, portanto, integrados às redes e processos de TI para oferecer proteção física mais inteligente.

Mas essa mudança para a nuvem também cria muito mais oportunidades de negócios. Dados de vídeo em tempo real de câmeras conectadas em rede, por exemplo, podem ser combinados com informações de outros sistemas para desenvolver novas fontes de valor de negócios por meio de análise de nuvem.

Isso pode ser visto em lojas de varejo, que normalmente implantam câmeras de vigilância de rede para prevenir ou identificar ladrões. Conectar essas mesmas câmeras a um pacote de análise de nuvem também pode dar aos gerentes de varejo a capacidade de detectar automaticamente o acúmulo de filas e gerar alertas, ou obter uma melhor compreensão do fluxo de tráfego em uma loja.

O risco sempre presente dos sistemas conectados

Mas se as empresas desconfiam das câmeras conectadas, têm um bom motivo para isso. O maior ataque de negação de serviço distribuído (DDoS) do mundo, que desativou muitos aplicativos populares da Internet, como Dropbox, Netflix, Uber e mais no final de 2016, foi lançado em parte a partir de centenas de milhares de câmeras de vigilância de rede comprometidas. O malware Mirai que direcionou o ataque assumiu o controle de dispositivos em rede testando combinações de nome de usuário e senha padrão comuns, como admin:admin.

Dois anos e meio depois desses grandes incidentes, ainda é o caso de muitos produtos de segurança física de nível profissional serem vendidos com pouca ou nenhuma consideração pelas melhores práticas de segurança cibernética e ainda falhando em testes básicos de supervisão, como credenciais padrão. A ênfase continua na velocidade de entrada no mercado e na redução de custos. Não há atenção suficiente para o controle de qualidade, desenvolvimento de produtos "seguro por design" e processos eficazes para suporte pós-venda com atualizações de firmware e controle de ativos.

Isso prejudica criticamente o potencial de desempenho desses dispositivos. Se a promessa da IoT em segurança física é a de um mundo melhor e mais seguro, isso não pode ser alcançado se o equipamento for capaz de introduzir novas vulnerabilidades na rede do cliente.

Os OEMs precisam se esforçar muito para garantir que os dispositivos sejam adequados para a finalidade e possam ser confiáveis ​​para inovação. Requer investimento em habilidades e processos internos, e comunicação clara e transparência em toda a cadeia de suprimentos. Cada componente atende aos padrões rigorosos que o cliente tem o direito de esperar?

Tão importante, entretanto, é o investimento que precisa ser feito na educação do usuário final. O mercado é altamente sensível ao preço e os clientes precisam de uma orientação clara para entender os riscos envolvidos na compra de equipamentos de fornecedores desconhecidos que não estão configurados corretamente.

E, além disso, a conscientização deve ir além do departamento de TI. Todos em uma organização precisam entender a importância dos processos de aquisição corretos, uma vez que o custo decrescente e a simplicidade de uso dos dispositivos IoT modernos tornam-nos difíceis de controlar. Um CIO pode ter a melhor estratégia em vigor, mas se um gerente de negócios está comprando equipamentos com um cartão de crédito e adicionando-os à rede corporativa, quem é responsável por garantir que os produtos sejam seguros?

Os regulamentos aumentaram a conscientização

Dito isso, as empresas estão se tornando mais conscientes dos riscos de segurança cibernética que os dispositivos conectados à rede apresentam, e 2018 viu muitas mudanças regulatórias para neutralizar as ameaças. O Regulamento Geral de Proteção de Dados (GDPR) começou a ser aplicado, assim como a Diretiva sobre segurança de redes e sistemas de informação (Diretiva NIS).

Ambas as diretivas impõem as mesmas penalidades financeiras substanciais em caso de incumprimento. Multas monetárias elevadas têm o potencial de debilitar as empresas, portanto, é imperativo que as empresas relevantes realizem a devida diligência para atender aos seus requisitos.

Já testemunhamos multas GDPR sendo impostas no Reino Unido e na UE relacionadas à implantação de sistemas de CFTV. Recentemente, foi relatado que hackers no Reino Unido invadiram os sistemas de CFTV das escolas e transmitiram imagens de alunos ao vivo pela Internet. Compreensivelmente, isso ganhou muita publicidade negativa; afinal, mandamos nossos filhos para a escola com a expectativa de que estarão seguros, e os sistemas de segurança existem para protegê-los em vez de colocá-los em risco.

Selecionar os parceiros de tecnologia certos é fundamental

Em nosso cenário de segurança convergente, selecionar o parceiro de tecnologia certo nunca foi tão importante. Os profissionais de segurança precisam reconhecer que a segurança cibernética não é apenas um problema de TI e compreender os riscos de segurança cibernética associados a um negócio relacionado à implantação de sistemas de segurança físicos e eletrônicos. Embora a digitalização da segurança física seja um espaço tremendamente empolgante para se estar no momento, para que continue, como setor precisamos abordar melhor a questão da segurança cibernética, e em breve.