Segurança da IoT:como conduzir a transformação digital ao mesmo tempo que minimiza o risco

Em apenas alguns anos, a Internet das Coisas (IoT) remodelou radicalmente a maneira como vivemos e trabalhamos. Dos dispositivos em nossos pulsos e em nossas casas aos edifícios conectados e fábricas inteligentes em que passamos nossas vidas profissionais, isso está nos tornando mais seguros, mais felizes e mais produtivos, ao mesmo tempo que oferece novas oportunidades de crescimento para as organizações. A tecnologia está na vanguarda de uma revolução de transformação digital que já está permeando a grande maioria das empresas, ajudando a torná-las mais eficientes, ágeis e centradas no cliente.

No entanto, a expansão digital também significa maior risco digital:os números mais recentes revelam um aumento de 100% ano a ano em ataques de IoT. A chave para as equipes de TI, portanto, é apoiar o crescimento dos negócios ao mesmo tempo em que minimiza esses riscos cibernéticos por meio de práticas recomendadas de segurança adaptadas para a nova era conectada.

Tornando-se digital

A IoT percorreu um longo caminho em um espaço de tempo relativamente curto. O Gartner prevê que haverá 14,2 bilhões de coisas conectadas em uso em 2019, com o total chegando a 25 bilhões em 2021. Com esse volume crescente de dispositivos, veio uma explosão de dados. A Cisco estima que a quantidade total de dados criados por todos os dispositivos chegará a 600 zetabytes por ano até 2020, contra apenas 145 zetabytes anuais em 2015. Esta é uma enorme quantidade de dados - um único zetabyte é o equivalente a 1 bilhão de terabytes.

Por que a IoT começou a permear os ambientes de negócios tão completamente nos últimos anos? Uma pesquisa da Forbes Insights com 700 executivos em 2018 ajuda a explicar. Ele descobriu que 60% das empresas estão expandindo ou transformando novas linhas de negócios, um número semelhante (63%) está fornecendo serviços novos / atualizados aos clientes e mais de um terço (36%) está considerando novos empreendimentos comerciais. Nos próximos 12 meses, quase todos (94%) os entrevistados previram que os lucros cresceriam de 5 a 15% graças à IoT.

Os sensores IoT, os dados coletados e enviados para a nuvem para análise oferecem novas oportunidades importantes para aprimorar a experiência do cliente, otimizar processos de negócios complexos e criar novos serviços graças aos insights revelados. Isso pode incluir empresas de serviços públicos monitorando os primeiros sinais de alerta de vazamentos de água ou cortes de energia, empresas de manufatura melhorando a eficiência operacional no chão de fábrica e fabricantes de hardware fornecendo novos serviços pós-venda para clientes com base na manutenção preventiva.

O risco está em toda parte

O desafio que qualquer empresa enfrenta ao aumentar seu uso de sistemas IoT e IoT industrial (IIoT) é que ela terá expandido a superfície de ataque corporativo no processo. Uma rápida olhada nas Áreas de Superfície de Ataque IoT do OWASP documento ilustra quantos novos pontos de fraqueza possíveis são introduzidos. Eles vão desde os próprios dispositivos - incluindo firmware, memória e interfaces físicas / web - até APIs de back-end, sistemas de nuvem conectados, tráfego de rede, mecanismos de atualização e o aplicativo móvel.

Um dos maiores riscos para esses sistemas é que eles são produzidos por fabricantes que não têm uma compreensão adequada das melhores práticas de segurança de TI. Isso pode resultar em sérias fraquezas e vulnerabilidades sistêmicas que podem ser exploradas por invasores, desde falhas de software até produtos enviados com logins padrão de fábrica. Isso também pode significar que os produtos são difíceis de atualizar e / ou não há nenhum programa em vigor para sequer emitir patches de segurança.

Essas falhas podem ser exploradas em uma variedade de cenários de ataque. Eles podem ser usados ​​para violar redes corporativas como parte de uma invasão de roubo de dados ou sabotar processos operacionais importantes - seja para extorquir dinheiro da organização vítima ou simplesmente para causar o máximo de interrupção. Em um cenário mais comum, os hackers podem varrer a Internet em busca de dispositivos públicos ainda protegidos apenas por senhas padrão de fábrica ou fáceis de adivinhar / decifrar e recrutá-los para botnets. Este é o modelo usado pelos infames atacantes Mirai e posteriormente adaptado em muitos outros ataques imitadores. Esses botnets podem ser usados ​​para uma variedade de tarefas, incluindo negação de serviço distribuída (DDoS), fraude de anúncios e disseminação de cavalos de Troia bancários.

No escuro

A dificuldade para as equipes de segurança de TI geralmente é ganhar visibilidade sobre todos os endpoints de IoT na organização, e alguns dispositivos de IoT detectados podem frequentemente estar operando sem o conhecimento do departamento de TI. Este fator sombra de TI é, de muitas maneiras, o sucessor do desafio de BYOD empresarial - exceto em vez de telefones celulares, os usuários estão trazendo wearables inteligentes e outros aparelhos que então se conectam à rede corporativa, aumentando o risco cibernético. Considere uma smart TV sendo sequestrada por invasores para espionar reuniões de diretoria, por exemplo, ou uma chaleira inteligente em uma cafeteria usada como ponte de comando para lançar um ataque de roubo de dados contra a rede corporativa.

Pior ainda para os chefes de segurança de TI é que eles precisam gerenciar esse risco cibernético crescente com menos profissionais qualificados para recorrer. Na verdade, a demanda por funções de IoT aumentou 49% no quarto trimestre de 2018 em relação aos três meses anteriores, de acordo com um grupo de recrutamento.

Reguladores atualizam

O impacto de qualquer ameaça cibernética importante relacionada à IoT pode ser grave. Perda de dados, interrupções de sistemas de TI, interrupção operacional e similares podem causar danos financeiros e de reputação. O custo de investigação e correção de uma violação de segurança pode ser proibitivo. Uma interrupção séria pode exigir um grande investimento de fundos nas horas extras da equipe de TI. As multas regulatórias são outro custo cada vez mais importante a se ter em mente. Não existe apenas o GDPR a ser considerado para quaisquer problemas que afetem os dados pessoais de clientes ou funcionários, a Diretiva NIS da UE também determina as melhores práticas de segurança para empresas que operam em setores críticos específicos. Ambos carregam as mesmas multas máximas.

Essa supervisão regulatória está invadindo os dois lados do Atlântico. Uma nova proposta de legislação nos EUA exigirá que o Instituto Nacional de Padrões e Tecnologia (NIST) elabore diretrizes mínimas de segurança para fabricantes de IoT e exigirá que as agências federais comprem apenas de fornecedores que atendam a esses padrões básicos.

Visibilidade e controle

Se aprovada, esta legislação dos EUA poderia muito bem se basear em um padrão europeu ETSI TS 103 645, que por si só foi baseado em um código de prática proposto pelo governo do Reino Unido para a indústria. É certamente um grande começo e, esperançosamente, levará a indústria a estar mais atenta à segurança, ao mesmo tempo que capacita consumidores e empresas a buscarem os produtos mais seguros do mercado. Mas, na realidade, vai demorar um pouco para que essas etapas cheguem ao mercado e, mesmo assim, as organizações já podem estar executando milhares de endpoints de IoT legados e inseguros.

As equipes de segurança de TI devem agir agora, obtendo uma visão melhorada de seu ambiente de IoT. As ferramentas de gerenciamento de ativos de TI devem ser capazes de ajudar aqui, fornecendo a primeira etapa muito importante:visibilidade. Em seguida, certifique-se de que o firmware do dispositivo esteja atualizado por meio de ferramentas automatizadas de gerenciamento de patches e que este processo seja monitorado para garantir que está funcionando corretamente - algumas atualizações de segurança estão enterradas profundamente em um site do fornecedor e requerem intervenção humana para garantir que foram habilitadas . Além disso, as equipes de TI devem verificar se todos os nomes de usuário / senhas são alterados imediatamente para credenciais fortes e exclusivas. Melhor ainda, substitua-os pela autenticação multifator. Outras práticas recomendadas podem incluir criptografia de dados em trânsito, monitoramento contínuo de rede, gerenciamento de identidade, segmentação de rede e muito mais. Finalmente, não se esqueça do aspecto pessoal da cibersegurança:os funcionários devem ser ensinados a compreender os riscos de segurança associados à IoT e como usar sistemas e dispositivos com segurança.

Essa é a maneira de obter mais valor de quaisquer iniciativas de IoT, sem expor a empresa a riscos extras desnecessários. É necessária apenas uma violação séria de segurança para minar o crescimento impulsionado pela inovação, tão vital para o sucesso dos negócios digitais modernos.