Empresas, cuidado:os dispositivos IoT são uma porta de entrada para ataques cibernéticos

A internet das coisas oferece às empresas um nível sem precedentes de visibilidade e controle sobre suas cadeias de suprimentos. Mas também abre a porta para ataques cibernéticos potencialmente incapacitantes.

Um novo estudo do Ponemon Institute revela um aumento acentuado nas violações de dados causadas por dispositivos IoT de terceiros inseguros. E sugere que os principais especialistas em segurança não estão fazendo o suficiente para impedi-los.

O terceiro estudo anual do instituto sobre risco de IoT de terceiros tem o subtítulo “As empresas não sabem o que não sabem”. Na verdade, a ignorância sobre os perigos dos ataques cibernéticos parece ter aumentado a vulnerabilidade de muitas empresas. As violações relacionadas à IoT aumentaram pelo menos 26% desde 2017, concluiu o estudo. (O número pode ser ainda maior, observam os autores, porque a maioria das empresas não tem conhecimento de todos os dispositivos ou aplicativos não seguros em suas instalações originados de fornecedores terceirizados.)

Em um momento em que as violações de dados estão se tornando endêmicas, a segurança cibernética não parece ser uma prioridade especialmente alta para muitas empresas - pelo menos quando se trata de investir recursos nessa área. A supervisão da alta administração é especialmente deficiente. De acordo com o estudo, menos da metade dos membros do conselho das empresas aprovou programas destinados a reduzir o risco de ataques cibernéticos de terceiros. Apenas 21% entendem totalmente a natureza desse risco e estão “altamente engajados” nas medidas de segurança necessárias para lidar com ele.

Quando se trata de antecipar o risco cibernético, a atitude predominante parece ser a de fatalismo. O estudo encontrou 87% dos entrevistados acreditando que suas próprias organizações enfrentarão um ataque cibernético causado por dispositivos ou aplicativos IoT inseguros nos próximos 24 meses. E 84 por cento esperam experimentar uma violação de dados dentro desse mesmo período.

A última versão do estudo baseia-se em 600 entrevistados qualificados e aproximadamente 450 empresas exclusivas, de acordo com Larry Ponemon, cofundador do Ponemon Institute. No que ele chamou de uma “amostragem eclética, mas interessante”, os participantes incluíram especialistas em TI, proteção de dados, tecnologia de terceiros e regulamentação.

"Terceiro" significa toda a gama de fornecedores, contratados, parceiros de canal e afiliados internos de fora da própria I.T. meio ambiente, observa Charlie Miller, consultor sênior do Programa de Avaliações Compartilhadas, uma unidade do The Santa Fe Group especializada na avaliação de risco de terceiros.

Dispositivos IoT externos normalmente assumem a forma de sensores, dispositivos inteligentes, impressoras, câmeras, termostatos ninhos, assistentes pessoais digitais ativados por voz - em suma, qualquer coisa que contenha eletrônicos que sejam capazes de se conectar à rede de uma empresa.

Apesar dessa panóplia de tecnologia não segura, grande parte da qual é introduzida na rede por meio dos dispositivos pessoais dos funcionários, a administração não vê isso como um grande risco, diz Ponemon. Miller acrescenta que o problema é agravado por um grande aumento no número de dispositivos IoT que chegaram ao mercado nos últimos anos.

Cada um desses dispositivos possui um endereço IP exclusivo e representa um ponto potencial de vulnerabilidade por meio do qual hackers ou ladrões cibernéticos podem acessar dados proprietários. Antes de permitir que qualquer um deles seja introduzido na rede, as empresas precisam entender exatamente o que os dispositivos pretendem fazer, que tipos de dados eles devem coletar e como essas informações serão transmitidas.

“Todas essas coisas são conceitos fundamentais que ainda não se cristalizaram neste enorme espaço de IoT”, diz Miller.

Diante desse ataque de ataques, por que as empresas não estão sendo mais pró-ativas para evitá-los? Ponemon sugere que o problema está na falta de responsabilidade dentro das organizações. Além disso, os dispositivos IoT são sedutoramente convenientes de usar, com os proprietários dando pouca atenção sobre como eles podem estar colocando em risco a segurança corporativa.

Miller vê alguns sinais de esclarecimento entre as equipes e organizações de segurança. Certos setores, como fabricantes de dispositivos médicos, estão mais focados no problema do que outros, principalmente porque estão sujeitos a regulamentações pesadas. (A Food and Drug Administration, por exemplo, tem “regras rigorosas sobre dispositivos a serem implantados em pessoas”, diz Miller.) Uma nova legislação, como a California Consumer Privacy Act, está restringindo o uso de merchandisers de dados de consumidores para fins de marketing. Além disso, os legisladores estão visando aos fabricantes medidas que exigiriam níveis mais altos de segurança integrada para dispositivos baseados em IoT. (Proibindo, por exemplo, o uso de senhas padrão fáceis de quebrar, que muitos usuários se esquecem de alterar.)

Outros esforços para aumentar a segurança cibernética estão sendo liderados por organizações como o Instituto Nacional de Padrões e Tecnologia, cujos padrões são aceitos globalmente, e a Autoridade Monetária de Cingapura, o banco central daquele país. Quatro das cinco recomendações deste último para aumentar a segurança estão incluídas no estudo Ponemon.

“Você precisa entender quais são os dispositivos que você possui em sua própria organização e que estão permitindo que sejam usados ​​por terceiros”, diz Miller. “E você precisa se certificar de que a forma como os dispositivos são conectados seja segmentada de seu departamento de produção. Portanto, se houver uma violação, haverá isolamento para um segmento de não produção de sua rede. ”

A educação é fundamental, diz Ponemon, enfatizando que a consciência do risco cibernético deve ir de cada funcionário até a diretoria, bem como aos parceiros externos da cadeia de suprimentos e clientes.

Miller diz que as empresas devem realizar casos de uso antes de se comprometerem com o uso de qualquer dispositivo IoT, para determinar o potencial de uso indevido. Por exemplo, sistemas de monitoramento encontrados em automóveis modernos podem permitir que hackers controlem o veículo remotamente. “A indústria de transporte está olhando para isso com muita seriedade”, diz ele.

No final das contas, tudo se resume à vigilância por parte do usuário. “A higiene cibernética é responsabilidade do indivíduo”, afirma Ponemon. “Isso é crítico. Não se trata apenas de IoT - trata-se de tudo. ”