Os ataques cibernéticos à Internet das Coisas (IoT) aumentam a cada dia e, infelizmente, estão se tornando mais sofisticados, difundidos e destrutivos para qualquer negócio. Temos acompanhado um grande número de exemplos em que centenas de milhares de dispositivos conectados foram atacados por malware que se espalhou por toda a rede, infectando PCs, servidores e ativos internos com ransomware, mineradores de criptografia, cavalos de Troia, botnets e muito mais.
Com um aumento de 41% nos ataques cibernéticos contra dispositivos de IoT só este ano, é imperativo que reforcemos estes dispositivos vulneráveis com segurança de ponta e também por meio de regulamentações. De acordo com a Statista, prevê-se que o número de dispositivos de Internet das Coisas (IoT) em todo o mundo quase duplique, passando de 15,1 bilhões em 2020 para mais de 29 bilhões de dispositivos IoT em 2030.
Nos Estados Unidos, a Lei de Melhoria da Cibersegurança da IoT foi aprovada em 2020 e o Instituto Nacional de Normas e Tecnologia (NIST) foi incumbido de criar uma norma de cibersegurança para dispositivos IoT. Em outubro de 2022, a Casa Branca emitiu uma ficha informativa para implementar um rótulo para dispositivos IoT, começando com roteadores e câmaras domésticas que indicam o seu nível de cibersegurança.
Na União Europeia, o Parlamento Europeu introduziu a Lei de Cibersegurança e a Lei de Resiliência Cibernética, que estabelecem vários requisitos a serem cumpridos pelos fabricantes antes de um produto poder receber a certificação CE e ser comercializado na Europa. Isto inclui fases de avaliação, comunicação e gestão de ciberataques ou vulnerabilidades ao longo do ciclo de vida do produto.
No Brasil, o Plano Nacional de Internet das Coisas foi instituído pelo Decreto nº 9.854, de 25 de junho de 2019, cujo objetivo é implementar e desenvolver a IoT no país, "com base na livre concorrência e na livre circulação de dados, observadas as diretrizes de segurança da informação e de proteção de dados pessoais". Assim, o plano visa melhorar a qualidade de vida das pessoas e promover ganhos de eficiência nos serviços.
Como os elementos-chave das regulamentações de segurança de IoT criam melhores práticas a serem adotadas:
- Atualizações de software: os fabricantes devem oferecer a opção de atualizações de firmware e garantir a validade e a integridade das atualizações, em especial no que se refere às correções de segurança.
- Proteção de dados: os regulamentos seguem o conceito de "minimização de dados", recolhendo apenas os dados necessários com o consentimento do usuário e tratando e armazenando de forma segura os dados confidenciais de forma criptografada.
- Avaliação de riscos: os criadores devem seguir um processo de gestão de riscos durante a fase de projeto e desenvolvimento, ao longo do ciclo de vida do produto, incluindo a análise de vulnerabilidades e exposições comuns (CVE), além de lançar correções para novas vulnerabilidades.
- Configuração dos dispositivos: os dispositivos devem ser lançados com configurações de segurança predefinidas e ter os componentes perigosos removidos, as interfaces fechadas quando não estão a ser utilizadas e uma superfície de ataque minimizada através do "princípio do menor privilégio" para os processos.
- Autenticação e autorização: os serviços e as comunicações devem exigir autenticação e autorização, com proteção contra os ataques de força bruta ao início de sessão e uma política de complexidade das senhas.
- Comunicação segura: a comunicação entre os ativos de IoT deve ser autenticada e criptografada utilizando protocolos e portas seguros.
Além disso, com o aumento da dependência que as organizações têm dos dispositivos de IoT para operações diárias, é crucial que permaneçam vigilantes e proativas na segurança desses dispositivos, e as principais medidas que podem ser tomadas para melhorar a segurança dos dispositivos de IoT são:
1. Aquisição de dispositivos de IoT de marcas conceituadas que dão prioridade à proteção, implementando medidas de segurança dentro dos dispositivos antes da sua distribuição para o mercado.
2. Praticar políticas de complexidade de senhas e utilizar autenticação de múltiplos fatores (MFA) quando aplicável.
3. Assegurar que os dispositivos conectados sejam atualizados com o software mais recente e manter a boa integridade do dispositivo.
4. Aplicação de perfis de acesso à rede Zero Trust para os ativos conectados.
5 .Separar redes para TI e IoT sempre que possível.
À medida que a tecnologia continua evoluindo, o mesmo acontece com a sofisticação e a frequência dos ataques cibernéticos. Ao implementar medidas de segurança robustas e conhecer mais sobre as ameaças e práticas recomendadas mais recentes, as organizações podem proteger melhor a si mesmas e aos seus dispositivos IoT contra os cibercriminosos.
Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil.
