Em meio à transformação digital, as empresas expandem seu horizonte de negócios com o uso de dispositivos conectados à Internet das Coisas (IoT). São objetos que precisam de algum tipo de comunicação com a internet para processamento, e que cada vez mais fazem parte da nossa rotina, como relógios de monitoramento, assistentes inteligentes, pequenas automações residenciais, ou até mesmo carros conectados.
Essa evolução também chegou às empresas, trazendo inovações para sistemas de segurança física, com câmeras inteligentes, elevadores com sensores que alertam para a realização de manutenções preventivas, ou mesmo linhas de produção inteiras que estão se tornando gradualmente mais eficientes e automatizadas. Mas, nessa busca por soluções tecnológicas para alavancar o negócio, as empresas podem acabar gerando um novo problema. Ao não dar a devida atenção à segurança, essas aplicações podem abrir portas para possíveis ataques cibernéticos com consequências que vão do prejuízo financeiro a novos riscos ainda não mapeados. De acordo com o Gartner, até 2025, os ciberatacantes já vão ter conseguido usar os ambientes de redes industriais (OT) para prejudicar ou colocar vidas em risco (saiba mais sobre os impactos nos setores de Saúde e de Energia). Ainda segundo a consultoria, os incidentes em OT e em sistemas ciber físicos (CPS) têm três motivações principais: dano real, vandalismo comercial ou reputacional. Nesse cenário, as organizações precisam implementar controles de segurança para esses sistemas e garantir a viabilidade das inovações tecnológicas. O maior desafio aqui é implementar a chamada segurança “by design” nesses sistemas, ou seja, o desenho dos controles de segurança embarcados no dispositivo, em seu desenvolvimento.
Ataques direcionados
Os riscos são proporcionais às facilidades que esses dispositivos trazem. Raphael Gomes Pereira, diretor de segurança e líder da prática de Cybersecurity OT/IoT da Accenture, traz alguns exemplos. “Imagine uma indústria que adquire uma câmera que faz o vídeo analytics de um produto na esteira de produção. Ela tem um endereço de IP e está conectada à rede da empresa, gerando dados e enviando informação para uma estrutura de nuvem. Se ela não tem os requisitos de segurança implementados no desenho da solução, aquele ativo pode ser usado para obter acesso à rede ou até para afetar aquele processo”, diz.
Outro exemplo, que impacto para qualquer indivíduo, é o uso do celular para a saúde, segurança, locomoção e pagamento, entre outros usos. “As pessoas passam a ter riscos no dia a dia, seja de privacidade dos dados armazenados e distribuídos dentro do dispositivo, seja de segurança do dispositivo, que pode ser atacado e afetar uma funcionalidade ligada à saúde, por exemplo, como já ocorreu no passado com os marcapassos”, lembra Pereira. Em um contexto, hoje, em que o celular e outros dispositivos IoT são usados por funcionários, as organizações precisam dar a atenção também a eles. “Tem que haver regras claras de uso. Eu posso conectar meu relógio ao wi-fi da empresa?”, exemplifica o especialista.
Sistemas antigos e falta de profissionais
Os desafios são inúmeros, especialmente em OT. A começar pela presença, ainda, de muitos sistemas antigos e equipamentos que não podem ser atualizados. Há também uma defasagem de visibilidade, ou seja, não se tem um inventário de todos os equipamentos, sistemas e versões rodando na operação. Além disso, há a falta de profissionais especializados. “Em OT, você não tem uma pessoa de tecnologia, como em um ambiente de TI, você tem um engenheiro de produção, que não é um profissional de tecnologia de segurança”, aponta Hélio Numata, BISO (Business Information Security Officer) na Cofco International. “Há empresas grandes que têm um ambiente separado, uma área de tecnologia dentro desses ambientes de IoT segregados. Mas será que, na maior parte do país, estamos adotando esse tipo de prática?”
Numata alerta para a necessidade urgente de investimento em ferramentas e em pessoal treinado para elevar a segurança nesses ambientes. “O risco é de comprometer toda uma cadeia produtiva juntamente com toda a sua cadeia de suprimentos”, diz. “Esse é o objetivo que temos que alcançar: ter a mesma capacidade que temos hoje no IT para o OT, porque hoje a maioria não segue os critérios básicos de segurança.” Além da higiene básica para manter o ambiente em segurança, falta proteger a joia da coroa. “Há empresas que investem na área de infraestrutura de TI, que é toda a parte administrativa gerencial, mas não veem o core business, porque é uma coisa antiga, criada em um ambiente que não precisava ter acesso à internet. Essa é uma mentalidade perigosa nos dias de hoje”, avalia Numata.
Soluções especializadas
Além dos controles definidos já no desenvolvimento dos dispositivos conectados, as organizações vão precisar, cada vez mais, de soluções que monitorem e gerenciem todos os controles de segurança dos dispositivos conectados ao sistema. O Azure Defender for IoT, da Microsoft, é uma solução completa exatamente com esse propósito de fazer o levantamento dos ativos IoT e seus riscos, fazendo o monitoramento contínuo de ameaças e vulnerabilidades, de forma integrada com outras soluções, e a gestão de segurança de ponta-a-ponta desses equipamentos. O objetivo é atuar nas diversas camadas necessárias de proteção: da escolha de dispositivos que trazem a segurança por padrão à arquitetura de como esses equipamentos serão alocados no sistema, com a adoção de processos de gestão e monitoramento. “Aqui, o conceito de Zero Trust é fundamental”, diz Pereira.
No ambiente industrial, há normas e referências para a segurança da planta. Uma delas é a ISA/IEC 62443, norma criada pela International Society of Automation para a segurança do ambiente industrial. “Ela traz uma visão baseada em risco. A construção das zonas e segmentos segue um olhar de risco e do ponto de vista do negócio. Assim, eu agrupo os controles e os dispositivos baseados numa função de negócio alinhada a um risco e protejo aquele conjunto, estabelecendo um conduíte para a comunicação com outras zonas, com uma série de controles”, explica Pereira. Outra referência são os padrões de segurança definidos pelo Internet Security Consortium para IoT.
5G e novas perspectivas de cibersegurança
Com a chegada das redes 5G, o poder de decisão dos dispositivos IoT passa a ser próximo de zero. Isso deve transformar as soluções e trazer, junto, novos riscos, sim, mas também novas melhorias de cibersegurança para esses dispositivos. Pesquisas da Accenture já mapeiam o potencial do 5G para o crescimento econômico e os impactos da tecnologia para a economia na Europa, onde o sistema está mais evoluído. Essa é uma tendência global e que deve direcionar o olhar dos gestores para um plano de cibersegurança que também inclua todos os dispositivos IoT, em todos os setores. Com tantas transformações digitais a caminho, é imprescindível minimizar as vulnerabilidades que ambientes suportados por novas tecnologias podem trazer em um futuro próximo.