Risco digital na Era da Internet das Coisas: protegendo o ecossistema crítico 
Computação

Risco digital na Era da Internet das Coisas: protegendo o ecossistema crítico 

Adicionar segurança à Internet das Coisas requer primeiro obter o controle dela. Isso está se tornando possível com o surgimento da computação IoT Edge, um modelo de arquitetura modular e muito flexível que está ganhando força em empresas em todo o mundo.

Antes de entrar no conceito “Edge”, vamos à base do IoT que emergiu muito além do alcance das equipes de TI, segurança e risco. Tradicionalmente, ele é adquirido, implantado e gerenciado por grupos operacionais. Como são sistemas verdadeiramente essenciais, a prioridade tem sido o tempo de atividade e a segurança, enquanto a capacidade de gerenciamento, a segurança e o risco receberam menos foco. Muitos desses dispositivos foram originalmente projetados para redes com lacunas de ar (isoladas), com expectativa de vida prevista em décadas e sofrem com CPU e armazenamento de dados limitados e, muitas vezes, nenhuma capacidade de corrigir e proteger facilmente ao longo do tempo.

Em artigos anteriores aqui na MIT Technology Review Brasil, comentei que a Transformação Digital é valiosa e essencial, mas cria risco digital. As organizações inteligentes entendem isso, mesmo quando aproveitam agressivamente as mega ondas de tecnologia, como nuvem, dispositivos móveis, e Inteligência Artificial.

No entanto, há outra mega onda que existe em grande parte fora do controle de TI e introduziu seus próprios riscos digitais. Nos próximos anos, o número de dispositivos IoT em uso se multiplicará, diminuindo o número de computadores e outros ativos de TI conectados a redes e produzindo um imenso volume de dados. A IoT é útil porque preenche a lacuna entre o mundo físico e o mundo digital, permitindo o gerenciamento de coisas reais, não apenas daqueles objetos abstratos que você pode representar no código do software. Isso alimentou classes inteiras de IoT, desde industrial e médica até um universo de IoT de consumidor que os fornecedores devem gerenciar.

Os grupos de risco e segurança estão despertando para essa grande — e amplamente não gerenciada — dimensão de sua infraestrutura de TI.

Felizmente, o alívio está à vista. Duas revoluções separadas de IoT estão em andamento: computação de borda, que reúne toda a IoT em uma única plataforma; e padrões e estruturas, que introduzem coerência para a indústria de IoT para novos produtos e projetos. Juntos, eles oferecem a promessa de dominar a IoT atual, ao mesmo tempo que definem o terreno para um gerenciamento de risco de IoT simples e poderoso no futuro.

A especialização desses sistemas resiste a qualquer abordagem de gerenciamento unificado. A variedade de protocolos e interfaces específicas da indústria e da solução torna quase impossível inventariar, autenticar e proteger usando qualquer plataforma comum. Em vez disso, vemos muitos produtos e serviços isolados, cada um gerenciado individualmente e geralmente fora do controle de TI, especialmente em:

Operational Technology, ou OT, que são sistemas de computação usados para gerenciar operações industriais em oposição a operações administrativas. Os sistemas operacionais incluem gerenciamento de linha de produção, controle de operações de mineração, monitoramento de óleo e gás, etc.

Industrial Control System, ou ICS, um segmento importante dentro do setor de tecnologia operacional. É composto por sistemas que servem para monitorar e controlar processos industriais. Isso poderia ser correias transportadoras do local da mina, torres de craqueamento de refinaria de petróleo, consumo de energia em redes de eletricidade ou alarmes de sistemas de informação de edifícios. Os ICSs são normalmente aplicativos de missão crítica com um requisito de alta disponibilidade.

A computação de ponta da IoT insere uma camada entre os dispositivos e os data centers aos quais eles se conectam. Os dispositivos se conectam a pequenos gateways de hardware ou software implantados próximos a eles na rede segmentada. Isso adiciona efetivamente o processamento de dados locais, ao mesmo tempo que apresenta a oportunidade de aplicar controles de descoberta, autenticação, gerenciamento e segurança. Os gateways são de uso geral e podem se conectar a qualquer tipo de dispositivo IoT — até mesmo dispositivos OT/ICS especializados quando configurados com os protocolos e analisadores corretos. Os gateways podem controlar dispositivos e transmitir dados processados para o data center, economizando largura de banda e otimizando itens como segurança e privacidade.

Cada gateway é responsável apenas pelos dispositivos que estão conectados a ele, portanto, eles processam em alto desempenho com baixa latência. O gateway aceita agentes de plug-in para recursos e funções adicionais, para coisas como gerenciamento, segurança e análise

Agora sim, vamos ao “Edge”

Ao contrário das soluções proprietárias de gerenciamento e segurança de Internet das Coisas, o IoT Edge é baseado na comunidade — não é propriedade de nenhuma empresa ou entidade. Isso levou a uma explosão de experimentação e inovação, pois os colaboradores podem se concentrar no que fazem de melhor e deixar que outros façam o mesmo.

A Internet das Coisas é um componente central da transformação digital, junto com nuvem, mobilidade, automação e análise. A explosão da tecnologia IoT permite novas categorias de valor inteiras, integrando dados e processos do mundo real em conjuntos de ferramentas de computação e automação padrão.

Mas, como acontece com toda transformação digital, os benefícios vêm com alguns riscos exclusivos. Esses bilhões de dispositivos diversos, desde os sistemas industriais de maior escala ao seu rastreador de condicionamento físico, áreas-chave de impacto, incluindo segurança cibernética, risco de terceiros, conformidade, governança de dados e privacidade, automação e resiliência de negócios.

Aqui estão alguns dos principais desafios para proteger os riscos digitais da IoT:

• Escala

Em um comunicado de novembro de 2018, “o Gartner prevê que 14,2 bilhões de coisas conectadas estarão em uso em 2019, e que o total chegará a 25 bilhões em 2021… Em 2023, o CIO médio será responsável por três vezes mais endpoints, produzindo um imenso volume de dados.”

Claro, essa explosão de dispositivos cria uma explosão de dados. Sistemas de armazenamento devem ser projetados para acomodar o volume produzido por esses dispositivos. E os controles de segurança e privacidade precisam estar em vigor para proteger todos esses dados, muitos deles pessoais.

• Variedade

Para complicar o problema de escala, existe uma grande variedade de dispositivos em uma organização típica. Outrora principalmente a Tecnologia Operacional (OT) como redes de energia, sistemas de manufatura e controles prediais, IoT agora inclui uma variedade estonteante de sensores, câmeras, termostatos, rastreadores e outros dispositivos em rede. Dispositivos de consumo, como wearables e assistentes domésticos (por exemplo, Amazon Alexa) criam uma plataforma rica para novos serviços.

Sistemas de Controle Industrial Crítico (ICS) fornecem serviços de energia, água e transporte também como processos de manufatura como a robótica. Projetos governamentais de grande escala como a Smart Cities Initiative, inovou na prestação de serviços e melhorou a qualidade de vida dos residentes.

Ao contrário dos sistemas de TI tradicionais, os sistemas de IoT são normalmente projetados para um propósito específico, com expectativa de vida frequentemente medida em décadas, não anos. Atualizar ou substituir dispositivos instalados é um desafio — ou é impossível, em alguns casos — devido à localização física e limitações de memória e/ou processamento. Os formatos de dados variam muito. E alguns sistemas são projetados como soluções isoladas que não foram feitas para integrar com métodos modernos de gestão e segurança.

• Padrões

Os padrões da indústria são essenciais para o desenvolvimento e crescimento de um ecossistema IoT interoperável e seguro. Conforme a Internet das Coisas amadurece, precisa de consolidação entre as iniciativas concorrentes e melhor coordenação entre os esforços complementares, a fim de garantir a desejada interoperabilidade, segurança e capacidade de gerenciamento de soluções de IoT.

• Regulamentações

A gestão de riscos normalmente requer conformidade com regulamentações governamentais ou da indústria. Para ICS, há Publicação Especial NIST 800-82, guia para segurança de Sistemas de Controle Industrial. Mas segurança e regulamentos estão sendo desenvolvidos rapidamente para todos os sistemas de IoT.

• Dados

Frequentemente, dados confidenciais, como informações de produção ou registros de clientes são processados por meio de dispositivos IoT. Esses dados estão sujeitos à mesma privacidade com controles como outros dados, mas podem ser esquecidos ou mesmo completamente isolados de sistemas de controle, abrindo um grande risco para as organizações.

• Fatores humanos

Os riscos de IoT refletem, ou mesmo amplificam, os fatores humanos em outros áreas de risco digital. Uma pesquisa de 2017 com 1.845 tomadores de decisão de TI e negócios realizada pela Cisco em uma variedade de setores mostra que 60 por cento das iniciativas de IoT param na fase de prova de conceito (POC) e apenas 26 por cento das empresas tiveram iniciativa de IoT que consideraram um sucesso completo.

Mesmo com todos esses desafios, acredito na inovação e em um mundo digital melhor e mais seguro, portanto, podemos já listar seis áreas críticas para a segurança ponta a ponta da IoT:

• Descoberta, Identificação e Classificação

O processo de descoberta detecta a existência de um endpoint em um determinado endereço IP. O processo de identificação, então, leva para o próximo nível, detectando as informações específicas sobre o dispositivo; por exemplo, detectar que um dispositivo é um motor de um determinado fabricante. Informações adicionais, como modelo, número de série e versão do firmware também podem ser capturadas. Esses metadados são correlacionados com informações adicionais, como vulnerabilidades conhecidas, pontos operacionais fortes e fracos, mau uso e cenários de configuração incorretas sobre o dispositivo. Esta classificação profunda cria granularidade adicional em rastreamento e relatórios.

• Gerenciamento de risco

Uma vez que os dispositivos IoT são identificados, eles devem ser avaliados continuamente para o risco associado. O perfil de risco de um IoT e suas mudanças de implantação ao longo do tempo, afetadas por atividades como adicionar e remover dispositivos de uma rede para outra, mudanças nas políticas de acesso, descoberta de novas vulnerabilidades e atualizações de software aplicadas a dispositivos. O risco de terceiros surge, associado com a troca de dados IoT entre a empresa e o serviço externo a provedores. E conforme a transformação digital continua e a tecnologia IoT amadurece, haverá um número crescente de regulamentos e diretrizes para empresas rastrearem e cumprirem, como as diretrizes de segurança cibernética de dispositivos conectados.

• Autenticação e acesso

A imposição de políticas de autenticação e acesso garante a integridade operacional do ambiente conectado. Isso inclui proteger o acesso de e para o dispositivo. Os pontos fortes e fracos de políticas de acesso devem ser refletidos dinamicamente no risco contínuo avaliação do ambiente geral.

• Monitoramento e detecção de ameaças

A escala maciça de implantações de IoT e a prevalência de dispositivos de baixo consumo de energia criam desafios de segurança e risco, mas oferecem uma vantagem: abundância de dados operacionais de IoT e dados de uso. Analytics pode criar perfis de dispositivos, basear o comportamento normal e detectar e alerta sobre atividades anômalas e dispositivos comprometidos. Máquina de alavancagem aprendendo e sem a necessidade de alterar os dispositivos IoT, essas técnicas podem proteger grandes implantações de sensores e atuadores.

• Proteção de dados

Os dados coletados de dispositivos conectados são essenciais para o sucesso de qualquer projeto de IoT. A integridade dos dados IoT é fundamental para chegar no insight de negócios desejado, decisões operacionais confiáveis ou segurança. A proteção dos dados em repouso, em trânsito ou em processo é crítica e importante no cenário atual com foco na privacidade.

• Gerenciamento seguro de dispositivos

É essencial ter uma solução segura para gerenciamento de dispositivos em uma implantação IoT. No mínimo, isso inclui manutenção remota e atualizações Over-The-Air ou Over-The-Net para software e firmware no dispositivo. Semelhante às operações de TI modernas, estes recursos fornecem maior agilidade para a equipe de segurança para lidar com vulnerabilidades e incidentes de segurança, especialmente devido à escala da IoT.

Como a transformação digital impulsiona mudanças fundamentais na forma como as empresas operam — em áreas tão diversas como nuvem, móvel, social, terceirização, risco cibernético, privacidade, resiliência e automação — a IoT é uma linha que permeia todos eles.

Governos, empresas, comunidades devem entender esses riscos críticos sob uma perspectiva holística e ajudar a implementar programas que suportem em todo o espectro. O mundo está mudando rapidamente e todos nós precisamos nos adaptar. Organizações de sucesso entendem que a abordagem de risco digital estratégico permitirá todos os benefícios da próxima geração de tecnologia digital e assim, juntos, criarmos um mundo digital bem melhor e mais seguro.

Último vídeo

Nossos tópicos