Com o número de dispositivos conectados crescendo a cada dia – pesquisa Juniper Research indica que, até 2022, mais de 50 bilhões de dispositivos estarão conectados à IoT -, é essencial que todas as pessoas tenham uma maior compreensão da importância da segurança para a Internet das Coisas (IoT) e por que isso precisa ser levado muito à sério pelos usuários e empresas.
Com fabricantes investindo cada vez mais em dispositivos inteligentes, com sensores em veículos, lâmpadas, tomadas, eletrodomésticos e diversos outros aparelhos, esses sensores permitem que cada dispositivo se conecte a internet e se comunique com outros sistemas e dispositivos, aumentando exponencialmente o risco de fraudes e roubo de dados.
Vulnerabilidades em potencial
Dispositivos de IoT oferecem diversos recursos, mas também podem apresentar vulnerabilidades que colocam em risco dados pessoais e empresariais. Milhões de dispositivos não contam com criptografia de ponta ou senhas codificadas, trazem configurações de segurança falhas, e mesmo dispositivos que saem de fábrica com recursos de segurança, podem ser instalados sem que as pessoas os configurem corretamente; ou seja, estão apenas esperando que alguma falha seja utilizada para que essas informações mãos de criminosos.
Muitos dispositivos corporativos, que nunca foram conectados a internet, agora fazem parte de uma rede IoT. Roteadores, câmeras, impressoras estão entre os dispositivos que mais podem trazer problemas de segurança e criminosos cibernéticos estudam cada um deles para entender como funcionam e quais suas falhas de segurança e como essas vulnerabilidades podem ser usadas para uma invasão.
Especialistas em segurança apontam o botnet Mirai, e seus variantes, como um dos malwares que mais se beneficiam das vulnerabilidades dos dispositivos IoT e os criminosos cibernéticos estão focando nesses aparelhos e evoluindo seus ataques para dispositivos conectados em PDVs. Da mesma forma, grupos ligados a organizações governamentais também estão mirando esses dispositivos para ataques de DDoS.
Como o foco é a facilidade de uso, implantação e oferecer produtos de baixo custo, a segurança acaba ficando em segundo plano. Assim, é essencial que as empresas avaliem a função dos dispositivos IoT e qual sua real utilidade para os negócios antes de permitir que sejam integrados em suas redes.
Regulamentação
Além disso, é preciso entender que um dispositivo IoT pode não apresentar muito risco, mas à medida que ele conversa com outros dispositivos e acessa a dados na rede, a ameaça passa a ser real e isso torna necessário a criação de regulamentos e normas que obriguem às empresas a criarem dispositivos mais seguros.
Uma dessas medidas é a Lei de Segurança de Dispositivos IoT da Califórnia, que entrou em vigor no dia 1 de janeiro de 2020, e exige que os fabricantes implementem recursos de segurança razoáveis em seus produtos e que eles sejam apropriados à função dos dispositivos, aos dados que podem ser coletados ou transmitidos e que protejam o dispositivo contra acesso e uso não autorizados.
Da mesma forma, o NIST (Instituto Nacional de Padrões e Tecnologia), órgão do governo norte-americano, também lançou um guia que lista seis recursos de segurança recomendados para o uso de dispositivos IoT:
- Identificação do dispositivo – número de série ou endereço exclusivo para se conectar a redes
- Configuração – formas de um usuário autorizado alterar configuração ou firmware
- Proteção – o fabricante precisa deixar claro como o dispositivo protege os dados
- Acesso – o dispositivo deve ter acesso limitado à rede e precisa manter um log com a identidade dos usuários que acessaram ou tentaram acessa-lo
- Atualização – o dispositivo precisa oferecer formas de atualização seguras e de fácil configuração
- Registro de eventos – o dispositivo deve registrar eventos de segurança e tornar os registros acessíveis ao proprietário ou fabricante para que possam identificar vulnerabilidades e corrigi-las
Entretanto, enquanto essas recomendações não forem realmente seguidas por todos os fabricantes, o ideal é que os dispositivos IoT usem uma rede separada da rede da empresa, limitando o acesso de possíveis hackers; e que esses dispositivos sejam verificados regularmente para manter as atualizações de segurança em dia.
Com o Varonis DatAdvantage, você monitora e analisa todos os acessos a todos os arquivos da empresa, facilitando o rastreamento, monitoramento e a análise do comportamento dos usuários. Fale conosco e solicite um teste gratuito para saber como podemos manter os dados da sua empresa seguros.
O que devo fazer agora?
Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:
Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.
Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.
Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.