Segurança em IoT: fundamental do início ao fim de um projeto

Com o aumento expressivo da utilização da nuvem, a Internet das Coisas (IoT) vem ganhando força dentro das organizações. Segundo o IoT Snapshot 2019, estudo conduzido pela Logicalis que traça um retrato da adoção e do potencial da tecnologia no mercado latino-americano, 35% das empresas brasileiras já possuem alguma iniciativa do tipo em seus negócios, visando resultados como redução de custos, agilidade e eficiência operacional.

Ao mesmo tempo em que se ampliam os benefícios proporcionados pela IoT, crescem, também, os desafios de segurança. Antes de citar rapidamente alguns deles, vale lembrar que, intuitivamente, somos orientados a pensar apenas no dia a dia das equipes de TI, sem levar em conta quais requisitos, sejam eles funcionais ou não, realmente ajudarão a alcançar uma efetiva avaliação de riscos com foco na aplicabilidade do produto. No entanto, precisamos recondicionar nosso mindset, a fim de enxergarmos de forma abrangente os riscos funcionais e não-funcionais da implementação do IoT nas empresas, considerando a probabilidade de ataques e impactos nos negócios.

Existem quatro passos importantes na implementação de um projeto de IoT antes de avaliarmos os potenciais problemas de segurança envolvidos. São eles: coleta de dados (podemos obter diferentes tipos de informação dependendo das características de cada projeto), seu armazenamento e processamento (que devem levar em conta o fato de os dispositivos terem ou não capacidade de armazenamento local, para os quais a nuvem poderá ser uma opção de destino, análise e controle em tempo real), além de sua transmissão (que pode ser feita por meio de sensores, plataformas de processamento, protocolos específicos e consumo adequado pelos usuários, sem erros ou interrupções).

Também vale ressaltar o surgimento de um novo paradigma para atender às necessidades de baixa latência, mobilidade e geolocalização demandadas por projetos de IoT. O Edge Computing visa mover alguns recursos de computação, armazenamento e rede baseados em nuvem para a borda, fornecendo, assim, melhora no desempenho dos projetos, que passarão a contar com uma resposta mais rápida devido à baixa latência, possibilitando, também, o desenvolvimento de novas aplicações, mesmo se o acesso à internet não estiver disponível.

Neste caso, obviamente, não estamos falando de substituição da computação em nuvem, mas, sim, de uma camada adicional para tratamento, que permitirá novos modelos de implementação e aplicativos que não poderiam ser usados sem ela.

Quando pensamos nesses cenários envolvendo IoT, surgem diversas questões relacionadas à privacidade e à segurança, que são cada vez mais reais no dia a dia das empresas. Os fatores mais preocupantes aos profissionais de TI - e aos negócios - são as mudanças realizadas diariamente nas plataformas tecnológicas (sejam elas de infraestrutura, operação ou aplicações) e as rotinas de desenvolvimento que demandam certo nível de integração e maturidade.

O aumento de ameaças e a qualidade dos ataques têm gerado uma melhoria nas medidas de segurança das empresas, o que demanda evolução e adaptação de modelos tradicionais de controle e de recuperação de dados para melhor atender às necessidades da Internet das Coisas, que vem transformando a maneira como as companhias realizam e controlam seus negócios.

Entre as principais ameaças em ambientes IoT, estão:

1) Clonagem de dispositivos
2) Interceptação de comunicação
3) Substituição de firmware
4) Extração de parâmetros de segurança
5) Ataques aos canais de comunicação
6) Ataques de roteamento
8) Ataques de negação de serviço
9) Ameaças à privacidade

E, embora possamos lidar com problemas decorrentes da natureza física dos objetos apenas adotando medidas seguras de fornecimento e instalação, todas as demais ameaças requerem protocolos de comunicação seguros e algoritmos criptográficos. Isso impõe algumas propriedades básicas de segurança para esses projetos:

- Confidencialidade: os dados transmitidos podem ser lidos apenas pelos terminais de comunicação;
- Disponibilidade: os terminais de comunicação podem (e devem) sempre ser alcançados;
- Integridade: os dados recebidos não são alterados durante a transmissão, permitindo a rápida detecção;
- Autenticidade: os dados sempre podem ser verificados. Complementamos, aqui, com a necessidade de autorização.

Dentro desse contexto, também são fundamentais tecnologias como autorização, anonimização e pseudoanonimização. Além disso, como a arquitetura dos protocolos de dispositivos inteligentes usufrui da arquitetura IP, muitas soluções de segurança usadas atualmente pelas empresas podem ser reutilizadas em projetos de IoT.

E apesar de o mercado já ter caminhos possíveis para a resolução de ameaças encontradas no dia a dia dos negócios, é importante ressaltar que estar atento às vulnerabilidades não é um cuidado que se restringe à nuvem ou à IoT. Toda e qualquer tecnologia pode estar ameaçada quando não conta com recursos e soluções que as blindem contra ataques. É como pensarmos em uma casa sem portas e janelas. Alguém se arriscaria a viver nela?