Internet das Coisas07/06/2017 às 20h25

Brechas de segurança em IoT preocupam instituições financeiras

Henrique Medeiros

A Internet das Coisas (IoT) começa a caminhar na indústria e a aparecer no dia a dia das pessoas, com itens vestíveis e dados sendo coletados o tempo todo. Mas o problema da segurança é discutido pelo ecossistema, que busca por melhores práticas, como acontece com o setor financeiro, que pretende criar sua “F-Internet of Things”.

As vulnerabilidades de IoT foram tema da palestra de Paulo Pagliusi, diretor de consultoria em cyber risk services da Deloitte e líder do grupo de trabalho em Segurança da Associação Brasileira de Internet das Coisas (Abinc), durante o Ciab Febraban. Para o executivo as brechas são um verdadeiro “paraíso” para os ciberatacantes.

“Os atacantes terão duas frentes de ataque: os usuários e os bancos. Demora de três a cinco anos para uma marca se recuperar de um ataque cibernético, diz um estudo nosso (Deloitte)”, disse Pagliusi. “A indústria financeira terá que encarar problemas como credenciais com senha padrão, falta de atualização em firmware, falta de suporte de fornecedores, portas abertas desnecessárias, protocolo transmitindo senhas em texto claro, aberturas ao DDoS”.

Anchises Moraes, engenheiro sênior da RSA, cita outros desafios para IoT em finanças, como lidar na rede com sistemas legados, usabilidade, conectividade, compliance, regulamentações, privacidade e segurança. Além de riscos, responsabilidade, vazamentos, vulnerabilidades, DDoS e uso malicioso.

“Temos vários desafios de segurança, é algo novo para os fabricantes. Existem poucos profissionais. Muito do que a gente vê em IoT são empresas de hardware que não têm experiência em software e segurança da Internet”, disse Moraes.

Proteção e testes

Em conversa com jornalistas após sua palestra no Ciab Febraban, nesta quarta-feira, 7, Pagliusi acredita que para combater esse problema a proteção terá que ser diluída em camadas entre dispositivo, rede, nuvem e analytics. Quando questionado sobre a entrada de “sensores estranhos” em uma rede de banco, por exemplo, ele cita que o ideal seria a rede trabalhar com reputação: “Se o dispositivo de um lado começar a agir de forma estranha, o ideal é que a própria rede o isole automaticamente”.

O engenheiro da RSA destacou a necessidade de testes para aplicações de Internet das Coisas e lembrou de uma pesquisa do Ponemon Institute que revelou: 80% das aplicações de IoT não são testadas devidamente em segurança. Por sua vez, o diretor da Deloitte recordou de um dado da HP que demonstrou que 70% dos dispositivos de IoT estão vulneráveis. Por causa desses problemas, Pagliusi defende a existência de instituições para padronizar o serviço, como feito com as redes SigFox e Lora.

“Para o mercado todo, Internet das Coisa é algo muito novo. Ainda estamos inseguros. Por isso temos associações como Abinc, IoTse, Owasp. Primeiro temos que criar padrões, frameworks”, disse o executivo da Deloitte. “IoT, se mal compreendida, vai ser um risco. Se bem entendida e protegida, vai incrementar as comunicações, o estilo de vida, e a entrega de serviços da indústria financeira”.