A SEGURANÇA DA INFORMAÇÃO NA

ERA DA IOT HIPERCONECTADA E

ALTAMENTE EXPOSTA, NOVA REALIDADE EXIGE

REVOLUÇÃO NA ESTRATÉGIA DE PROTEÇÃO CORPORATIVA

IoT2

IoT3

ÍNDICE1. Um mundo de coisas conectadas .................................................. 05

2. Cenário preocupante .......................................................................... 07

3. Tarefa fácil para o invasor ................................................................ 08

4. Como a companhia se previne ...................................................... 09

5. Referências .............................................................................................. 11

IoT4

Produção

IoT5

1. UM MUNDO DE COISAS CONECTADASApesar da cidade nas alturas e dos carros

voadores não terem se tornado realidade, muito do que antigamente era somente visão futurista no desenho animado Os Jetsons já faz parte do dia a dia. Parecia improvável ler notícias em uma tela, como fazia o pai da família espacial, mas as checamos em tablets ou notebooks. As ligações por vídeo, que pensávamos ser muito inovadoras, atualmente são uma forma de comunicação usual, e inclusive os relógios que realizavam chamadas se materializaram nos chamados smartwatches.

Mesmo que o espaço não seja compartilhado com empregados robóticos, é possível afirmar que o futuro chegou. Wearable devices, nome dado aos acessórios conectados carregados junto ao corpo e que podem medir frequência cardíaca, pressão sanguínea ou quantidade de passos, por exemplo, e eletrodomésticos inteligentes, como televisores e

aspiradores autônomos, estão incorporados à rotina. Com distintas funcionalidades, esses dispositivos formam uma rede de “coisas”, independentes entre si, que são capazes de se comunicar diretamente, sem intermediação humana, utilizando a internet como base. Essa é a definição que a consultoria internacional IDC dá para Internet das Coisas (cuja sigla em inglês é IoT, em referência a Internet of Things).

Há 13 bilhões de “coisas” conectadas no mundo e, até 2020, a projeção é que sejam 30 bilhões, segundo perspectiva da IDC. Com o crescimento da oferta, as transformações se dão em ritmo acelerado. Falando sobre casas inteligentes, por exemplo, já é possível controlar à distância aspectos como iluminação, climatização, informação sobre vazamentos de gás e entrada de pessoas e há, até mesmo, geladeiras que avisam seus donos sobre a hora de repor o estoque de alimentos.

ONDE ESTÃO, OU ESTARÃO, OS DISPOSITIVOS CONECTADOS:

Fonte: IDC

CONSUMIDORGOVERNOEMPRESAS

veículos

compras

saúde

atividade física

entretenimento

serviços de emergência

usuários

meio ambiente

energia

gestão do trânsito

serviços de inteligência

transportepúblico

cadeia de valor

manufatura

serviços e automação

transporte

serviços

IoT

Médicos podem acompanhar remotamente condições do coração de pacientes graças a marca-passos que enviam informações de forma instantânea; sensores comunicam sobre a necessidade de manutenção de equipamentos; e, na agricultura, aparatos medem espessura de caule e altura dos vegetais, indicando o momento ideal para a colheita. É um universo enorme de oportunidades, que promete otimizar processos e gerar benefícios econômicos. No entanto, na medida em que aumentam os pontos de conexão, elevam-se, também, as ameaças de invasão de sistemas, multiplicando o risco de roubo de dados.Imagine, por exemplo, que por meio de uma geladeira

inteligente seja possível acessar e infectar computadores de uma empresa ou que invasores tomem o controle de um veículo no meio de uma estrada. Tais eventos também não são ficção científica e merecem atenção tanto por parte dos usuários quanto pelas companhias.No mundo corporativo, o aumento da exposição e possibilidades de vazamentos de informação mudam o perfil dos investimentos destinados à segurança e à hierarquização de profissionais orientados à proteção de dados. Embora ainda haja um longo caminho a ser percorrido, a necessidade de fazer da segurança da informação uma estratégia estruturada ganha cada vez mais protagonismo.

OS NÚMEROS NÃO MENTEM

Fontes: IDC e Symantec

Fonte: GartnerPress Release do Gartner - Gartner diz que até 2020, mais da metade dos principais processos de negócios e sistemas incorporará algum elemento de Internet das Coisas (14 de Janeiro, 2016): http://www.gartner.com/newsroom/id/3185623

6

de “coisas” conectadas no mundo

Atualmente há

em 2020

Este número vai chegar a

dos wearables vão se converter em uma alternativa

aos smartphones $$dos

investimentos

em IoT

vêm de:Manufatura

Transporte Cidades inteligentes

Aplicativos dirigidos ao usuário

Em 2020, um mercado negro superior a

US$ 5 bilhões

vai existir para vender dados de vídeo e de falsos sensores para permitir atividades criminais e estimular a adoção de produtos e serviços de privacidade

IoT7

2. CENÁRIO PREOCUPANTE

Apesar da praticidade e otimização de processos do mundo hiperconectado, é importante fazer um cálculo básico. Se, atualmente, registra-se a criação de mais de um milhão de malwares por dia, segundo o estudo Internet Security Threat Report 2016 (ISTR 2016), da Symantec, como será o cenário de ameaças em 2020, quando o número de dispositivos conectados deve ser duas vezes maior do que o existente hoje em dia? Ao somar a esse cenário a falta de consciência dos usuários sobre os riscos de não proteger seus dados e dispositivos, a combinação pode ser catastrófica.

As coisas conectadas podem servir tanto como “aliados” estratégicos quanto “alvos” em ataque DDoS (Distributed Denial of Service, ou negação de serviço), explica Arthur Oreana, gerente de vendas da Symantec no Brasil e especialista em segurança com a certificação CISSP (Certified Information Systems Security Professional). No primeiro caso, os

atacantes invadem dispositivos de IoT e os utilizam para formar redes que perpetram as ações, sem que os donos das “coisas” percebam. Isso significa que seu smartwatch pode ser utilizado como um “zumbi” para ajudar a tirar do ar os serviços online de diferentes empresas, sem que você sonhe com essa possibilidade. Na segunda opção, são ataques feitos diretamente às coisas conectadas: uma invasão a algum aparelho que incide na saúde do usuário ou a sensores instalados em turbinas de aviões, para citar apenas alguns exemplos.

Atualmente, 43% dos investimentos em IoT vêm dos setores de manufatura e transporte, além de cidades inteligentes e aplicativos dirigidos ao usuário, segundo a consultoria IDC. Nos próximos cinco anos, todas as empresas vão precisar de um plano de negócios que inclua o conceito, já que todas as indústrias, em certa medida, terão começado a adotar iniciativas do tipo, estima a entidade.

OS RISCOS VÊM DE TODOS OS LADOS

Fonte: Symantec

Quase um milhão de malwares criados por dia

Transmissão de dados pessoais, logins e senhas sem criptografar

Aplicativos sem políticas de privacidade

Aplicativos conectados a diferentes domínios ao mesmo tempo

Uso de dispositivos para ataque DDoS sem que o usuário saiba

Invasões a aparelhos pessoais, colocando o usuário em risco

WWW

IoT8

Já o Gartner prevê que até 2020 mais da metade dos principais processos e sistemas de negócios vai incorporar algum elemento da IoT, seja em grande ou pequena parte de sua composição. Como resultado, analistas de negócio e desenvolvedores de processos centrados na informação deverão adquirir experiência e ferramental para conseguir executar seu trabalho.

A natureza das soluções das coisas conectadas, a forma como são implementadas e o tipo de dados que geram e consomem exigem nova abordagem de segurança e privacidade. Os riscos trazidos por esse complexo e pouco familiar ambiente avançam rapidamente. Em uma pesquisa realizada pela Symantec, 68% dos entrevistados afirmaram que negociariam sua privacidade para utilizar gratuitamente uma aplicação. “Isso é sumamente alarmante, dado que as pessoas

ainda não têm consciência suficiente sobre até onde essa informação vai. Muitos consumidores se preocupam com segurança mas, ironicamente, a maioria está disposta a permitir acesso à sua informação pessoal”, compara Juan Ávila, diretor de engenharia e pré-venda da Symantec para México e Colômbia. “Temos leis que protegem dados pessoais mas, como usuários, temos de começar a nos educar”, ressalta.

Outro levantamento da Symantec revelou que 20 de cem aplicativos de saúde - setor no qual cada vez há mais dispositivos conectados - transmitem informação pessoal de usuários, logins e senhas sem qualquer tecnologia de criptografia. Mais de 50 deles não dispunha de políticas de privacidade e cada um se conectava, em média, a cinco domínios diferentes para serviços de propaganda e análise de dados.

3. TAREFA FÁCIL PARA O INVASOR

Quando o comportamento despreocupado do usuário e a tecnologia mais acessível se aliam, o resultado é um trabalho cada vez mais simples para o invasor. Com diferentes portas de acesso a redes pessoais, atualmente pode-se comprar um ataque ou aprender por tutorial como promover um. A imagem de um atacante altamente especializado em sistemas, sentado diante de uma tela preta com letras verdes, está cada vez mais ultrapassada. Ele utiliza, hoje, engenharia social para identificar os interesses do usuário – aonde vai, quais são suas redes sociais e atividades regulares - e, por spam ou spear-phishing, envia um ataque que pareça vir de uma pessoa ou entidade conhecida, como empresa bancária ou clube esportivo.

“A preocupação dos fabricantes deveria ser, a priori, a segurança para todos os dispositivos conectados e geralmente não é”, analisa Jessica González, gerente de pré-vendas para o México da Nexsys, distribuidor parceiro da Symantec. “Há uma indústria onde toda a informação que geramos tem um preço”, diz Ivan Anaya, engenheiro de sistemas da Symantec para o México. Marca-passos ou aparelhos de medição de insulina podem ser monitorados por internet e retroalimentam bases de dados de hospitais e médicos. No cibercrime, a área da saúde é o maior alvo de ataques e um registro médico vale muito mais que dados de um cartão de crédito porque não pode, simplesmente, ser destruído ou substituído. Isso leva os hospitais a soluções de segurança para que seus pacientes estejam protegidos.

O NOVO INVASOR

Fonte: Symantec

Tarefa mais facilitada

Encontra, na internet, tutoriais que ensinam a cometer cibercrimes

Envia ataques direcionados

Mira o empregado como porta de entrada para ataques corporativos

Usa engenharia social para identificar hábitos

das vítimas

Contrata serviços de organizações especializadas

em invadir sistemas

IoT9

Se um invasor divulgar contratos, dados confidenciais, estratégia comercial ou, inclusive o estado de saúde de um diretor, há impacto direto na companhia. “A percepção de um líder fraco pode afetar os mercados”, exemplifica Anaya, citando como exemplo o valor das ações, que oscila conforme elevação ou redução da confiança em determinada marca ou mercado. Tal característica também amplia as chances do ataque

conhecido como ransomware, ou o sequestro de dispositivos e aplicações, que exige o pagamento de um resgate para restabelecimento do acesso ao device ou sistema. O custo chega a alguns milhares de dólares e costuma ser a única forma de resolução conhecida. É possível se prevenir, mas para isso é imprescindível tocar em um aspecto sólido como rocha na empresa: sua cultura estratégica organizacional.

4. COMO A COMPANHIA SE PREVINEPor conta da Internet das Coisas, todas as

empresas, inclusive as de origem puramente analógica e que, hoje, não têm qualquer intimidade com tecnologia, deverão considerar segurança da informação em toda sua cadeia produtiva: desde o desenho do produto ou serviço até entrega ao cliente final. Dessa forma, a indústria automotiva, por exemplo, terá de garantir que os sistemas de seus carros sejam impenetráveis, do mesmo modo que bancos protegem seus caixas eletrônicos e os

departamentos de atendimento de companhias de diferentes setores asseguram informações pessoais de seus clientes.

A IDC estima que para 2017, 90% dos centros de dados e gestão de sistemas empresariais vão se adaptar rapidamente a novos modelos de negócio, incluindo planos formatados para IoT que integrem mobilidade, cloud computing e analytics, entre outros. Há quatro passos essenciais para o plano de negócios em IoT, segundo a IDC:

Fonte: IDC

PLANO DE NEGÓCIOS DE IOT

Integrar ofertas de mobilidade, cloud computing e analytics em uma única e coerente plataforma IoT

Investir em soluções de segurança que unam governança, regulação e compliance

Tornar-se o ponto focal e central de um amplo ecossistema baseado em indústria e Tecnologia da Informação

Ser disruptivo com a cadeia de suprimentos e agregar inteligência a cada ponto da cadeia de valor

IoT10

Além disso, a ampla rede de coisas conectadas dilui a barreira entre dispositivos para uso pessoal e profissional. Como os aparelhos pessoais não têm os mesmos níveis de segurança que equipamentos corporativos, os ataques miram os empregados, que são o alvo mais fraco de acesso às redes. Cinco de cada seis companhias com mais de 2,5 mil empregados são vítimas de ataque cibernéticos e com tantos objetos conectados simultaneamente à internet, o controle e proteção dos dados transmitidos viram tarefas ainda mais complexas.

Para tablets ou smartphones, o plano de proteção pode ser mais simples, baseado em soluções de gerenciamento de dispositivos, política de troca de senhas e backups periódicos. Contudo, com IoT, não há ação direta em grande parte dos dispositivos, apesar de se tratarem de objetos inteligentes, que capturam e transmitem informações. Se até um eletrodoméstico aparentemente inofensivo como uma geladeira já foi identificado como o canal de envio maciço de e-mails

maliciosos, manter uma visão estratégica antiga sobre segurança da informação é um verdadeiro perigo. “A rotina de segurança tem que ser muito melhor estabelecida porque independe de intervenção humana”, explica Anderson Figueiredo, consultor e e palestrante de TI e Telecom. Segundo Jessica González, com frequência as empresas se baseiam em medidas tecnológicas individuais sem fazer um esquema generalizado para identificar a eficácia das iniciativas de segurança. Como muitos dispositivos usam sistemas operacionais desatualizados ou não alinhados a protocolos de proteção, a vulnerabilidade aumenta.

“Ainda sofremos para criar processos e procedimentos mas, acima de tudo, para segui-los”, diz Figueiredo. O principal equívoco é encarar o investimento em segurança da informação como um gasto. O tema deve estar totalmente intrínseco à estratégia global do negócio. “Quando a organização chega a esse nível, atingiu o ponto ideal. Uma falha pode jogar pelo ralo o lucro de muito tempo.”

1º

2º3º

4º 5º

Se o futuro chegou para trazer mais facilidade e tecnologia para nosso dia a dia, é hora de adequar a forma de pensar a segurança da informação para que o benefício não se transforme no motivador de um generalizado – e hiperconectado – caos.

Fonte: “Internet Threat Security Report (ISTR) 2016”, Symantec

SETORES MAIS VIOLADOS QUANTO AO NÚMERO DE IDENTIDADES EXPOSTAS

60,6% 28% 6,5% 2,7% 1,4%Serviços Financeiro Administração

públicaAtacado Varejo

259,9 120,12 27,86 11,79 5,8

Identidades Expostas (milhões)

IoT11

5. REFERÊNCIAS

2016 Internet Security Threat Report (ISTR 2016) - Symantec

Gartner diz que 6,4 bilhões de coisas conectadas estarão em uso em 2016, um aumento de 30% em relação a 2015 - Gartner

Gartner diz que em 2020, mais da metade dos principais novos processos de negócios e sistemas vai incorporar algum

elemento de Internet das Coisas - Gartner

Conectando a IoT: a estrada para o sucesso (1) – IDC

Conectando a IoT: a estrada para o sucesso (2) – IDC

Projetos IDC – Internet das Coisas - IDC

Instaurada Câmara de Gestão para comunicações máquina a máquina – Ministério das Comunicações

Symantec do Brasil12º - Av. Dr. Chucri Zaidan, 920 - Morumbi, São Paulo - SP, 04583-904(11) 3527-1900www.symantec.com.br

Copyright © 2016 Symantec Corporation.All rights reserved. Symantec, the Symantec Logo,and the Checkmark Logo are trademarks or registeredtrademarks of Symantec Corporation or its affiliates inthe U.S. and other countries. Other names maybe trademarks of their respective owners04/15 21,500-21347932