“A inovação sempre significa um risco. Qualquer atividade econômica é de alto risco, mas não inovar é muito mais perigoso do que construir o futuro”. A frase célebre do professor austríaco Peter Drucker simboliza bem o atual momento do setor financeiro em relação à Internet das Coisas. Da mesma forma que ela traz inúmeros benefícios para o setor, as ameaças estão inerentes à adoção dos dispositivos multiconectados. O tema foi um dos destaques do CIAB, evento que acontece nesta semana em São Paulo.
Diversos institutos de pesquisa apontam que, até 2020, teremos cerca de 34 bilhões de aparelhos IoT para uma população estimada em sete bilhões. Essa diferença entre a quantidade de dispositivos disponíveis e pessoas está atrelada à facilidade em desenvolver esses equipamentos.
“O problema é que a Segurança da Informação não é um elemento muito considerado pelos desenvolvedores”, afirma Anchises Moraes, engenheiro Sênior da RSA. Na opinião do especialista, há poucos profissionais desse mundo com background em segurança. “Geralmente, são empresas de hardware os responsáveis pela fabricação dessas aplicações”, afirma.
A consequência disso é desastrosa. Pesquisas revelam que 80% dos apps de IoT não são testados contra segurança, mostrando o quanto o tema é incipiente nesse universo. Esse descaso fez com que muitas das atividades maliciosas praticadas em computadores e smartphones fossem transferidas para esses dispositivos, como o ransomware, por exemplo
Padronização e regulamentação
É evidente o quanto a IoT é benéfica para o setor financeiro. Os aparelhos de IoT têm sensores que coletam, analisam, acumulam e compartilham dados que podem ser revertidos em novas linhas de negócios, usabilidade, conveniência e praticidade para os usuários.
“Não é à toa que IoT e Analytics andam de mãos dadas”, explica Paulo Pagliusi, líder de Segurança da ABINC. Tais tecnologias geram dados tanto estruturados como não-estruturados, podendo elevar a comunicação entre cliente e empresa a um nível muito mais avançado.
Segundo o executivo, os aparelhos IoT requerem desafios maiores que os computadores, pois são mais limitados, impondo uma dificuldade a mais para os gestores. “Ou seja, se já é difícil atualizar todo um ambiente de TI, imagine proteger novos milhões de equipamentos recentemente conectados à rede”, alerta.
Todos os aparelhos estão sujeitos às mesmas atualizações de patches, de firmwares e correções de vulnerabilidades que os equipamentos de maior porte. “Basta um desses equipamentos ser comprometido para ser ponto de partida para o ciberatacante, colocando todos os demais em risco”, reforça Pagliusi.
Atualmente, esses dispositivos IoT possuem duas frentes de ataques. Da perspectiva do consumidor, as ameaças envolvem inconveniência, violação de privacidade, desvio de recursos financeiros e risco à própria vida, considerando a invasão de carros autônomos e controle de marcapasso. Do ponto de vista do fornecedor, diz respeito à perda de confiança, danos à reputação, propriedade intelectual comprometida, prejuízo financeiro e processos judiciais.
Pagliusi assume que o setor financeiro, assim como os demais, está em busca de respostas de como tornar a IoT mais segura. Um caminho para isso diz respeito a seguir boas práticas do mercado, como as já fornecidas por entidades e associações que visam trazer mais proteção a esses equipamentos.
“A ISO 20924 e a 30141 já abordam requisitos necessários para a construção de uma tecnologia IoT mais segura. Além disso, a Cloud Security Alliance divulga inúmeros estudos sobre o tema, assim como a OWASP também impulsiona pesquisas de como tornar o mundo do desenvolvimento em IoT mais protegido”, complementa Anchises Moraes.
“É preciso reforçar que o processo da IoT é o mesmo passado pelos smartphones. Todos esses novos produtos devem passar por padronizações, atualizações constantes e ter aplicações certificadas a fim de trazer mais segurança para esse universo”, finaliza Pagliusi.
