O Oeste Selvagem, um lugar de anarquia exagerada nos Estados Unidos durante os anos 1800, voltou como uma metáfora para a Internet das Coisas (IoT). Centenas de milhares de dispositivos, organizados em vastas redes, que gerarão uma imensurável quantidade de dados, estão sendo incorporados em quase todas as indústrias e propostos para cada atividade do consumidor. Impulsionados por questões de exploração, apropriação e prospecção de riquezas, os riscos em dispositivos de IoT estão se tornando tão comuns como os bisões que uma vez vagaram por aquelas terras.
O futuro das ameaças de IoT, regulamentos e prováveis respostas dos fornecedores foram alguns dos temas apresentados pela Intel Security no relatório “Previsões de Ameaças 2017 do McAfee Labs”. O estudo mostra que dispositivos IoT devem realmente serem pensados como parte de uma rede. Suas conexões fazem as ameaças e respostas serem intimamente ligadas à nuvem. Algumas das principais questões levantadas no relatório incluem um medo crescente de uma ameaça um tanto sem forma, erros de principiantes cometidos por fabricantes de dispositivos não familiarizados com as práticas de segurança cibernética, e desafios regulamentares em curso.
Crescimento do medo
Dispositivos IoT definitivamente vão atrair a atividade criminosa como uma fonte de dados ou como um vetor de ataque. Já vimos o começo disso, incluindo falhas de dados que ganharam acesso inicial através de um dispositivo IoT conectado e também o recente ataque distribuído de negação de serviço (DDoS) na infraestrutura de webcams. Assim, o medo de atacar é legítimo, mas a forma de futuros ataques permanece incerta.
Os cibercriminosos são impulsionados pelo dinheiro, e ainda não está claro como eles vão alavancar a vulnerabilidade desses dispositivos com fins lucrativos. Ransomware de algum tipo, incluindo ataques de negação de serviço que impedem que os dispositivos sejam usados corretamente, talvez seja a maneira mais fácil para os atacantes ganharem dinheiro e, portanto, a maior ameaça inicial. As relativas fraquezas de segurança e ampla superfície de ataque de dispositivos IoT também os tornarão um alvo para hacktivistas.
Erros de principiantes
Muitas empresas estão adicionando funcionalidade IP aos seus dispositivos, a fim de melhorar a eficiência e coletar dados sobre o uso do dispositivo. Muitas dessas empresas têm pouca experiência com a conectividade com a Internet, e podem cometer erros de principiantes, com senhas padrão (que permitiram o recente ataque DDoS), níveis de privilégios desnecessários e vulnerabilidades não corrigidas (ou mesmo imprevisíveis).
Desafios regulatórios em andamento e normas de privacidade cultural
Semelhante ao que aconteceu com a nuvem, a rápida adoção de dispositivos IoT está criando uma grande lacuna na regulamentação. Com os consumidores na vanguarda da adoção do dispositivo IoT, preocupações com a privacidade serão o motor inicial da legislação. Diferentes jurisdições já têm atitudes e regulamentações divergentes em relação à privacidade, que os dispositivos de IoT só intensificarão.
As legislações terão grande dificuldade em acompanhar esses avanços tecnológicos. Incidentes e os litígios resultantes, protestos, reação do consumidor e responsabilidade corporativa afetarão o desenvolvimento das legislações de forma diferente em cada jurisdição. Contradições e incertezas em torno das regulamentações de IoT serão um desafio significativo para as corporações multinacionais e podem até mesmo restringir a adoção de dispositivos de IoT em alguns mercados.
