IoT pode ser usada como arma cibernética, alertam especialistas

O Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC) reuniu especialistas para discutir os desafios da segurança cibernética no contexto da Estratégia Digital Brasileira (EDB), em meio ao avanço da internet das coisas (IoT). Durante a primeira sessão do seminário Confiança no Ambiente Digital, em Brasília, especialistas alertaram que ferramentas de IoT podem ser usadas como armas cibernéticas.

A diretora de Políticas e Programas Setoriais em Tecnologia da Informação e Comunicações do MCTIC, Miriam Wimmer, propôs um debate sobre IoT, seus caminhos e possíveis implicações. “Como devem ser distribuídas as responsabilidades pela defesa cibernética? Em que medida preocupações relativas à privacidade e à segurança podem frear a proliferação de dispositivos conectados? Como iniciativas no campo de pesquisa e desenvolvimento podem contribuir para superar os desafios tecnológicos e aumentar a autonomia nacional nesse campo?”, questionou.

Para o diretor-executivo da GridVortex Systems, Jonny Doin, todos os processos funcionais da sociedade devem passar pela IoT, inexoravelmente, por meio de dispositivos ligados ao corpo de cada pessoa e a seu entorno, como carros, eletrodomésticos e infraestrutura de cidades inteligentes. “As novas doutrinas de guerra cibernética tratam esses dispositivos como armas”, alertou. “Isso está acontecendo neste momento. Estamos sendo atacados diariamente. E a garantia de segurança do cidadão significa também a garantia de segurança do Estado, que, portanto, é estratégica. Precisamos fazer com que esse processo tecnológico, eminentemente civil e de mercado, acrescente uma camada mínima de requisitos de cuidado, para que esses dispositivos sejam menos suscetíveis a se transformarem em armas efetivas.”

Segundo Doin, governo e indústria dividem a responsabilidade de evitar que as ferramentas de IoT se transformem em armas nocivas. “Nós da iniciativa privada estamos sendo chamados pela oportunidade de sermos players dessas novas infraestruturas. Assim, estudamos continuamente os riscos do negócio envolvidos”, explicou. “E há um ponto de convergência bastante fácil de ser colocado, que é o de se exigir que os dispositivos desempenhem as suas funções e, caso sejam atacados, se desconectem do processo. Dois semáforos não podem ficar verdes ao mesmo tempo, jamais. Ou seja, a garantia funcional dessas coisas deve ser mais importante, colocada como requisito essencial.”

Escala
O pesquisador Sérgio Luiz Ribeiro, do Centro de Pesquisa e Desenvolvimento em Telecomunicações (CPqD), reforçou o caminho sem volta da massificação das tecnologias e a abertura de portas para a sociedade. “Dispositivos ainda não concebidos ou mesmo outros já existentes no mercado e inseridos no mundo real, como smartphones, precisam ser pensados com mais segurança”, avaliou. “Esses últimos ataques advieram não só de dispositivos de grande porte, mas também de pequenos”, comentou, ao recordar “a primeira invasão em massa promovida por uma rede de IoT”, em 2016, via sistemas de vigilância, como câmeras e aparelhos de gravação.

De acordo com Ribeiro, esses ataques de negação de serviço distribuído (DDoS, na sigla em inglês), técnica que gera grande volume de tráfego, têm ocasionado danos substanciais a empresas de porte, como o Yahoo, com perda temporária de disponibilidade de internet. “Uma ameaça enorme está surgindo e, se a gente não controlar e não tiver uma base mínima de legislação que garanta tanto a segurança quanto a privacidade, não vai ser possível que essa massificação ofereça um bom serviço para todos”, previu. “Ataques vão ocorrer quando forem colocados dispositivos. Resta a nós minimizar impactos.”

O diretor de Assuntos Governamentais da Cisco, Giuseppe Marrara, destacou que o aumento do número de dispositivos da internet das coisas deve vir acompanhado pela digitalização da economia, com a transformação de negócios hoje em processo analógico e manual. “Isso aumenta a superfície de ataque”, afirmou. “Quanto maior a infraestrutura, maiores os caminhos que existem para que ela seja atacada e maior o grau de suscetibilidade.”

Na visão de Marrara, a simplicidade computacional de equipamentos de IoT pode torná-los incapazes de se defender. “Portanto, a rede passa a ter o papel de fazer a defesa daquele dispositivo”, esclareceu. “A rede tem que entender, ainda ali, no primeiro setor de comunicação, que, se atrás dela só tem sensor de agricultura e alguém está tentando comprar um livro na Amazon, algo está errado. Então, é papel dela corrigir anomalias. O usuário só vai de fato abraçar a tecnologia e usá-la quando tiver confiança de que é uma transação segura. Afinal, nós, como humanos, tememos tudo aquilo que desconhecemos.”

Já o engenheiro militar Alexandre Cabral Godinho, do Centro de Defesa Cibernética do Exército, associou a massificação das tecnologias à “avidez do público por consumir tecnologia, nem sempre preocupado com a segurança”. Para ele, governo e indústria têm que se preparar cada vez mais para ataques por meio de dispositivos, sistemas de vigilância ou mesmo roteadores domésticos, que abriram caminho para DDoS na Alemanha e na Rússia.

*Com informações do MCTIC