Um dos grandes debates atuais é relacionado à IoT (internet of things, traduzido como internet das coisas). A grande polêmica ocorre em função do seu custo benefício para qualquer um que utilize a internet – seja uma empresa ou um consumidor final.

Como ela realmente funciona? Ela traz mais benefícios ou mais riscos? Essas perguntas são a base de boa parte das discussões sobre o assunto. Esse é um tema fundamental quando se fala em segurança da informação. Neste artigo vamos esclarecer alguns desses questionamentos.

O que é IoT

IoT nada mais é, como dissemos, do que a internet das coisas. O que ela busca, basicamente, é criar uma conexão virtual entre os dispositivos eletrônicos e a internet.

Isso vale para todo tipo de objeto, desde aparelhos eletrodomésticos, como geladeiras, até máquinas industriais. Essa conexão entre coisas faz parte de uma revolução tecnológica cujo objetivo é o fluxo de informações.

Quais as “facilidades”

É claro que a favor desta revolução tecnológica existem muitos argumentos favoráveis – assim como também existem os contrários. Quem defende a IoT argumenta que essa interconectividade entre aparelhos é mais positiva do que negativa.

A principal alegação é a de que esse fluxo de informação entre os aparelhos leva à uma melhora no desempenho. Não são desconsiderados os riscos, no entanto afirma-se que eles podem ser combatidos ou minimizados.

Quais os riscos para as empresas

Neste cenário, muitas empresas acabam sofrendo. São inúmeros os casos de invasões digitais que acabam em roubos de grandes quantias de dinheiro e de informações ou que terminam mesmo em extorsão.

Vazamentos históricos, como os de Edward Snowden, demonstram que até mesmo presidentes são invadidos. No caso de empresas, não é diferente – pense em roubo de segredos industriais. Privacidade e segurança constituem nos maiores desafios para empresas e cidadãos na IoT.

Dicas de ações para proteção

Caso o leitor tenha ficado preocupado e queira garantir que está protegido, há sim algumas dicas que podem ser seguidas. Alguns especialistas, com base nos casos mais recorrentes, afirmam que pode ser feito o seguinte:

Mantenha sua empresa segura seguindo os seguintes passos:

1. Opte por dispositivos originais e de qualidade, sempre verificando os critérios de segurança. 

É muito importante checar o fabricante do dispositivo e os critérios de segurança do produto, se certificando da qualidade e a disponibilidade dos fabricantes em realizar atualizações de software com critérios atualizados de segurança.

2. Mantenha softwares, aplicativos e dispositivos sempre atualizados.

Mantê-los atualizados previne possíveis invasões, ataques ransomware e outros malwares, já que as atualizações mantém os protocolos que identificam as ameaças sempre atualizados, melhorando o desempenho de proteção.

3. Crie chaves de acessos e senhas mais complexas

Não é recomendado que suas senhas sejam iguais para todos os serviços, além disso, senhas mais longas que combinem opções diversas de caracteres (letras maiúsculas e minúsculas, números e caracteres especiais) diminuem a possibilidade que alguém descubra sua senha. Não é recomendado também manter uma mesma senha por muito tempo, de tempos em tempos atualize suas senhas.

4. Faça um backup de seu sistema regularmente.

Tenha um HD externo com seus arquivos e faça backup regularmente, pois é melhor prevenir do que remediar a perda de arquivos importantes. O armazenamento na nuvem também é uma opção, mas é necessário optar por um serviço de cloud que seja seguro.

5. Ative o segundo fator de autenticação

Uma boa maneira de aumentar a segurança de seus arquivos e sistema é optando por uma camada extra de segurança, que pode ser habilitada em diversos sistemas, aplicativos, SMS no celular e até mesmo por biometria. Uma camada extra de segurança que pode ser habilitada em diversos sistemas, seja por aplicativos específicos, SMS por celular ou biometria.

Obs: se quiser saber se seu e-mail já foi “owned” na Internet, utilize o: https://haveibeenpwned.com

Obs 2: quer saber que sistemas tem dupla autenticação habilitada? Confira no site: https://twofactorauth.org

6. Verifique seus e-mails e certifique-se da veracidade dos remetentes

Uma das armadilhas mais comuns atualmente são as invasões utilizando-se de e-mails falsos conhecido como “phishing”, que vitimiza muitas pessoas todos os dias. Saiba mais sobre phishing clicando aqui. Por isso é importante garantir que os e-mails sejam seguros, na menor dúvida, sempre opte por não abrir o e-mail, principalmente anexos.

7. Ative o Adblock em seu navegador.

O Adblock é uma extensão que é possível ser instalada em todos os navegadores. Ele tem a função de bloquear quaisquer conteúdos impróprios, como anúncios nas páginas que muitas vezes são utilizados para disseminar ameaças como malwares e outros tipos, por exemplo.

A internet das coisas, ao que parece, veio para ficar. Dentro desse mundo da segurança da informação, estamos à mercê de acontecimentos que nem podemos imaginar. Contudo, há medidas preventivas que podem ser feitas. Fique atento e melhore suas práticas.

Quando se trata de empresas que atuam no ambiente da internet, uma questão que traz muita polêmica diz respeito à regulação de dados pessoais. Eles são necessários em alguns serviços, como os que envolvem transações. Entretanto, de outro lado há os direitos do consumidor.

Enquanto países como o Brasil possuem regulamentações fracas sobre segurança digital, em outros lugares essa discussão avança. É o caso da União Europeia, que em 2016 criou o Regulamento Geral de Proteção de Dados (GDPR), cuja entrada em vigor aconteceu em maio de 2018.

O que é a lei GDPR

Começando pelo seu nome, o Regulamento Geral de Proteção de Dados já deixa claro qual é o seu objetivo. Isto é, a salvaguarda das informações do consumidor residente na União Europeia.

Embora há muito tempo a União Europeia já discuta sobre estes temas (em 1995 tem as primeiras regulamentações e em 2012 começa a ser discutida a GDPR), o resultado tal como foi criado agora surgiu em 2016. Algumas regras rígidas foram criadas para proteger os cidadãos.

Como ela impacta o mercado de segurança da informação no Brasil

O que confunde muita gente é que, se essa regulamentação é europeia, por que ela impacta as empresas daqui? Por que isso não se aplica somente às da Europa?

Pode ser visto sob dois ângulos diferentes. O primeiro, é o do consumidor. Neste caso, se alguém reparou, nos últimos meses deve ter recebido vários e-mails dos serviços que utiliza mudando os termos de uso e de privacidade. Isto porque boa parte das empresas no mundo optaram por seguir as linhas do GDPR.

O segundo, é o das empresas. As que são nacionais, se quiserem trabalhar com europeus, devem seguir a política deles e não apenas a de segurança da informação Brasil, visto que no nosso país é menos complexa.

O que muda para os setores de TI das empresas

Os setores de TI das empresas, com isso, têm de se adaptar para trabalhar com residentes da Europa. Algumas das obrigações da GDPR Europe são:

• Deixar o usuário escolher se e como seus dados serão tratados e utilizados, saber quais dados estão sendo coletados e poder solicitar cópia.
• Ter políticas de privacidade claras.
• Considerar a proteção dos dados uma das partes vitais da empresa.
• Dificultar o acesso às informações do usuário, fazendo com que a sua identidade só seja descoberta se juntadas diversas informações.
• Ter um Data Protection Officer em cada empresa.

O que minha empresa pode fazer

A empresa que tenha clientes no continente europeu, deve começar a adaptar-se. Isso porque qualquer informação é relevante para o GDPR – desde os cookies do navegador até o endereço do consumidor.

Em vista disso, o mais adequado a fazer é adequar o seu sistema de segurança digital. Atualizar os termos de uso e política de privacidade é um bom caminho. Além disso, seguir as recomendações citadas no item anterior.

Um ano após o ransomware Wannacry…

Em maio de 2017 o ransomware Wannacry foi identificado depois de ter se alastrado em computadores por mais de 150 países. Derrubando sistemas de saúde na Europa e ameaçando redes e serviços públicos pelo mundo. A ameaça se tornou uma das maiores provas de que a ação de cibercriminosos é um problema real que as empresas precisam se preocupar. 2017 pode ser considerado “O Ano do crime virtual mundial”, o wannacry foi apenas o primeiro de uma sequência de ataques que afetaram vários países:

WannaCry, o primeiro grande crime virtual de 2017.

O maior crime virtual da história

Destacado como o maior ataque, o Wannacry afetou mais de 345 mil dispositivos espalhados por 150 países em um período de 5 dias. Estima-se que 97% dos dados das máquinas infectadas foram criptografados custando pedidos de resgate que superaram 110 mil dólares, o que equivale a 365 mil reais.

NotPetya

Em junho do mesmo ano, (um mês após o wannacry) um novo ataque de ransomware, NotPetya, se alastrou por cerca de 100 países, entre eles: Brasil, França, Alemanha, Estados Unidos, Rússia e Ucrânia.

Krack – Key Reinstallation Attacks

Em outubro de 2017 sua rede Wifi deixou de ser segura!

A ameaça Krack foi responsável por quebrar a chave de criptografia Wpa2, utilizada por maior parte das redes Wi-Fi até então, deixando-as vulneráveis a ataques. Naquele momento, era necessário apenas que o atacante estivesse próximo de uma rede para ter acesso a todos os dados criptografados e saber TUDO o que era acessado.

BadRabbit

 Ainda em outubro, outro ransomware surgiu: O BadRabbit. No entanto, seu impacto foi menor que de seus antecessores. Atingindo principalmente países como Estados Unidos, e regiões da Europa Ocidental como Rússia, Ucrânia e Turquia.

Em 2017, houve um aumento de 44% no volume de ciberataques ocorridos entre o segundo e terceiro trimestres no Brasil.

Empresas e usuários estão cada vez mais vulneráveis a ataques criminosos. Um levantamento realizado pelo →DFNDR LAb, mostra o alarmante aumento de 44% de tentativas de crimes virtuais apenas no Brasil.

Detalhamento das tentativas de crime virtual, por região, ocorridos no último semestre de 2017.

Tradicionalmente, os cibercriminosos preferem alvos como empresas privadas e órgãos públicos. Isso porque empresas mais estruturas podem proporcionar maiores lucros com os ataques pontuais, e órgãos públicos dispõem de informações confidenciais, que podem, se vazadas, desestabilizar questões políticas e de comércio, influenciando mercados.

Para que os ataques a usuários sejam lucrativos, é preciso uma maior quantidade de alvos e escala. Utilizando-se de meios hoje comuns de comunicação, os criminosos aprimoram códigos computacionais aumento consideravelmente o lucro. Isso é possível, pois as vítimas compartilham esses códigos maliciosos para família e amigos, principalmente por whatsapp e mídias sociais. Um simples link de desconto, pode ser a ação de cibercriminosos explorando a confiança que as pessoas têm umas com as outras em seus círculos sociais digitais.

E isso pode prejudicar duplamente sua empresa, pois a ação de criminosos a pessoas pode estar infectando todo o seu sistema neste momento. Seus próprios colaboradores que utilizam alguma das mídias para se comunicar com outras pessoas e consequentemente recebendo esses links maliciosos.

Saiba a importância de uma  →política de segurança e fique longe de ataques que podem levar a sua empresa a grandes prejuízos.