Ken Whelan
Nota do Editor: Este artigo foi postado anteriormente em Security Sales & Integration
Assim como a conversa de “pássaros e abelhas” pode ser difícil, também pode ser difícil conversar com seus clientes sobre a Internet das Coisas (IoT). Se você está fornecendo e instalando os dispositivos, você sabe como usar proteção. Nós, como indústria, conversamos constantemente sobre isso, mas ainda nos sentimos inseguros sobre isso. Seus clientes estão pensando nisso tanto quanto nós? Veja como ter essa conversa.
Todos nós gostamos de economizar dinheiro e fazer você mesmo ao trabalhar em qualquer coisa em casa ou no escritório. Isso pode representar uma grande economia de custos e uma tarefa gratificante. Mas que tarefa você não deve assumir? Hoje em dia você tem muitos atuando como advogado de poltrona, médico e até engenheiro. Qualquer pessoa que cursou anos de escola para essas profissões pode dizer uma coisa: eles ainda não estavam prontos para fazer o trabalho no primeiro dia. Os anos apenas os prepararam para o primeiro dia.
Quando se trata de TI, computadores e eletrônicos, estamos muito longe do videocassete piscando 12:00 e não gravando seu programa favorito (mal). Configurar seus dispositivos se tornou mais fácil e todos estão acostumados a atualizar cada vez mais rápido. Você confiaria seus freios a um amador? Você voaria com alguém com apenas algumas horas de atraso? Você gostaria que um chef fizesse uma pequena cirurgia só porque sabe como usar uma faca? Você não colocaria sua vida física nas mãos de pessoas destreinadas, por que fazer isso com sua pegada digital?
A Internet tem sido uma ótima ferramenta. Temos coisas inteligentes, de telefones, computadores e tablets a espremedores, máquinas de lavar e termostatos. Você ainda pode comprar um robô de dispositivo inteligente para segui-lo. Mas o problema é o seguinte: “coisas” na Internet nem sempre são legais. Em algum lugar do mundo – não em algum porão ou depósito escuro, mas em um espaço de escritório de aparência padrão – um hacker está labutando como qualquer outro trabalhador para explorar os locais da semana para seu ganho.
Claro, a Microsoft e a Apple têm tudo para você. Claro, seu departamento de TI bloqueou tudo. Isso é até que aquele dispositivo barato e inteligente que você tirou da Internet seja configurado na rede de convidados. Depois de deixá-los entrar, onde eles são parados? “A segurança de TI sólida sempre foi baseada em padrões. A falta de padrões uniformes com a IoT torna difícil mantê-la”, disse Joe Dorio, um engenheiro de rede certificado pelo CISSP na Engineered Security. “À medida que a IoT aumenta e amplia os caminhos das ameaças, os cibercriminosos estão aumentando as apostas.”
A chave para qualquer projeto de engenharia é torná-lo simples. O excesso de engenharia prejudica muitos projetos. Infelizmente, quando se trata de segurança cibernética, nada é complicado o suficiente. A melhor defesa para não ser hackeado é não ter um dispositivo se comunicando com nada dentro ou fora. Isso inclui pessoas. O hacking social é a melhor ferramenta do arsenal, e os dispositivos IoT são cavalos de Tróia.
“A maioria dos dispositivos IoT tem menos recursos de processamento e armazenamento”, explica Dorio, “tornando mais difícil empregar segurança para protegê-los.” Dispositivos simples de usar são ótimos, mas simples de configurar podem ser perigosos. Dispositivos de detecção automática sempre podem ser redirecionados automaticamente. Um ótimo vídeo online pode ser uma ótima maneira de deixar a porta dos fundos aberta. Um sideload aleatório pode ser uma sentença de morte.
A segurança cibernética é muito mais do que se proteger. É proteger a sociedade. A maioria dos piores crimes cibernéticos aconteceu com alvos maiores, encontrando alvos fáceis e menores para chegar até eles. Empresas maiores de varejo, cadeia de suprimentos, vitrines digitais, conteúdo como serviço, SaaS e muitas outras estão sendo atacadas com sucesso devido a falhas de segurança cibernética nos sistemas de seus fornecedores.
Cartões de crédito, números de previdência social, senhas e outros dados estão prontos para serem pegos, ou o invasor pode simplesmente bloquear tudo e guardá-lo para resgate. A família Wayne fica mais segura caminhando por um beco escuro depois de um show do que você se conecta ao Wi-Fi gratuito em um café. Os ataques DDoS agora vêm de câmeras e outros equipamentos em uma rede. As redes virtuais são excelentes, mas as redes físicas separadas são melhores. Estar conectado à Internet e obter atualizações é conveniente, mas nenhuma conexão com o mundo exterior é ainda melhor.
Ter acesso aos seus dados é maravilhoso, mas estarem envoltos em concreto no fundo do oceano – bem, não é melhor, mas é mais seguro. Manter constantemente seus usuários finais informados e educados sobre todos esses tópicos e muito mais os ajudará a entender como é importante permanecer protegido e que você é o principal recurso para isso.
Ken Whelan é o COO da Engineered Security