Por que o setor de IoT deve priorizar a privacidade

As empresas que oferecem produtos de IoT geralmente priorizam funcionalidade, disponibilidade e acessibilidade – segurança e privacidade precisam ser melhores

James Carder

Os dispositivos inteligentes estão revolucionando o mundo – especialmente porque milhões mudaram para abrigos no local, dependendo da tecnologia mais do que nunca. No entanto, esses dispositivos conectados nem sempre são seguros, como testemunhado por incidentes recentes de Ring, Amazon Alexa and The Snoo Smart. No entanto, como a Internet das Coisas (IoT) torna nossas vidas mais convenientes, a adoção continuará a aumentar, com a IDC estimando que haverá 42 bilhões de dispositivos conectados até 2025.

As empresas que produzem produtos de IoT geralmente priorizam a funcionalidade, disponibilidade e acessibilidade, com segurança e privacidade como reflexões posteriores, implementando o mínimo necessário para marcar a caixa. Essas empresas devem priorizar a segurança do usuário, a segurança e a privacidade, pois o aumento do uso criará um aumento nos ataques cibernéticos direcionados a esses dispositivos. Além disso, a privacidade pode levar a uma vantagem competitiva, com 87% dos consumidores dispostos a levar seus negócios para outro lugar se não confiarem em como a empresa está lidando com seus dados.

blank
James Carder

Priorizando a conveniência sobre a segurança

Embora essa tecnologia torne as tarefas diárias um pouco mais fáceis, lembrando os usuários de uma tarefa ou chamando sua mãe por eles, os consumidores não percebem que os dispositivos estão sempre ouvindo. Por exemplo, milhares de funcionários da Amazon ouvem conversas, sem o consentimento dos usuários, via Amazon Alexa. Além disso, os dados não são anonimizados e podem ser rastreados.

Embora a Amazon afirme que essas informações são usadas para melhorar a experiência do cliente, ela os deixa vulneráveis ​​a um hacker que espia essas conversas pessoais, o que pode permitir que eles cometam fraudes ou utilizem informações para resgate. Os usuários podem desativar essa configuração, mas não há 100% de garantia de que o Alexa não escute por engano ou que um invasor não ative o recurso novamente. Além disso, a Amazon desencoraja os usuários de desativar a configuração, avisando que os novos recursos podem não funcionar tão bem se estiverem desativados.

Os regulamentos devem abordar a privacidade

Existem várias razões pelas quais as empresas não consideram a segurança da IoT uma prioridade, mas o problema subjacente é a falta de regulamentação. Os Estados começaram a implementar suas próprias leis de privacidade, como a Lei de Privacidade do Consumidor da Califórnia (CCPA), a Lei de Privacidade Online Bill Bill 220 do Senado de Nevada e a Lei de Maine para Proteger a Privacidade das Informações Online do Consumidor, mas isso não é suficiente, uma vez que se refere apenas a empresas que fazem negócios nesses estados.

A proliferação de tecnologia em nossos negócios e vidas pessoais conecta as informações de identificação pessoal das pessoas a seus dispositivos. Sem regulamentação, os dispositivos IoT estão muito atrasados ​​nos padrões de segurança, com muitos dispositivos comuns, como o Google Nest, implementando medidas básicas de segurança, como autenticação de dois fatores, pela primeira vez em fevereiro de 2020. As empresas não devem esperar que os estados reforcem a privacidade legislação e, em vez disso, deve adotar uma abordagem proativa à privacidade da IoT e à segurança do dispositivo para gerar confiança com seus clientes.

O que as empresas precisam para se proteger

Com bilhões de dispositivos conectados, incluindo dispositivos pessoais ou comerciais com dados corporativos, os fabricantes de IoT deixaram a privacidade e a segurança deslizarem. Embora a privacidade seja extremamente importante, os fabricantes provavelmente não farão alterações, pois isso atrasaria o lançamento do produto no mercado. Por esse motivo, as empresas que usam dispositivos IoT devem garantir a segurança correta para compensar a falta de segurança do fabricante e evitar um incidente, como um hacker se infiltrando na rede. Abaixo estão apenas algumas soluções que as empresas devem implementar para proteger o cliente.

A visibilidade é importante: só agora os programas de segurança estão trazendo tecnologia e sensores operacionais para o escopo de proteger os negócios. À medida que o cenário desses dispositivos aumenta exponencialmente, a superfície de ataque também aumenta. A visibilidade é crítica, especialmente quando esses tipos de dispositivos começam a compreender mais o cenário da tecnologia. A caça às ameaças é mais fácil com visibilidade total, pois fornece às equipes de segurança a capacidade de identificar atividades suspeitas, fornecendo informações e análises em tempo real.

O tempo é essencial: as empresas devem proteger os dispositivos de IoT em todas as fases do ciclo de vida, pois a detecção e a resposta no início podem ser a diferença entre uma violação catastrófica que ocorre ou não. Por exemplo, o monitoramento da saúde e comportamento cibernético de um dispositivo pode alertar sobre quaisquer correções ou atualizações necessárias. O cenário atual de ameaças, combinado com o desafio de gerenciar o crescente número de dispositivos, significa que é cada vez mais importante que as empresas tenham ferramentas instaladas e equipadas para detectar e monitorar todas as ameaças.

Governança é a chave: recentemente, a Cyberspace Solarium Commission levantou a possibilidade de uma lei de IoT que sujeitasse os dispositivos a “medidas razoáveis ​​de segurança” e os tornasse compatíveis com protocolos de segurança básicos, como o NIST. À medida que mais leis de privacidade entrarem em vigor, as empresas precisam garantir que atendam aos limites exigidos por leis e regulamentos. Os sistemas devem ser classificados com os controles apropriados colocados ao seu redor.

Além da inovação que a IoT traz, ela também torna as vidas melhores, mais saudáveis ​​e mais completas, e afeta as empresas. O mercado está crescendo em várias verticais, como assistência médica, e há dinheiro a ser ganho. Os fornecedores devem se antecipar ao crescimento explosivo e implementar mudanças para que sejam implementadas as medidas de segurança adequadas, a fim de obter a maior parcela.

Além disso, as empresas devem estar vigilantes quanto à implementação da segurança, pois os dispositivos conectados usados ​​em seus negócios podem não estar protegidos. Os consumidores podem não perceber os problemas de segurança, mas as organizações têm a responsabilidade de colocar a privacidade dos consumidores no topo de sua lista de prioridades.

James Carder é o diretor de segurança e vice-presidente da LogRhythm Labs. Tem mais de 20 anos de experiência trabalhando em consultoria e segurança corporativa de TI para empresas da Fortune 500 e para o governo dos EUA. Na LogRhythm, ele desenvolve e mantém o modelo de governança de segurança e estratégias de risco da empresa; protege a confidencialidade, integridade e disponibilidade dos ativos de informações; e supervisiona o gerenciamento de ameaças e vulnerabilidades, bem como o centro de operações de segurança. Também dirige a missão e a visão estratégica das equipes de pesquisa de inteligência de dados, ameaças e conformidade de dados de máquinas da LogRhythm Labs. Antes de ingressar na LogRhythm, James era o diretor de informática de segurança da Clínica Mayo, onde supervisionava inteligência de ameaças, resposta a incidentes, operações de segurança e segurança ofensiva.

- PUBLICIDADE - blank

LEAVE A REPLY

Please enter your comment!
Please enter your name here