Segundo (DIAS, 2016), devido ao crescimento das aplicações de sistemas IoT proporcionou o crescimento de novas oportunidades no sentido de explorar as vulnerabilidades de segurança. Ou seja, devido à falta de uma proteção adequada para os dispositivos, os mesmos podem ser utilizados como porta de entrada para indivíduos mal-intencionados e estes, por sua vez, podem invadir os dispositivos na rede ou até mesmo provocar problemas relacionados ao funcionamento do sistema IoT. Como consequência de falhas no projeto destes dispositivos podem expor os dados do usuário ao seu uso indevido. As falhas e o mau funcionamento dos dispositivos podem criar vulnerabilidades de segurança. Deste modo, são funções da segurança a autenticação, autorização, integridade das mensagens trocadas e do seu conteúdo e, principalmente, a segurança da informação. No uso dos sistemas IoT, os usuários precisam ter segurança de que os seus dados estão protegidos de perdas e corrupções; privados de usuários indesejados; seguros de ataques maliciosos e seguros de divulgações indesejadas.
As quatro principais ameaças da segurança para a IoT são (DIAS, 2016).
O software – Softwares que foram mal projetados podem proporcionar falhas na segurança. Testes de segurança são uma das formas que possibilita a identificação de vulnerabilidades de segurança no software.
A conectividade na rede – Devido à falta de segurança apropriada causada pelos códigos desenvolvidos nos dispositivos, deixa a conectividade vulnerável. Isto é causado, diversas vezes, porque muitos profissionais responsáveis pela concepção e pela construção de sistemas IoT não são especialistas em protocolos de rede e em segurança de redes (PAIN, 2018).
Segundo (ALVEZ, 2021), as atualizações de firmware – Uma grande parte dos dispositivos de IoT não necessitam de regulamentação. Assim, diversas vezes, as atualizações não são fornecidas de forma automática pelos fabricantes. A falta de atualizações nos softwares pode resultar em vulnerabilidades de segurança, proporcionando ataques e permitindo o acesso completo ao dispositivo.
Os sistemas promíscuos – Todas as falhas relatadas anteriormente foram possíveis devido à ausência de controles internos de segurança. Os cibercriminosos utilizam como estratégia frequente os ataques direcionados a centros de dados. Estes agem no dispositivo pelo download de um malware e, em seguida, se movimentam dentro da rede até encontrar o banco de dados completo de IPs sensíveis ou informações do cliente (LEMOS, 2019).
Segundo (ALVEZ, 2021) ao longo dos últimos anos, a segurança da informação foi ganhando cada vez mais importância e espaço, devido às inovações tecnológicas em crescimento constante tornou-se fundamental a prática da preservação da integridade das informações que circundam o meio digital. Ademais, ela pode ser vista como um conjunto de práticas que tem por função impedir que informações sejam acessadas ou alteradas por pessoas sem as devidas autorizações, bem como evitar que possa existir negação de serviço para as pessoas que têm autorização para acesso às informações. Para garantir que essas exigências sejam mantidas, a segurança da informação é comumente fundamentada na tríade CID (Confidencialidade, Integridade e Disponibilidade). Apesar de não serem os únicos existentes na área de segurança, esses princípios, são os mais destacados pela literatura, uma vez que abordam a grande maioria dos problemas enfrentados durante os processos de proteção de dados e de dispositivos. Esses pilares da segurança são considerados exigências fundamentais para o desenvolvimento de novas tecnologias, especialmente nas aplicações de IoT.
A confidencialidade é a ancestral da segurança da informação que estabelece os princípios para que as informações só possam ser compreendidas por pessoas autorizadas a isso. Portanto, significa que seu principal objetivo é garantir a confidencialidade das informações ao máximo possível. Para garantir que o princípio da confidencialidade seja mantido mesmo quando as informações de um sistema sejam expostas de alguma forma, é preciso que medidas adicionais sejam aplicadas para que essas informações não possam ser acessadas e interpretadas por terceiros. Para cumprir com esse objetivo, a criptografia tem sido desde os primórdios da área a técnica mais utilizada para esta finalidade. A criptografia é uma técnica milenar que foi adaptada para o mundo moderno das informações digitais. Ela é utilizada para manter uma comunicação segura entre seus participantes, impedindo que terceiros mal-intencionados possam acessar o valor da informação, mesmo que tenham acesso a ela no meio físico ou digital. Seu funcionamento é baseado em aplicar uma cifra sobre a informação original antes de enviar ao destinatário, fazendo com que ela fique em um estado criptografado. Com isso, apenas os conhecedores da cifra poderão usá-la para decifrar a informação para seu estado original (SOUZA, 2019).
A disponibilidade é o princípio que estabelece que a informação estará disponível sempre que necessário. O objetivo desse princípio é evitar falhas na obtenção ou na disponibilização de uma informação. Para isso, essa primitiva se estende a diversas partes de um sistema computacional como o Software, a rede e o Hardware. Nesse sentido, é importante que os sistemas possuam funcionalidades de redundância de dados, como RAID (Redundant Array of Inexpensive Disks) e Backups. Para que os usuários do sistema possam obter as informações que desejarem a qualquer momento é importante que a rede suporte a demanda. Assim, garantir o princípio da disponibilidade em um sistema significa permitir que os usuários autorizados tenham acesso aos dados sempre que for necessário, além de impedir o acesso de terceiros não autorizados. Também faz parte do princípio da disponibilidade garantir que possíveis falhas de segurança sejam usadas para afetar o funcionamento de um serviço que esteja hospedado na internet, como exemplo, os ataques de negação de serviço DoS (Denial of Service) (ALVEZ, 2021).
O princípio da integridade estabelece que as informações armazenadas ou transferidas sejam sempre mantidas na sua forma original. Esse princípio tem se mostrado bastante crítico hoje em dia, em particular com o crescente aumento na prática da adulteração de informações utilizadas para a propagação de notícias falsas, conhecidas como fake news. Essa primitiva tem por objetivo se preocupar com as mudanças indevidas que uma informação pode sofrer quando são armazenadas ou ao ser transmitidas para um destinatário. Em outras palavras, manter o princípio da integridade é manter a consistência e a veracidade dos dados em todo o seu ciclo de vida. 24 Esse princípio requer artifícios extras de redundância de dados, como por exemplo, a utilização de Log que funciona como um registro completo de todas as manipulações que foram feitas nos dados. Assim, é possível identificar se algum dado do sistema foi manipulado ou, ainda, se algum dado foi adicionado ou removido do sistema (ALVEZ, 2021)
A privacidade pode ser definida como um dos objetivos finais da segurança da informação. Essa ação se baseia no princípio da confidencialidade dos dados. Em linhas gerais, trata-se de um direito pessoal e universal que se manifesta como: a garantia de confidencialidade de informações particulares e pessoais, também como a liberdade de anonimato na utilização de serviços e, por fim, a limitação da disponibilidade de informações particulares em geral. Na computação, a privacidade é um dos pontos mais críticos relacionados ao desenvolvimento de novas tecnologias. A cada novo paradigma que possa surgir é essencial que se pense em como isso afetará o componente humano e, consequentemente, a segurança e a privacidade dos usuários dessa nova tecnologia. O desenvolvimento de novas tecnologias paralelas à internet também fez aumentar a preocupação com a privacidade dos seus usuários. O direito à privacidade que é estabelecido no artigo 12 da Declaração dos Direitos Humanos, de 1948, é um direito que precisa ser preservado no mundo digital. Tendo como base o exposto sobre o grande volume de dados acessíveis na internet, é fundamental que a privacidade dos dados seja um objetivo constante para empresas e usuários, visto que a violação da privacidade em um ambiente tão amplo como a internet pode acarretar em consequências irreparáveis, podendo afetar inclusive o exercício da democracia (DIAS, 2016).
Um dos grandes desafios enfrentados para a segurança da informação na IoT é se adequar a grande quantidade de elementos de Hardware e de Software que fazem parte deste ambiente. Para alcançar níveis mais altos de segurança nesse ponto é fundamental que as aplicações sejam desenvolvidas com suporte nativo a uma grande diversidade de protocolos de segurança e de conexão. Isso é fundamental para que todos os elementos do paradigma sejam atendidos devidamente. Também é importante que a segurança da informação e privacidade dos dados sejam objetivos constantes, sendo construídos com boas práticas de desenvolvimento e com a devida gestão de risco.
A segurança da informação na IoT é um conceito que se mantém praticamente similar à sua concepção original na computação. De fato, ela é um tema que precisa ser mais bem elaborado para que esse novo paradigma possa se desenvolver de forma estável, escalável e consistente. Por conseguinte, é preciso pensar em segurança da informação como um processo contínuo, dividido em pequenas etapas e visando criar uma rede mundial de IoT que conceda condições de ofertar segurança aos dispositivos e também privacidade para os usuários.
Diante disso, é essencial entender que a IoT possui requerimentos específicos para desenvolver suas aplicações. No que tange à segurança, indica que a IoT produz um ambiente com um número muito maior de dispositivos ativos, ou seja, de elementos que podem ser afetados em caso de uma má gestão da segurança. Devido ao grande número de dispositivos coletando dados, a gestão da privacidade deles na IoT é algo que deve ser prioridade, visto que a exposição dos dados pessoais afeta diretamente os direitos humanos (BUENO, 2018).
No cenário atual da IoT, os problemas com a segurança de todos os dispositivos conectados à internet são inevitáveis. Como consequência, torna-se necessário que os dispositivos e sistemas para a IoT sejam projetados com base em técnicas de segurança e de privacidade e também é necessário que os usuários sejam preparados para que possam utilizar os equipamentos compatíveis com os princípios básicos da segurança. Ademais, é primordial que esses dispositivos recebam atualizações de segurança de forma constante com o objetivo de eliminar possíveis vulnerabilidades em seus sistemas (BUENO, 2018).
Atividade Extra
Para aprofundar seus conhecimentos acerca dos temas abordados neste módulo, você pode assistir aos vídeos através dos links abaixo:
Confidencialidade na segurança da informação
https://www.youtube.com/watch?v=F9188tXnG1w
Segurança da informação