Notificar incidente

A Internet das Coisas (IoT – Internet of Things)

Mas o que é isso da Internet das Coisas ou Internet de Tudo? A Internet das Coisas, também conhecida pelo acrónimo IoT, compreende todos os aparelhos e objetos que se encontram habilitados a estarem permanentemente ligados à Internet, sendo capazes de se indentificar na rede e de comunicar entre si. Podem ter o seu estado alterado através daquele meio, com ou sem o envolvimento ativo do ser humanos e têm capacidade para recolher uma vasta quantidade de informação sobre os que o rodeia. A Internet Society define o IoT em sentido amplo como "a extensão da conectividade de rede e capacidade de computação para objetos, dispositivos, sensores e outros artefactos que normalmente não são considerados computadores”.


Veículos, luzes de trânsito, eletrodomésticos, câmaras de vigilância, detetores de condições ambientais, sensores de presença, e dispostivos médicos são apenas alguns exemplos do que já hoje existe no universo IoT. O objetivo (benigno) de todos estes dispositivos e sobretudo da grande quantidade de dados resultantes da respetiva interação atraves da Internet, é que o processamento resultante seja efetuado de forma a que, por exemplo, se evitem engarrafamentos de trânsito, se antecipe atempadamente uma doença fatal num doente ou um incidente num edifício, se utilize de forma mais eficiente a energia, para dar apenas alguns exemplos.


Relativamente à Indústria 4.0, também conhecida por Industry IOT (IIoT), o conceito vai muito para além da mera implantação de sistemas eletrónicos e de TICs em geral nos processo de produção nas fábricas, que caracterizou a Indústria 3.0, conforme se mostra no slide (figura abaixo).


Esta nova vaga tecnológica, que se baseia no conceito acima explanado sobre a IoT, viabiliza uma grande interação entre os diversos dispositivos instalados ao longo da cadeia de produção no “chão de fábrica”, incluindo a cadeia logística, proporcionando que os processos de fabrico resultem de uma comunhão entre o mundo físico e o virtual. Quer os equipamentos nas linhas de produção, quer os produtos que estão a ser fabricados, quer os centros logísticos são capazes de interagir autonomamente, mais uma vez com o objetivo (benigno) de melhorar o processo produtivo e assim fabricar produtos de maior qualidade, mais alinhados com os requisitos do cliente e com uma melhorada eficiência em toda a cadeia de valor. Por outras palavras, a tecnologia digital em que se baseia a Indústria 4.0, quer na componente de produção quer na componente logística, contempla a simbiose da informação digital proveniente de várias fontes e locais, tendo em vista o comando e controlo do ato físico de produzir e distribuir um bem ou conjunto de bens. Esta união dos sistemas TIC com as OT (Operational Technologies) é caracterizada por uma forte interação digital-físico-digital, envolvendo um conjunto de tecnologias que vão muito para além do IoT, como é o caso da análise massiva de dados (Big Data & Analytics), impressão 3D, robótica e inteligência artificial, entre outros, e que completam o ciclo que digitaliza todo o processo produtivo e logístico.


Assim, a IoT é, quer nós queiramos quer não, uma realidade inexorável e já não há maneira de regressar ao passado. Irá progressivamente invadir o espaço onde trabalhamos, onde nos divertimos e onde vivemos todos os dias. Neste contexto, temos duas atitudes possíveis: ou ignoramos esta realidade ou enfrentamo-la, preparando-nos para esta nova normalidade por nós criada, na procura de alcançarmos os já supracitados objetivos benignos. Todavia, esta realidade também pode servir propósitos malévolos, quer para a nossa própria vida privada, quer para a atividade profissional que desenvolvemos, designadamente no contexto da Defesa e Segurança Nacionais. Surgem-me, assim, as seguintes questões que passaria a partilhar convosco: Sabemos se no nosso espaço de trabalho já existem dispositivos IoT? Existem políticas definidas quanto ao respetivo processo aquisitivo, quanto aos locais onde os mesmos podem ser instalados, quanto à forma como devem ser instalados e configurados e ligados à rede corporativa, quanto à certificação das pessoas que os instalam e mantêm? E porque é que partilho estas perguntas, que no fundo revelam uma preocupação? Porque se temos mais dispositivos ligados à Internet, a superfície de contacto com o Mundo exterior aumenta e assim também aumenta o risco de sofrermos um grave comprometimento devido ao inerente e substancial incremento da superfície de ataque.


De facto, um trabalho de 2016 da Deloitte em conjunto com a Manufacturers Alliance for Productivity and Innovation (MAPI) demonstra que quase metade dos fabricantes de dispositivos IoT utiliza APPs para interagir com esses equipamentos enquanto tal, e que 75% utilizam redes sem fios para transmitir dados de e para esses objetos. E é consabido que a utilização destes dois mecanismos cria vulnerabilidades consideráveis para aqueles que têm esses objetos instalados nos seus espaços de trabalho. Para além disso, é também sabido que o firmware embebido nos dispositivos, e que constitui o cerne do respetivo controlo, não é atualizado regularmente pelos respetivos fabricantes, de modo a resolver vulnerabilidades entretanto identificadas. É, por isso, imperativo que quem produz estes tipos de sistemas tenham o “security by design” como norma e que quem os adquire exija evidências que tal foi o caso.


Como alguns saberão, numa das sextas-feiras de Outubro de 2016, ocorreu um ataque do tipo distributed denial of service (DDoS) na costa leste dos EUA, perpetrado através de um malware denominado Mirai, que foi previamente instalado em câmaras de vigilância e smart TVs que não tinham o “security-by-design” embebido no respetivo desenvolvimento e que tinham sido incorretamente instaladas porque mantinham as credenciais de acesso definidas pelo fabricante (username = admin, Password= admin), não tendo sido atualizados com as necessárias correções de segurança, o que facilitou a vida aos hackers que assim conseguiram inviabilizar durante um dia inteiro, serviços como o NETFLIX, o Twiter, o FB, entre outros. Neste ataque, os dispositivos IoT infetados saturaram com milhares de pedidos de acesso os servidores daqueles serviços, até ao respetivo colapso. A investigação que se seguiu ao incidente revelou que alguns dos fabricantes dos dispositivos que foram comprometidos não apresentavam qualquer mecanismo de alteração das credenciais de acesso, estando estas “hard coded” no equipamento, nem tinham sido concebidos com a resiliência digital como requisito fundamental.


Desta forma, podemos desde já inferir que deveria ser definida uma política para os dispositivos IoT a instalar no âmbito da Defesa e Segurança, ou mesmo em instalações governamentais relacionadas com a soberania nacional, que contemple um conjunto de requisitos que mitiguem os problemas aqui identificados: obrigatoriedade de ligação filar (ou ótica) à internet (ou à rede corporativa), capacidade de inibir a ligação sem fio, capacidade de alterar as credenciais de acesso, capacidade de comunicação encriptada, obrigatoriedade de atualização de firmware por parte do fabricante, para dar alguns exemplos. De igual modo, a indústria deverá desenvolver ativos de rede, aos quais o objetos IoT se ligarão, concebidos para conter uma camada de segurança, que funcionaria como se de uma Firewall para IoT se tratasse, e que poderiam interagir com todo o ecossistema de segurança corporativa, designadamente com o SIEM (Security Information and Event Management) existente, permitindo assim a monitorização do comportamento dos dispositivos e assinalando qualquer alteração ao padrão de débito de informação, e, caso necessário, isolando preventivamente o objeto com comportamento anómalo.


No contexto da Indústria 4.0 os problemas que descrevi são congéneres, ainda que de uma dimensão muito mais alargada. De facto, um comprometimento a este nível pode ter consequências mais vastas, que irão desde o impacte nos processos produtivos e logísticos, à introdução premeditada de anomalias nos equipamentos fabricados, que poderão permitir o seu comando e controlo por alguém com intenção de inibir o seu utilizador de os usar quando necessário, para o fim para que foi concebido. Por esta razão, os cuidados devem ter o respetivo foco em todo o ciclo de vida do dispositivo, contemplando a sua conceção, o seu fabrico, a sua instalação, a política de manutenção, incluindo quem a efetua, devendo a indústria que produz o artefacto estar preparada para, através de uma espécie de certificação, mostrar ao cliente, evidências que os dispositivos IoT cumprem os requisitos de resiliências exigidos e o processo produtivo e logístico não foi objeto de comprometimento, cujos efeitos adversos possam vir a ser sentidos mais tarde, aquando da utilização operacional do sistema que foi adquirido.
O grande problema com que nos deparamos é que a indústria não está preparada para estes novos e exigentes requisitos; e nós, creio que também não. Assim, julgo que teremos que nos reunir com a indústria que produz este tipo de equipamentos, com os grandes atores da área das infraestruturas de rede e com as Academias, de modo a que, em estreita colaboração, possamos desenvolver uma estratégia para a resiliência digital da IoT e da IIoT e das tecnologias que relevam para esta última, sob risco de, sem nos darmos conta disso, estarmos a incrementar a nossa vulnerabilidade de forma muito perigosa, sobretudo em áreas onde se joga a soberania nacional. Eventos deste tipo são um excelente fora para identificarmos o problema mas não são suficientes para identificarmos as soluções. E urge que o façamos!


Partilho algumas perguntas que se poderá procurar responder nesse possível trabalho de reflexão, desejavelmente conjunto:

  • Como reduzir a superfície de ataque potencialmente alargado por todos os IoT? Será que não deveríamos procurar uma abordagem baseada na gestão do risco, distribuindo-o por quem produz os dispositivos, por quem os liga à rede, por quem os mantém e finalmente por quem os utiliza?
  • Como fazer compreender que os benefícios da Indústria 4.0 também apresentam desafios em termos de cibersegurança?
  • Como fomentar que, no contexto do Industria 4.0, as empresas mantenham as respetivas redes produtivas atualizadas com as mais recentes versões de software de modo a que, vulnerabilidades conhecidas, não perdurem no ambiente produtivo por muito tempo? É que as empresas tendem a não fazer estas atualizações por tal, provocar a paragem da produção, o que se pode refletir em perdas imediatas.
  • Como gerir a necessidade de implementação de cibersegurança na IoT e IIoT com os seus custos (não quantificados ainda) que poderão constituir um “show stoppers” para as entidades nacionais (públicas e privadas)?
  • Como compatibilizar a privacidade das pessoas com os produtos gerados no âmbito da Industria 4.0?
  • Como criar competências e gerir os talentos existentes nesta área do conhecimento, tão nova e tão complexa, quando na área da segurança digital ou cibersegurança, já existe uma procura muito maior que a oferta. Estima-se que em 2020 faltarão na Europa 825 000 especialistas para implementar o “Digital Single Market (DSM)”?
  • Como conciliar a “democratização” do digital e a necessária “securização” do IoT?
  • Como convencer os líderes que estes são assuntos de negócio e que portanto, devem fazer parte da sua agenda como CEO’s?

A título de conclusão diria que a IoT e o IIoT são uma realidade concebida para trazer melhorias significativas às múltiplas atividades do ser humano, mas que incrementam substantivamente a superfície de ameaça face a uma potencial e muito provável utilização malévola desse “ecossistema”. Assim, torna-se necessário desenvolver um conjunto de políticas que, tendo por base a “security by design”, enquadrem a produção, a aquisição, a instalação, e as demais fases do ciclo de vida dos dispositivos IoT, de modo a que, no âmbito do Estado em geral e das atividades de soberania em particular, consigamos maximizar a nossa preparação e mitigar o risco que decorre desta nova realidade. A responsabilidade de incrementar a resiliência digital desses dispositivos não deve caber exclusivamente àqueles que utilizam o equipamento conectado; a responsabilidade deve ser compartilhada com os respetivos fabricantes, que são os que estarão melhor posicionados para implementar os mecanismos de segurança mais eficazes.


Uma coisa é certa: o que não podemos é ignorar estes factos, esperando que tudo continue na mesma e se resolva por si. Cabe, por isso, a cada um de nós, antecipar o problema e desenvolver no nosso âmbito, os necessários esforços para que a IoT e a decorrente IIoT se implante na nossa sociedade com todo o seu potencial benigno.