Ferramentas de IoT podem ser usadas como armas cibernéticas |
Em tempos de Internet das Coisas, o mundo se vê diante de um cenário de aumento progressivo da conectividade de pessoas e máquinas. Para debater potenciais e riscos ligados a esse desenvolvimento tecnológico, o Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC) reuniu especialistas para discutir os desafios da segurança cibernética no contexto da Estratégia Digital Brasileira (EDB). A questão pautou a primeira sessão do seminário Confiança no Ambiente Digital, realizado na quinta-feira, 8, em Brasília.
A diretora de Políticas e Programas Setoriais em Tecnologia da Informação e Comunicações do MCTIC, Miriam Wimmer, propôs um debate sobre Internet das Coisas (IoT), seus caminhos e possíveis implicações. "Como devem ser distribuídas as responsabilidades pela defesa cibernética? Em que medida preocupações relativas à privacidade e à segurança podem frear a proliferação de dispositivos conectados? Como iniciativas no campo de pesquisa e desenvolvimento podem contribuir para superar os desafios tecnológicos e aumentar a autonomia nacional nesse campo?", questionou.
Para o diretor-executivo da GridVortex Systems, Jonny Doin, todos os processos funcionais da sociedade devem passar pela IoT, inexoravelmente, por meio de dispositivos ligados ao corpo de cada pessoa e a seu entorno, como carros, eletrodomésticos e infraestrutura de cidades inteligentes. "As novas doutrinas de guerra cibernética tratam esses dispositivos como armas", alertou. "Isso está acontecendo neste momento. Estamos sendo atacados diariamente. E a garantia de segurança do cidadão significa também a garantia de segurança do Estado, que, portanto, é estratégica. Precisamos fazer com que esse processo tecnológico, eminentemente civil e de mercado, acrescente uma camada mínima de requisitos de cuidado, para que esses dispositivos sejam menos suscetíveis a se transformarem em armas efetivas."
Segundo Doin, governo e indústria dividem a responsabilidade de evitar que as ferramentas de IoT se transformem em armas nocivas. "Nós da iniciativa privada estamos sendo chamados pela oportunidade de sermos players dessas novas infraestruturas. Assim, estudamos continuamente os riscos do negócio envolvidos", explicou. "E há um ponto de convergência bastante fácil de ser colocado, que é o de se exigir que os dispositivos desempenhem as suas funções e, caso sejam atacados, se desconectem do processo. Dois semáforos não podem ficar verdes ao mesmo tempo, jamais. Ou seja, a garantia funcional dessas coisas deve ser mais importante, colocada como requisito essencial."
Ataques DDoS
O pesquisador Sérgio Luiz Ribeiro, do Centro de Pesquisa e Desenvolvimento em Telecomunicações (CPqD), reforçou o caminho sem volta da massificação das tecnologias e a abertura de portas para a sociedade. "Dispositivos ainda não concebidos ou mesmo outros já existentes no mercado e inseridos no mundo real, como smartphones, precisam ser pensados com mais segurança", avaliou. "Esses últimos ataques advieram não só de dispositivos de grande porte, mas também de pequenos", comentou, ao recordar "a primeira invasão em massa promovida por uma rede de IoT", em 2016, via sistemas de vigilância, como câmeras e aparelhos de gravação.
De acordo com ele, esses ataques de negação de serviço distribuído (DDoS, na sigla em inglês), técnica que gera grande volume de tráfego, têm ocasionado danos substanciais a empresas de porte, como o Yahoo, com perda temporária de disponibilidade de internet. "Uma ameaça enorme está surgindo e, se a gente não controlar e não tiver uma base mínima de legislação que garanta tanto a segurança quanto a privacidade, não vai ser possível que essa massificação ofereça um bom serviço para todos", previu. "Ataques vão ocorrer quando forem colocados dispositivos. Resta a nós minimizar impactos."
O diretor de Assuntos Governamentais da Cisco, Giuseppe Marrara, destacou que o aumento do número de dispositivos da Internet das Coisas deve vir acompanhado pela digitalização da economia, com a transformação de negócios hoje em processo analógico e manual. "Isso aumenta a superfície de ataque", afirmou. "Quanto maior a infraestrutura, maiores os caminhos que existem para que ela seja atacada e maior o grau de suscetibilidade."
Na visão de Marrara, a simplicidade computacional de equipamentos de IoT pode torná-los incapazes de se defender. "Portanto, a rede passa a ter o papel de fazer a defesa daquele dispositivo", esclareceu. "A rede tem que entender, ainda ali, no primeiro setor de comunicação, que, se atrás dela só tem sensor de agricultura e alguém está tentando comprar um livro na Amazon, algo está errado. Então, é papel dela corrigir anomalias. O usuário só vai de fato abraçar a tecnologia e usá-la quando tiver confiança de que é uma transação segura. Afinal, nós, como humanos, tememos tudo aquilo que desconhecemos."
O engenheiro militar Alexandre Cabral Godinho, do Centro de Defesa Cibernética do Exército, associou a massificação das tecnologias à "avidez do público por consumir tecnologia, nem sempre preocupado com a segurança". Para ele, governo e indústria têm que se preparar cada vez mais para ataques por meio de dispositivos, sistemas de vigilância ou mesmo roteadores domésticos, que abriram caminho para DDoS na Alemanha e na Rússia.
Contribuição da ciência
O presidente da Sociedade Brasileira de Computação (SBC), Lisandro Granville, considera que o país esteja razoavelmente organizado do ponto de vista de pesquisa científica voltada à segurança da informação. "Temos trabalhos reconhecidos internacionalmente, embora nem sempre isso se traduza em benefícios para a sociedade", ponderou. "Mas, ainda que a gente esteja bem munido de recursos humanos na academia para levar à frente projetos em nível internacional, existem espaços importantes a serem observados, como uma maior interação com o exterior e a indústria."
Na opinião de Granville, a comunidade científica brasileira pode ampliar seu fluxo de cooperação com o resto do mundo. "Isso já se dá de forma orgânica, hoje, em computação, porque é dificilmente imaginável avançar cientificamente sem parceiros internacionais. Mas é importante também que haja indução. E felizmente a gente tem encontrado projetos e ações da Sepin [Secretaria de Política de Informática do MCTIC]. Essas parcerias fazem com que a academia local tenha contato com problemas internacionais, porque eles também podem ser problemas nossos. Da mesma forma, a gente tem peculiaridades brasileiras que precisam ser tratadas domesticamente, porque só nós conhecemos essas peculiaridades."
Granville enxerga a IoT como eixo para reverter um quadro crônico da ciência brasileira. "Outra parte dessa equação é permitir que essa academia interaja com a indústria e vice-versa, para tentar diminuir o já tradicional gap entre os setores. O conhecimento que se tem nas universidades não raramente se transforma em artigos científicos que terminam em bibliotecas virtuais acessadas por pesquisadores. É um sistema que se autoalimenta, mas não necessariamente se transforma em valor para a sociedade. E talvez este contexto de Internet das Coisas seja uma oportunidade para se fazer isso, porque existe conhecimento na academia que pode beneficiar o mercado."
O professor Jorge Fernandes, do Departamento de Ciência da Computação da Universidade de Brasília (UnB), estabeleceu uma analogia entre a segurança cibernética e o cenário de saúde pública, sujeito a endemias, epidemias e pandemias. "Saúde é um problema que envolve não só o Estado, mas também a sociedade. Então, nos dois casos, a resiliência é construída não só dentro do Estado, como responsável pelas estruturas de controle e normatização, mas com apoio social – e nós temos um problema no Brasil que é a desigualdade educacional. O grande desafio, de fato, está em educar a sociedade." [ Fonte: Computerworld ]