São Paulo (SP) – De acordo com a Gartner Inc., empresa de pesquisa e aconselhamento de mercado 8,4 bilhões de coisas conectadas estariam em uso em 2017 e a expectativa era de 20,4 bilhões até 2020. O crescimento exponencial de aparelhos conectados à internet, tais como smart TVs, caixas de HDTV, medidores de energia e câmeras de segurança oferece, tanto aos usuários B2B quanto B2C, diversas oportunidades de serviços por chamada, mais conveniência, entre outros benefícios.
No caso de sistemas de segurança eletrônica, a Internet das Coisas (IoT na sigla em inglês) permite a organizações o monitoramento remoto, bem como a identificação e a resposta a questões de segurança. Senhas digitais podem ser rapidamente alteradas, por exemplo, para limitar ou permitir o acesso, adicionando uma camada extra de segurança ao sistema.
Mas, com a tecnologia interconectada vêm também ameaças digitais na forma de phishing (uma maneira desonesta que cibercriminosos usam para enganar e revelar informações pessoais, como senhas de cartão de crédito, CPF e número de contas bancárias, enviando e-mails falsos ou direcionando a websites falsos), bots (diminutivo de robot, também conhecido como Internet bot ou web robot, que nada mais é que uma aplicação de software concebida para simular ações humanas repetidas vezes de maneira padrão, da mesma forma como faria um robô), ransomware (tipo de software nocivo que restringe o acesso ao sistema infectado e cobra um resgate para que o acesso possa ser restabelecido e, caso não ocorra, arquivos podem ser perdidos e até mesmo publicados) e malware (software nocivo), entre outras técnicas usadas por quem ataca desta forma para manipular as vulnerabilidades do network do software e sistemas operacionais.
O que está em jogo?
A Symantec (empresa de segurança cibernética), no seu Relatório de Ameaça de Segurança na Internet de 2017, apresenta estas estatísticas, obtidas a partir da análise conduzida em 2016:
- 1 em de cada 2,596 e-mails contém tentativas de phishing
- Um total de 357 milhões de novas variantes de malware
- 6 milhões de bots
- 229 mil ataques na web bloqueados por dia, em média
- Aparelhos ligados à internet foram atacados em média uma vez a cada dois minutos
Para contextualizar esses números, um ataque ocorrido em outubro de 2016 ganhou as manchetes quando câmeras hackeadas levaram a uma impressionante negação de serviço distribuída (DDOS na sigla em inglês), afetando websites como Amazon, Twitter, Spotify, Yelp, Netflix e Reddit. Um exército de botnets, conhecidos como Mirai, causou um problema gigantesco derrubando sites ou diminuindo severamente sua frequência operacional.
Novos artigos relatam que o tráfego foi conduzido por vários tipos de aparelhos de IoT, incluindo, roteadores, gravadores de vídeo e câmeras. Aparelhos conectados como esses são usados como opção para hackear networks legítimos
No Brasil, hospitais foram alvos de ataques que derrubaram suas redes e causaram problemas no atendimento de pacientes.
Estima-se que, em 2017, o Brasil ficou atrás apenas da China em relação a casos de ataques cibernéticos com danos de US$ 22 bilhões para as empresas, organizações e pessoas vitimadas. (www.jornaldooeste.com.br/noticia/brasil-perdeu-us-22-bilhoes-em-2017-com-ataques-ciberneticos).
Segundo Jose Antonio de Souza Junior, Gerente de Operações da UL do Brasil, empresa especializada em certificações e segurança, muitos dos dispositivos de IoT possuem um servidor web interno que hospeda um aplicativo para gerenciar o dispositivo. O que acontece é que pode haver falhas no código que permitem que sejam atacados. “Como esses dispositivos estão conectados, os pontos fracos podem ser explorados remotamente”, explica.
Segurança do design
A Comissão Federal de Comunicação dos Estados Unidos (FCC em inglês) alertou fabricantes de aparelhos IoT, no início do ano passado, sobre informarem os riscos de cyber segurança logo ou enfrentar mais interferência do governo e regulações mandatórias.
No centro do problema estão os ataques DDOS por meio dos botnets, como os Mirai, e um crescente escrutínio de canais pouco seguros que podem ser facilmente interceptados por hackers. Muitos fabricantes produzem aparelhos fáceis de “quebrar”, conforme mostrado por uma investigação aoQuickLock Padlock, conduzida pelo estado de Nova York (EUA).
A FCC propôs num documento sobre redução de riscos de cyber segurança (Cybersecurity Risk Reduction White Paper, January 18, 2017) a implementação de práticas inteligentes de cyber design, como autenticação de safeguards e aderência a melhores práticas antes de simplesmente priorizar o lançamento do produto. A FCC prefere utilizar parcerias público/privadas, mas complementa que “a Comissão tem as ferramentas para fazer ajustes erestaurar o equilíbrio, se necessário”.
A solução
Para ajudar a melhorar a segurança de sistemas de segurança eletrônica, a UL disponibiliza o UL 2900-2-3, a mais nova contribuição à série UL 2900 de normas de cyber segurança. Desenvolvido com a ajuda da indústria, fornece um conjunto fundamental de desempenho de cyber segurança e requisitos de segurança que fabricantes de produtos conectáveis podem estabelecer como base de proteção contra vulnerabilidades e fraqueza conhecidas e malware.
O Programa de Segurança Cibernética da UL (UL CAP) pode testar e avaliar o software de um produto e certificar sua arquitetura e design de software de acordo com as especificações enumeradas na Descrição de Investigação (Outline of Investigation).
Infraestruturas de segurança eletrônica incluem sistemas de comunicação de emergência, sistemas de alarme de fogo, sistemas de recebimento de alarmes, sistemas de caixa eletrônicos automatizados, sistemas de controle de acesso, câmeras de segurança, gravadores de vídeo, gravadores de vídeo digitais e outros.
O UL 2900-2-3 foi desenvolvido com uma exigência de segurança maior a cada nível. Os testes incluem fuzz testing (teste automatizado de software), detecção de vulnerabilidade conhecida, análise de código, análise binária, análise de controle de risco, teste de penetração estruturada e avaliação de riscos de segurança.
Nível 1 — inclui os requisitos de segurança de base para avaliação de riscos de segurança em software de produtos inclusos na Descrição de Investigação (Outline of Investigation). Este nível é recomendado como nível mínimo de avaliação.
Nível 2 — inclui todos os requisitos do primeiro e requisitos adicionais de avaliação de riscos de segurança em software de produtos. Este nível também fornece avaliação de capacidades de segurança de um produto com conhecimentos de controles internos de segurança.
Nível 3 — inclui requisitos de avaliação e testes dos dois acima e requisitos adicionais de processo do fabricante e gerenciamento. Também fornece avaliação de capacidades de segurança de um produto com conhecimento de controles internos de segurança e de práticas de negócio do fabricante para endossar o tempo de validade do produto.
No mundo conectado de hoje, há uma variedade enorme de aparelhos que oferecem pontos de entrada para ataques cibernéticos. Agora é a hora de desenvolvedores de software e fabricantes entenderem as vulnerabilidades dos sistemas e protegerem seus produtos contra-ataques. O UL 2900-2-3 pode ajudar a garantir o desempenho e a confiabilidade do software do produto a mitigar esses riscos.
Sobre a UL
UL (Underwriters Laboratories) promove condições de vida e de trabalho seguras para as pessoas em todo o mundo por meio da aplicação da ciência para resolver os desafios de segurança e sustentabilidade. A Marca UL gera confiança, permitindo a adoção segura de novos produtos e tecnologias inovadoras.
Multinacional norte-americana, presente em mais 143 países, a UL está no Brasil desde 2000 quando iniciou as operações, com seis funcionários. Em 2013, adquiriu o laboratório Testtech, de Porto Alegre, que atualmente conta com 50 funcionários e novas instalações em 2017. Atuando em diversas áreas no Brasil, a empresa ensaia, inspeciona, audita, certifica de acordo com as normas do INMETRO e ANATEL valida, verifica, assessora, treina e apoia outras empresas com soluções de software para segurança e sustentabilidade.
Para saber mais sobre UL, visite UL.com.br.
