Desenvolver conhecimento – Internet das Coisas e a proteção dos seus utilizadores
No início do ano de 2019, a CNN conseguiu aceder a uma variedade de imagens de câmaras através de um motor de busca para dispositivos IoT, o Shodan. Observaram remotamente crianças a brincar no ginásio de uma escola básica na Indonésia, um homem a preparar-se para dormir num apartamento em Moscovo, uma família australiana e uma mulher a alimentar o seu gato no Japão. Todos eles pareciam desconhecer que as suas vidas estavam a ser transmitidas online, a cada segundo do dia. De acordo com a CNN, nenhuma das câmaras tinha sido submetida a verificações de segurança e estava disponível para qualquer pessoa que soubesse o endereço certo.
Para evitar que este tipo de situação lhe aconteça, existem algumas técnicas, procedimentos e comportamentos que deveriam ser adotados tanto pelos programadores de dispositivos IoT como pelos usuários de dispositivos inteligentes. Abaixo encontram-se algumas medidas para reagir e prevenir ciberataques em todas as camadas que compõem os dispositivos IoT.
Como se pode observar, a maior parte dos mecanismos de privacidade e segurança para a Internet das Coisas devem ser implementados. Os criadores da IoT devem concentrar os seus esforços na criação de dispositivos fisicamente seguros e protegidos com algoritmos criptográficos, plataformas de gateway reforçadas, encriptação complexa, antivírus, anti-spyware, anti-adware e técnicas de segurança avançadas e atualizadas. Por conseguinte, o utilizador fica dependente dos mecanismos de segurança já integrados nos dispositivos IoT para garantir a sua privacidade e segurança. No entanto, existem algumas ações que o utilizador, enquanto consumidor de dispositivos ligados à IoT, deve conhecer para ultrapassar várias ameaças à segurança e privacidade da loT:
1º – Ler os requisitos de segurança e a política de privacidade para os dispositivos
Escolher sempre um dispositivo IoT de um fabricante transparente e de confiança. O utilizador tem o direito de conhecer as técnicas de segurança implementadas na IoT.
Além disso, deve-se sempre ler a política de privacidade do dispositivo, de modo a estar ciente de como funciona o dispositivo IoT e as razões pelas quais os dados pessoais estão a ser recolhidos e utilizados por dispositivos inteligentes IoT. Em termos simples, antes de utilizar um dispositivo IoT, deve-se ser capaz de saber se se pode:
Aceder, visualizar e remover os dados recolhidos através da Internet sem fios;
Desconectar os dispositivos IoT quando desejar;
Consentir no armazenamento dos dados pessoais no dispositivo IoT.
2º – Parar de usar a password predefinida!
A primeira coisa que se deve fazer com um dispositivo IoT é verificar se ele permite alterar a palavra-passe predefinida. É importante usar sempre uma senha única e forte para cada dispositivo IoT. Adicionalmente, é pertinente alterar as palavras-passe do router Wi-Fi de forma frequente.
3º – Desactivar o acesso remoto (WAN) ao dispositivo
Uma pessoa que se encontre em casa e procure no Google “qual é o meu endereço IP?” no seu computador conseguirá ver aí o seu endereço IP WAN. Este endereço é único na Internet em qualquer altura. Se a mesma pessoa viajar para longe de casa, esse endereço IP é o que pode usar para aceder remotamente aos seus dispositivos domésticos inteligentes. Se os dispositivos não estiverem protegidos, o endereço IP é tudo o que é necessário para qualquer pessoa que queira aceder a eles. De facto, foi isso que a CNN utilizou para aceder a uma variedade de câmaras!
4º – Desativar as funcionalidades que não são usadas
Um dispositivo inteligente de confiança é um dispositivo que permite personalizar as suas funcionalidades. Por exemplo, se o seu relógio inteligente não estiver a ser usado para recolher os últimos dados de treino, deve-se ativar a ligação Bluetooth; ou se se estiver a registar um percurso de corrida, o GPS e a pista de localização devem ser ativados.
5º – Ser um superagente de Cibersegurança!
Sabias que 95% das violações da cibersegurança originam em erros humanos? Portanto, a alfabetização cibernética é a forma mais importante de eliminar os ciberataques. Um superagente de segurança cibernética deve dominar todas as fases do plano de consciencialização cibernética:
Quer na qualidade de utilizadores de dispositivos IoT no quotidiano, quer como proprietários ou gestores de uma empresa que usa tecnologia e Internet no seu dia-a-dia, devemos aumentar as hipóteses de identificar um ataque à segurança ou à privacidade antes de este ser totalmente concretizado, minimizando os danos e reduzindo os custos de recuperação.
Por esta altura, já tens todos os conhecimentos básicos para estares mais à vontade na identificação de ameaças e vulnerabilidades, na avaliação do risco e na proteção do dispositivo. Mas e se, apesar de toda a prevenção e cuidado, continuares a ser vítima de um incidente de ciberataques enquanto utilizas a loT? A resposta depende dos 4 Q’s: Quem, o Quê, Quando e Qual.
QUEM
Faz uma lista de quem chamar no caso de um incidente. É fundamental saber quem tomará a decisão de iniciar os procedimentos de recuperação e quem será o principal contacto com os respetivos responsáveis pela aplicação da lei.
O QUÊ
Certifica-te que tens um plano para o que fazer com os teus dados no caso de um incidente.
Isto pode incluir desligar e reiniciar todos os teus sistemas IoT.
QUANDO
Determina quando alertar o pessoal de emergência, profissionais de cibersegurança, prestadores de serviços ou seguradoras.
QUAL
O plano de resposta deve esclarecer quais os tipos de atividades que constituem um incidente de segurança da informação. No que respeita a uma organização, isso inclui incidentes como o facto de o website da mesma estar em baixo por mais do que um período de tempo especificado ou provas de um roubo de informação.
Por favor não te esqueças de envolver a família, amigos e/ou funcionários no teu plano de consciencialização cibernética, pois a cibersegurança é da responsabilidade de cada utilizador da IoT!
No início do ano de 2019, a CNN conseguiu aceder a uma variedade de imagens de câmaras através de um motor de busca para dispositivos IoT, o Shodan. Observaram remotamente crianças a brincar no ginásio de uma escola básica na Indonésia, um homem a preparar-se para dormir num apartamento em Moscovo, uma família australiana e uma mulher a alimentar o seu gato no Japão. Todos eles pareciam desconhecer que as suas vidas estavam a ser transmitidas online, a cada segundo do dia. De acordo com a CNN, nenhuma das câmaras tinha sido submetida a verificações de segurança e estava disponível para qualquer pessoa que soubesse o endereço certo.
Para evitar que este tipo de situação lhe aconteça, existem algumas técnicas, procedimentos e comportamentos que deveriam ser adotados tanto pelos programadores de dispositivos IoT como pelos usuários de dispositivos inteligentes. Abaixo encontram-se algumas medidas para reagir e prevenir ciberataques em todas as camadas que compõem os dispositivos IoT.
Como se pode observar, a maior parte dos mecanismos de privacidade e segurança para a Internet das Coisas devem ser implementados. Os criadores da IoT devem concentrar os seus esforços na criação de dispositivos fisicamente seguros e protegidos com algoritmos criptográficos, plataformas de gateway reforçadas, encriptação complexa, antivírus, anti-spyware, anti-adware e técnicas de segurança avançadas e atualizadas. Por conseguinte, o utilizador fica dependente dos mecanismos de segurança já integrados nos dispositivos IoT para garantir a sua privacidade e segurança. No entanto, existem algumas ações que o utilizador, enquanto consumidor de dispositivos ligados à IoT, deve conhecer para ultrapassar várias ameaças à segurança e privacidade da loT:
1º – Ler os requisitos de segurança e a política de privacidade para os dispositivos
Escolher sempre um dispositivo IoT de um fabricante transparente e de confiança. O utilizador tem o direito de conhecer as técnicas de segurança implementadas na IoT.
Além disso, deve-se sempre ler a política de privacidade do dispositivo, de modo a estar ciente de como funciona o dispositivo IoT e as razões pelas quais os dados pessoais estão a ser recolhidos e utilizados por dispositivos inteligentes IoT. Em termos simples, antes de utilizar um dispositivo IoT, deve-se ser capaz de saber se se pode:
2º – Parar de usar a password predefinida!
A primeira coisa que se deve fazer com um dispositivo IoT é verificar se ele permite alterar a palavra-passe predefinida. É importante usar sempre uma senha única e forte para cada dispositivo IoT. Adicionalmente, é pertinente alterar as palavras-passe do router Wi-Fi de forma frequente.
3º – Desactivar o acesso remoto (WAN) ao dispositivo
Uma pessoa que se encontre em casa e procure no Google “qual é o meu endereço IP?” no seu computador conseguirá ver aí o seu endereço IP WAN. Este endereço é único na Internet em qualquer altura. Se a mesma pessoa viajar para longe de casa, esse endereço IP é o que pode usar para aceder remotamente aos seus dispositivos domésticos inteligentes. Se os dispositivos não estiverem protegidos, o endereço IP é tudo o que é necessário para qualquer pessoa que queira aceder a eles. De facto, foi isso que a CNN utilizou para aceder a uma variedade de câmaras!
4º – Desativar as funcionalidades que não são usadas
Um dispositivo inteligente de confiança é um dispositivo que permite personalizar as suas funcionalidades. Por exemplo, se o seu relógio inteligente não estiver a ser usado para recolher os últimos dados de treino, deve-se ativar a ligação Bluetooth; ou se se estiver a registar um percurso de corrida, o GPS e a pista de localização devem ser ativados.
5º – Ser um superagente de Cibersegurança!
Sabias que 95% das violações da cibersegurança originam em erros humanos? Portanto, a alfabetização cibernética é a forma mais importante de eliminar os ciberataques. Um superagente de segurança cibernética deve dominar todas as fases do plano de consciencialização cibernética:
Quer na qualidade de utilizadores de dispositivos IoT no quotidiano, quer como proprietários ou gestores de uma empresa que usa tecnologia e Internet no seu dia-a-dia, devemos aumentar as hipóteses de identificar um ataque à segurança ou à privacidade antes de este ser totalmente concretizado, minimizando os danos e reduzindo os custos de recuperação.
Por esta altura, já tens todos os conhecimentos básicos para estares mais à vontade na identificação de ameaças e vulnerabilidades, na avaliação do risco e na proteção do dispositivo. Mas e se, apesar de toda a prevenção e cuidado, continuares a ser vítima de um incidente de ciberataques enquanto utilizas a loT? A resposta depende dos 4 Q’s: Quem, o Quê, Quando e Qual.
QUEM
Faz uma lista de quem chamar no caso de um incidente. É fundamental saber quem tomará a decisão de iniciar os procedimentos de recuperação e quem será o principal contacto com os respetivos responsáveis pela aplicação da lei.
O QUÊ
Certifica-te que tens um plano para o que fazer com os teus dados no caso de um incidente.
Isto pode incluir desligar e reiniciar todos os teus sistemas IoT.
QUANDO
Determina quando alertar o pessoal de emergência, profissionais de cibersegurança, prestadores de serviços ou seguradoras.
QUAL
O plano de resposta deve esclarecer quais os tipos de atividades que constituem um incidente de segurança da informação. No que respeita a uma organização, isso inclui incidentes como o facto de o website da mesma estar em baixo por mais do que um período de tempo especificado ou provas de um roubo de informação.
Por favor não te esqueças de envolver a família, amigos e/ou funcionários no teu plano de consciencialização cibernética, pois a cibersegurança é da responsabilidade de cada utilizador da IoT!