FacebookTwitterLinkedIn

IoT e os desafios de armazenamento e segurança de dados

https://network-king.net/wp-content/uploads/2021/04/IoT8-769x414.jpg

A Internet das Coisas (IoT) enfrentará obstáculos para crescer. De acordo com o diagnóstico de alguns especialistas, as chamadas dores do crescimento, muito citadas em consultórios pediátricos, não estão restritas aos universos pueril e adolescente, atingindo também as novas tecnologias e ambientes subjacentes à IoT.

É certo que a Internet das Coisas abre um novo campo de oportunidades, mas também apresenta novos desafios relacionados ao enorme volume de dados que está gerando. Para Stefan Vucicevic, articulista da Jatheon Technologies, são várias as questões que precisam ser respondidas e, claramente, não há uma resposta única para todas. Ainda assim, estratégias podem ajudar as empresas fornecedoras de soluções IoT a enfrentar um cenário regulatório cada vez mais complexo e estabelecer as bases para garantir a conformidade das operações.

A coleta e a apresentação de dados extraídos de várias fontes em uma solução IoT é vista como uma das questões de conformidade mais desafiadoras. Imagine, por exemplo, uma frota de caminhões ou um hospital, ambos com uma ampla variedade de dispositivos IoT inteligentes. Quantos aspectos regulatórios precisariam serem administrados?

Dados relacionados a dispositivos e serviços IoT precisam ser armazenados por um certo período. Precisam estar disponíveis para casos de e-discovery ou litígio judicial. Em geral, a IoT trabalha com dados altamente confidenciais, como informação de biometria e localização e, consequentemente, está sujeita a processos judiciais e multas altíssimas. Portanto, é importante preservar os dados, como também garantir a eles privacidade e autenticidade.

Para Vucicevic, uma boa conduta é abordar de maneira estratégica essas questões desde o início de qualquer projeto IoT.  Não é preciso que tal estratégia seja imutável, visto que o cenário da IoT e suas regulamentações estão em evolução, mas deve levar em conta como a solução IoT foi criada e trata os dados e definir diretrizes básicas que ajudarão a manter a conformidade, tais como:

  1. Tipo de dados produzidos (formato, metadados, fontes dos dados e meios de armazenamento)
  2. Quem tem acesso aos dados e como serão gerenciados
  3. Como os dados serão usados e com quais finalidades
  4. Responsáveis pela proteção de dados e o escopo das responsabilidades
  5. Ferramentas e custos de coleta, armazenamento e divulgação dos dados
  6. Como lidar com as solicitações de clientes e possíveis processos judiciais

Por exemplo, nesse último quesito – processos judiciais -, o que fazer quando uma solicitação da justiça chegar até ao provedor ou empresa usuária das soluções IoT, requisitando conjuntos específico de dados? A área jurídica precisará localizá-los – em geral, estão armazenados na nuvem -, providenciar a guarda desses dados e começar a prepará-los para apresentação à justiça.

Isso pode ser muito trabalhoso, se não houver algum método pré-estabelecido de e-discovery. Uma estratégia bem definida e atualizada frequentemente vai ajudar a administrar bem os dados gerados pelas soluções IoT e a salvar a reputação das empresas que as fornecem ou utilizam.

Análise de riscos para iniciativas IoT

As questões de conformidade são apenas uma das variáveis de risco dos projetos IoT. Cibersegurança é outra questão tão ou mais relevante para desenvolvedores e fornecedores de soluções IoT. O que aconteceria se um dispositivo IoT deixasse vazar os dados que coleta? Ou se ele sofresse um ciberataque? E se esse dispositivo envolvesse vidas humanas, como os usados para monitorar sinais vitais? Quais seriam as consequências para pessoas e negócios inteiros?

Para abordar essas questões, o caminho apontado por alguns especialistas é usar uma metodologia de análise de riscos nos projetos IoT. Com ela, pode-se avaliar cada fonte de risco adequadamente, sem superestimar ou subestimá-la, e compartilhar os resultados entre todos os envolvidos no projeto. Cada um deles poderá fazer sua própria avaliação, medir os potenciais impactos e recomendar medidas de controle. Profissionais das empresas Wavestone e Sigfox sugerem começar pela ISO 27005 para saber mais sobre metodologias de análise de risco.

Eles também apontam que os projetos de IoT possuem características especificas que devem ser consideradas durante a análise de risco. Em geral, envolvem uma rede descentralizada de dispositivos, distribuída por uma grande área geográfica e que, por sua natureza, não deve exigir manutenção local. Com esse perfil, torna-se mais difícil garantir a segurança – se um único elo da solução IoT estiver vulnerável, toda a cadeia pode estar sob risco. E quanto maior for a abrangência física, maior será risco. Além disso, é praticamente inviável, por exemplo, fazer atualizações de hardware ou firmware ou instalações de patches no local, em caso de identificação de falhas ou vulnerabilidades.

Muitas vezes, os projetos IoT também envolvem muitas tecnologias e diferentes fornecedores. Esse é outro desafio – será que as medidas de segurança seguidas por cada um deles abordam adequadamente a exposição aos riscos cibernéticos? Por exemplo, muitos sensores trabalham com tecnologia de microcontroladores de 8 bits e, portanto, não podem executar algoritmos de criptografia complexos, exemplificam os especialistas da Wavestone e Sigfox.

Eles recomendam que os fornecedores de soluções IoT tenham uma política de segurança específica para seus produtos e serviços, contemplando regulamentos aplicáveis, riscos aceitáveis e ferramentas usadas para garantir a implementação e a eficiência das medidas estabelecidas. Tais procedimentos devem cobrir todo o ciclo de vida das soluções, as tecnologias usadas e o ecossistema envolvido:

– Segurança ao longo do ciclo de vida dos dispositivos: Pensar em todas as fases, da fabricação à distribuição, incluindo reciclagem e descarte.

– Segurança da pilha de tecnologias: Considerar desde o hardware até a nuvem, incluindo software incorporado, recursos de conectividade e aplicações. Fazer avaliações frequentes – as tecnologias podem não ter mudado, mas novas ameaças e vulnerabilidades podem ter surgido.

– Segurança do ecossistema de parceiros: Certificar-se sobre a maturidade dos parceiros na área de cibersegurança.

Por fim, definir um plano de resposta a incidentes, que deve definir como notificar ameaças, vulnerabilidades ou invasões e medidas técnicas e de comunicação para mitigar os danos e se recuperar com agilidade.

FacebookTwitterLinkedIn