Cibersegurança e IoT: como proteger indústrias conectadas
Copyright: ST-One
A integração da tecnologia IoT (Internet of Things) nas indústrias é a principal responsável por criar os sistemas ciberfísicos, do inglês Cyber-Physical Systems. Eles são formados pela combinação de estruturas físicas integradas em rede, com componentes cibernéticos, sensores e atuadores. Esses elementos interagem em um ciclo de monitoramento de processos, fornecendo informações para embasar intervenções humanas que afetam o funcionamento de determinada máquina ou sistema.
A crescente preocupação com a cibersegurança está diretamente relacionada à evolução tecnológica e à integração de sistemas IoT na indústria. Isso porque a combinação desses itens amplia a superfície de ataque para cibercriminosos, abrindo margem para que empresas sejam atacadas.
Os ataques cibernéticos, presentes nos sistemas gerenciados por softwares, estão mais sofisticados desde seu surgimento, o que impulsiona a área de Cyber Physical Security (CPS). A cibersegurança tem como objetivo proteger sistemas de computador, aplicações, dispositivos e dados contra ransomwares e outros malwares, golpes de phishing, roubo de dados, entre outras ameaças.
De acordo com Sheilla Valverde, Mestre em engenharia informática, segurança da informação e mecanismos de detecção de intrusão pela UFP (Universidade Fernando Pessoa) e Pós-Graduada em Criptografia e Segurança de Redes pela Universidade Federal Fluminense, “para garantir a segurança, é preciso pensar em uma estratégia que cubra as sete camadas cibernéticas. Isso engloba o mundo digital e físico”, são elas:
- Camada física: protege a infraestrutura contra acessos não autorizados e danos físicos;
- Camada de rede: foca na segurança das comunicações em rede, utilizando firewalls e VPNs;
- Camada de perímetro: proteção de fronteiras de rede, impedindo ameaçadas externas;
- Camada de Endpoint: protege dispositivos finais contra malwares e outras ameaças;
- Camada de aplicação: utiliza práticas de desenvolvimento seguro, teste de penetração e monitoramento contínuo;
- Camada de dados: proteção dos dados armazenados e em trânsito, utilizando criptografia e controle de acessos;
- Camada humana: inclui treinamento e conscientização dos usuários;
“A proteção começa na física e termina na camada de aplicação, sendo que cada uma delas pode sofrer um ataque diferente. Então, a segurança começa na estrutura física da empresa até a execução das tarefas.” — Sheilla Valverde, pós-graduada em Criptografia e Segurança de redes.
Panorama na indústria
Soluções inovadoras de IoT estão ganhando cada vez mais força dentro de fábricas e plantas industriais, contribuindo na busca de melhorias operacionais. Apesar dos incontáveis benefícios, a adesão dessas tecnologias não está acontecendo na velocidade esperada pelo mercado. Isso é influenciado por possíveis problemas de segurança que podem ocorrer caso não há o cuidado adequado.
As indústrias buscam conectar todas as áreas de manufatura para obter uma melhora de performance. Entretanto, nesse processo, é possível encontrar linhas que utilizam tecnologias mais antigas, resultando em uma falta de padrões. Assim, ao implementar sistemas IoT, pode-se encontrar dificuldades para manter a cibersegurança de ponta a ponta.
Para resolver a questão de difícil integração dos sistemas legados com novas tecnologias, um estudo da McKinsey (2017) sugere a implementação de novas soluções. Elas podem se basear no uso de redes isoladas, que funcionam de forma independente, ou através de sensores redundantes, que assumem o controle em caso de falhas.
Motivadas por esses desafios, muitas indústrias estão desenvolvendo internamente suas próprias soluções, visando um monitoramento integrado mesmo com sistemas legados. Entretanto, é importante considerar que esse é um processo que requer um alto nível de especialização, conhecimento em segurança e manutenção contínua para gerar valor. Muitas vezes, a dificuldade para incluir ferramentas focadas em cibersegurança se deve ao aumento de custo das soluções.
Para mudar esse cenário, quando um IoT é desenvolvido deve-se focar em aplicações de segurança robustas para garantir a transmissão de dados sem ataques, independentemente da maturidade tecnológica. Desse modo, tem-se a integração entre sistemas sem comprometer a segurança.
“Pensar em indústria é pensar em cibersegurança e privacidade. É garantir o bom funcionamento da operação, sem erros e vazamentos.” — Sheilla Valverde, Pós-Graduada em Criptografia e Segurança de redes
Copyright: ST-One
IoT e Cibersegurança: a chave para desbloquear resultados
Segundo a McKinsey (2023), o aumento da cibersegurança em sistemas IoT é a chave para desbloquear resultados. De acordo com o artigo, essa união é a solução para a adesão dessas tecnologias de forma mais rápida e inteligente na indústria.
A utilização do IoT vem crescendo nas indústrias. No início, seu uso era focado em pontos individuais da linha de produção, mas esse cenário está mudando, evoluindo para tornar a fábrica inteira conectada. Mesmo com essa mudança positiva, a tecnologia IoT possui um potencial ainda não explorado, principalmente considerando cibersegurança como premissa. A meta é uma experiência sem barreiras, na qual os dispositivos são conectados de modo confiável, baseado em autenticações compiladas.
Assim, esse cenário ideal só é possível através da convergência entre IoT e cibersegurança, desde o design até a implementação. Nesse contexto, os pontos a serem considerados ao desenvolver aplicações de IoT para o ambiente industrial são interoperabilidade, complexidade das instalações e ciber
Os benefícios dessa maior convergência são grandes. Considerando que o cenário tende a priorizar a cibersegurança, as multinacionais investiriam uma média de 20 a 40 por cento a mais na instalação dessas tecnologias. Até 2030, espera-se que o mercado de fornecedores de IoT alcance aproximadamente US$ 500 bilhões.
A importância da cibersegurança aumenta pela interconectividade entre TI e tecnologia operacional dentro da IoT, especialmente em casos de transmissão de dados críticos. Segundo a McKinsey, o software de aplicação IoT e as interfaces homem-máquina são as camadas mais vulneráveis. Assim, é preciso considerar um ambiente ciberfísico seguro a partir da privacidade de dados, acesso confidencial, integridade, conformidade e resiliência. Atualmente, ferramentas de segurança cibernética atuam sobre os dispositivos, com potencial de ampliação para proteger toda a cadeia de IoT.
Em suma, o aumento da cibersegurança em dispositivos IoT resulta no desenvolvimento de soluções mais integradas e fluidas. Também conseguem, além de identificar, bloquear ataques cibernéticos.
Ações para o aumento da cibersegurança
Ainda de acordo com a McKinsey (2023), essa convergência, citada na seção anterior, deve acontecer nas camadas arquitetônicas, de design paralelo e de software. Na primeira, pode-se incorporar um código seguro no código base em todas as camadas tecnológicas (incluindo firmware e hardware). Já na camada de design paralelo, a tecnologia deve ser desenvolvida seguindo o princípio de “privacy by design“, abrangendo da plataforma à nuvem. Por fim, soluções integradas de cibersegurança podem proteger soluções que incluem hardware e software.
Além disso, algumas práticas de cibersegurança para diminuir os riscos em IIoT são:
- Autenticação e controle de acessos seguros: implementar ações como autenticação multifatorial e autorização baseada em funções para garantir apenas o uso autorizado às redes IoT;
- Criptografia: proteger os dados que trafegam entre dispositivos IoT utilizando criptografia;
- Gerenciamento regular de patches: manter o firmware e software dos dispositivos atualizados com patches de segurança para corrigir vulnerabilidades conhecidas;
- Monitoramento contínuo: implementar sistemas de detecção de intrusões e monitoramento contínuo para identificar anomalias que possam indicar tentativas de ataque;
- Proteção contra ataques DDoS: praticar medidas de proteção contra DDoS, como firewalls de aplicação e limitação de taxa, para evitar que IoTs sejam usados como
- Conformidade regulatória: garantir a conformidade com regulamentações de segurança como LGPD e IoT Cybersecurity Improvement Act;
Copyright: ST-One
Importância da cibersegurança estruturada
Para empresas desenvolvedoras de tecnologias IoT, além da conformidade regulatória, é possível buscar padrões de conformidade voluntários para reforçar ainda mais a cibersegurança. Um exemplo é a SOC 2, desenvolvido pelo American Institute of Certified Public Accountants (AICPA). Embora não seja obrigatório, a adesão à SOC2 demonstra que os responsáveis possuem controles internos adequados para segurança, disponibilidade, integridade de processamento, confidenciabilidade e privacidade. Isso configura um diferencial competitivo importante, os certificados pela SOC 2 devem estar sempre atualizados e adaptando suas práticas de acordo com a evolução tecnológica.
Além disso, esse tipo de certificação garante a conformidade com padrões internacionais, indicando robustez para atender indústrias de diversos setores em escala. Do mesmo modo, é preciso uma expertise interna para entender e implementar os requisitos de conformidade, que são complexos. Esse conhecimento evita falhas na implementação e na manutenção desses padrões.
No contexto de provedores de tecnologia IoT, possuir essas certificações significa oferecer um serviço que reduz riscos e aumenta a eficiência operacional. Para as indústrias, é essencial, pois garante a privacidade de dados sensíveis e fortalece uma cultura de segurança.
“Para prover soluções IoT, é preciso que quem as produza se conscientize da importância da segurança, e, principalmente, que já cresça e se desenvolva com políticas de segurança bem estabelecidas. A partir disso, é possível enxergar os próximos passos, identificar o que precisa melhorar, é um processo de melhoria contínua.” — Sheilla Valverde, pós-graduada em Criptografia e Segurança de redes.
Saiba mais sobre nós.
