Embora plantas tenham cada vez mais dispositivos conectados, falta para muitas uma política robusta de segurança em IoT industrial
Uma rede de dispositivos conectados trabalhando juntos na coleta e análise de dados, seja para otimizar processos, seja para obter insights: o poder da IoT já é bem conhecido das organizações. Porém, a segurança em IoT industrial ainda parece um desafio para muitas.
Há alguns motivos para isso. Antes, esses dispositivos eram isolados, ou seja, não se conectavam a nada. Com a IIoT, eles passaram a convergir com o resto da rede. Nesse caso, se a segurança dos dispositivos é fraca, o impacto de um ciberataque pode se estender por toda a organização.
É o que tem acontecido. Vários incidentes no setor têm mostrado que a infraestrutura é vulnerável a ataques, com impactos consideráveis no público. Com isso, 99% dos profissionais de segurança entrevistados pela Dimensional Research afirmaram desafios com a segurança de seus dispositivos IoT ou IIoT, enquanto 95% estão preocupados com os riscos associados com esses dispositivos conectados.
De que desafios eles estão falando? E por que estão preocupados? Neste artigo, você verá por que a cibersegurança está no topo da lista de prioridades de TI da indústria e as dificuldades que as empresas encontram para endereçá-la. Por fim, daremos um direcionamento para começar a agir.
Por que se preocupar com a segurança em IoT
De acordo com previsão da IoT Analytics, o número de dispositivos IoT vai chegar a 27,1 bilhões em 2025, quase 30% deles instalados na indústria. Apesar de fatores como a pandemia e escassez de chips terem desacelerado o movimento a partir de 2020, devido aos impactos na cadeia de suprimentos, fatores como o 5G e maiores investimentos em softwares continuam alavancando o mercado.
Leia mais: IIoT: 5 desafios que você deve superar no primeiro projeto
No entanto, enquanto conectam mais e mais dispositivos a seu maquinário, a indústria parece ainda não considerar de fato as implicações disso em termos de segurança. Pelo fato de nunca antes terem tido a necessidade de lidar com o assunto, poucas empresas se dão conta das potenciais ameaças.
Se por um lado a convergência de TI com TO é bem-vinda para gerar automação, performance e economia, por outro lado um dos grandes problemas é que, quanto mais dispositivos conectados, mais riscos. Pior: se mal instalados, eles podem criar vulnerabilidade adicionais.
Há mecanismos de busca específicos para encontrar dispositivos IoT conectados à internet, como o Shodan. Ou seja, dispositivos sem a proteção de senhas e login podem ser facilmente localizados e se tornarem uma porta de entrada fácil para criminosos, que certamente não ficarão por aí, mas buscarão acesso a portas de outros sistemas.
A preocupação, no entanto, não se justifica apenas pelas cada vez mais volumosas e sofisticadas ameaças, mas também pelos inúmeros desafios que a indústria que busca resiliência em segurança em IoT industrial.
Veja mais: Investimento em IoT: como as empresas estão agindo?
Desafios em segurança de IoT
Embora segurança não seja um conceito novo, a indústria é um caso particular: em muitas plantas os sistemas nunca foram conectados à internet, por exemplo, o que não inspirava ações nesse sentido. Isso significa que as equipes de TO estão começando do ponto em que a TI estava há pelo menos duas décadas atrás.
Por isso, para 75% dos profissionais entrevistados pela Dimensional Research, dispositivos conectados não se adequam facilmente à abordagem de segurança das organizações. Já para 88% foi preciso ou ainda são precisos recursos adicionais para atender as necessidades de segurança em IoT.
Esses resultados apontam para os vários desafios ligados à segurança em IoT industrial. Veremos os principais:
1. Vulnerabilidades inerentes aos equipamentos
Como sempre foram usados em redes fechadas, sistemas industriais não costumam ser desenhados com requisitos de segurança em mente, mesmo diante da mudança para uma rede aberta.
A IIoT é uma tecnologia emergente ainda e, apesar do número cada vez maior de empresas lançando produtos no mercado, faltam standards.
A falta de softwares de segurança em IoT adequados para monitorar os dispositivos legados, por exemplo, pode expôr as empresas a muitas vulnerabilidades que não estavam no radar antes.
2. Falta de visibilidade de mudanças em segurança nos fornecedores
A falta de visibilidade sobre os fornecedores é um problema em segurança em IoT para muitas empresas.
3. Redes e sistemas legados
Equipamentos legados podem ser melhorados com dispositivos IoT, e essa é uma proposta de valor chave para as empresas, pois prolonga o ciclo de vida de maquinários e gera economia sem impedir a criação do nível de integração necessário para uma smart factory.
Porém, como muitas empresas já não dispõem de mecanismos de segurança adequados ou suficientes, com a proliferação de dispositivos conectados, ataques podem proliferar também.
4. Falta de visibilidade no dispositivo
À medida que escalam e se tornam mais complexas, as redes de dispositivos IoT se tornam menos transparentes, seja pela sua extensão, seja pela falta de sincronia entre os mecanismos de segurança adotados.
No limite, as organizações não conseguem monitorar completamente dispositivos conectados que fazem parte de seu ambiente.
5. Dificuldade de fazer updates de segurança
Outro desafio em segurança em IoT industrial é que os ambientes de TO nem sempre têm atualizações disponíveis. Além disso, os updates em segurança, no ambiente industrial, precisam ocorrer em períodos de inatividade, não raro de maneira manual. Quando se multiplica isso por centenas de sensores, que possivelmente estão conectados a infraestruturas críticas das plantas, o desafio é maior ainda.
Veja também: IoT nos hospitais: aplicações, benefícios e estratégias
Segurança em foco: por onde as organizações devem começar
Se antes a segurança estava focada na TI, a conectividade de dispositivos exige que os profissionais da indústria expandam sua compreensão do que está em seu ambiente. Isso implica aumentar o orçamento para o setor, quando ele existe, ou criá-lo, se isso ainda não foi feito.
A organização que usa IIoT precisa conhecer a sua rede, suas potenciais vulnerabilidades e quem tem autorização de acesso. Conduzir uma avaliação de risco por meio de frameworks reconhecidos, conservar enxuta a quantidade de dispositivos conectados e gerenciar o inventário de equipamentos são medidas que ajudam a manter o horizonte de riscos limitado, mas pode ser inviável ao longo do tempo se as iniciativas escalarem.
Com a complexidade, a IIoT vai precisar de uma abordagem especializada em segurança. Separar o tráfego de informações dos dispositivos do resto do tráfego será essencial, na medida em que os dispositivos não são confiáveis, mas precisam de redundância e, em certos casos, baixa latência.
Segurança em IIoT: dos desafios às soluções
O interesse da indústria pela IIoT ultrapassa aplicações como os veículos autônomos. Com sensores custando menos, seja para integrar, seja para manter, a tecnologia vem se tornando presente nas plantas e gerando mais preocupações em torno da segurança.
Como vimos, as dificuldades são muitas, desde os dispositivos até a capacidade de atualizações em segurança.
Para endereçá-las, as operações vão precisar encontrar mais de perto a TI. Criar um setor dedicado, dependendo do porte da organização, investir em segurança e criar uma política específica vão ser medidas cruciais para o sucesso.
