A Internet das coisas (IoT ou Internet of Things) nos possibilita conectar dispositivos de uso cotidiano à Internet, criando demandas por recursos computacionais em escala generalizada, como nunca antes foi imaginado. Olhando para nossas características culturais e focando a perspectiva da segurança e privacidade, este verdadeiro tsunami de conectividade poderá nos conduzir a um cenário, no mínimo, preocupante – o da internet das coisas “hackeáveis” (IoHT). Historicamente, preocupação com segurança digital não tem feito parte da nossa bagagem cultural. E esta não é uma característica apenas dos brasileiros. Trata-se, portanto, de desafio global a ser enfrentado, sobretudo quando imaginamos o uso de dispositivos inteligentes para suporte à saúde.

Atualmente a tecnologia tornou-se tão sofisticada, que neutralizar ameaças externas exige alto nível de conhecimento e um vasto conjunto de habilidades. Isso se torna ainda mais desafiador, se requisitos básicos de segurança são negligenciados, como vem acontecendo até agora. A segurança vem sendo tratada como uma “característica incorporável” ao produto, ao invés de traço inerente e essencial de seu projeto de criação. E enquanto as empresas produtoras lutam para coletar dados de monitoramento de seus dispositivos, os hackers adquirem competência e recursos adicionais como, por exemplo, os ransomwares, que paralisam e ameaçam suas vítimas, com o requinte de orientá-los a respeito da melhor forma de cederem à “chantagem remota”.

E quais seriam as recomendações a serem seguidas na concepção de dispositivos IoT seguros? Como poderíamos mitigar este desastre iminente da segurança e privacidade de quem compra tais dispositivos?

Respostas:

i) exigência: por parte do consumidor consciente, de que as normas regulamentares de privacidade e segurança estejam presentes e funcionais na “coisa” conectada que está prestes a adquirir; e

ii) responsabilidade: por parte do fornecedor consciente, ao observar e cumprir normas, especificações e reforçar os casos de uso do dispositivo conectado oferecido.

Mas é aí que se encontra o maior desafio de todos: criar consumidores e fornecedores conscientes.

E a que tipo de consciência estaria eu me referindo? Seria mais ou menos do tipo da que construímos ao longo da vida, ao sermos educados. A formação de uma consciência, ou cultura de segurança e privacidade, tem mais a ver com aprendizado e esclarecimento, do que com aplicação de leis e sansões.

É certo que leis, regulamentações envolvendo inovações tecnológicas, fiscalização e penalidades são sempre produzidas e supostamente aplicadas. Porém, cabe ao cidadão consumidor avaliar, selecionar e eleger, dentro da cadeia de fornecimento, produtos e serviços conectados que cumpram e demonstrem conformidade com os requisitos legais de segurança.

Isto é especialmente importante, se pensarmos na aquisição (ou no desenvolvimento) de equipamento inteligente, com finalidade de prover cuidados com a saúde (healthcare). Imagine a situação de um parente seu que sofreu o implante de um “smart” marca-passo cardíaco, conectado à nuvem e vinculado a um serviço de monitoramento do hospital que o implantou, mas que acaba se ser invadido por um malware (ou hacker) e cujo ataque desencadeia uma série de perturbações no funcionamento do aparelho. Apesar de absolutamente apavorante, a situação descrita é perfeitamente possível de estar ocorrendo, no exato momento em que escrevo esta frase. Há pencas de aparelhos inteligentes de healthcare (e centenas de outros tipos) sendo comercializados. Sugiro uma olhada no recente artigo de pesquisa, coordenado pela Technical University of Denmark, publicado em https://arxiv.org/pdf/1707.08380.pdf).

O verdadeiro tsunami de dispositivos inteligentes que estão sendo conectados à internet aumenta, a cada dia. Vem sendo gerado volume gigantesco e crescente de dados (Big Data) relacionados a todo tipo de informação de uso. O registro e a análise destes hábitos de uso, tais como, horários, quantidade de consumo, região geográfica, performance, dentre outros dados, geram valor e norteiam decisões estratégicas dos fornecedores e, consequentemente, interessam cada vez mais aos hackers.

Da mesma forma que se exige processos de fabricação “verdes”, carne rastreável e madeira sustentável, é preciso desenvolver uma cultura de segurança e autopreservação compatível com os riscos envolvidos. O cibercrime deve ser entendido como uma realidade que carrega impactos de difícil mensuração. A exemplo dos criminosos do colarinho branco, os violadores das leis de uso de software/hardware, quer sejam fabricantes, quer sejam bandidos digitais, não têm preocupação com o alcance dos delitos que praticam, a menos que mudemos este estado de coisas.

Ter consciência de segurança, significa compreender a real dimensão do risco cibernético e mudar de atitude em relação ao consumo. É fundamental passar a dar a devida importância a senhas fortes, pessoais, intransferíveis e armazená-las em local seguro. Diversificar fornecedores, pesquisar informações detalhadas, conhecer a origem do item, reputação do prestador de serviços, especificações do aparelho e qual sua história operacional, são informações que ajudam a melhorar a probabilidade de uma boa decisão. Se não houver informações suficientes a respeito, suspeite. Pode se tratar de lançamento recente ou pouco testado.

Os cuidados descritos, dentre outros, valem para qualquer aquisição (ou desenvolvimento de produto), por mais inocente que possa lhe parecer.

A seguir, cito alguns exemplos de dispositivos de IoT, invadidos pela equipe coordenada pela Universidade Técnica da Dinamarca, em recente pesquisa. O motivo rotulado com “Segurança fraca" significa que o dispositivo foi facilmente invadido pela fragilidade, ou falta de configurações básicas de proteção. (veja mais detalhes em: https://arxiv.org/pdf/1707.08380.pdf).

Dispositivo IoT Motivo da Invasão

Chaleira elétrica Sem proteção

Ferro de passar Sem proteção

Multiprocessador de cozinha Sem proteção

Impressora Segurança fraca

Luminária conectada Segurança fraca

Smart TV Segurança fraca

Babá eletrônica Segurança fraca

Webcams Segurança fraca

Termostato Sem proteção

Telefone VoIP Segurança fraca

Sistema de Alarme Sem proteção

Smart toilete Sem proteção

Smart cars Segurança fraca

Bombas de infusão de medicamentos Segurança fraca

Bombas de insulina Sem proteção

Marca-passo cardíaco Segurança fraca

Aparelho de raios X Sem proteção

Unidade refrigeradora de sangue Segurança fraca

Tomógrafo computadorizado Sem proteção

Monitor para cirurgia cardíaca Segurança fraca

Medidor de composição corpórea Segurança fraca

Quartos de hotel (smart card key) Segurança fraca

Pela classificação observada, resta claro que a perturbação do funcionamento de alguns dos dispositivos pesquisados envolve risco de vida.

Atualmente os dispositivos inteligentes conectados à internet estão na mão das crianças, desde a mais tenra infância. E esta fase constitui ótima oportunidade para se introduzir as primeiras noções de segurança e de autopreservação.

Só por meio da educação continuada e sistemática é que é possível a construção de uma sólida consciência coletiva, em seus mais variados aspectos. A consciência de segurança e privacidade é apenas uma pequena, porém relevante parte deste todo.

Portanto, só a educação nos salva.

Abraços,