Ano novo, nova segurança – Parte 1: Casos de uso da IoT

Casos de uso futuros de segurança e privacidade para a Internet das Coisas e redes baseadas em nuvem.

Feliz Ano Novo! À medida que nos aproximamos da véspera de Ano Novo, refletimos sobre o ano que passou — seus altos e baixos, o que aprendemos e como queremos crescer. Agora que é oficialmente 2019, é hora de olhar para o futuro. Como CEO da Swimlane, quero dedicar um tempo para analisar os desafios de privacidade que o setor de segurança enfrentará no próximo ano. Esta é a primeira parte de uma série de dois artigos que exploram como a Internet das Coisas (IoT) e a migração cada vez mais rápida para a computação em nuvem apresentam novos desafios para os centros de operações de segurança (SOCs) e usuários individuais, bem como possíveis casos de uso de orquestração, automação e resposta de segurança (SOAR).

Logo após o período de festas de fim de ano, aparelhos e dispositivos conectados pela Internet das Coisas (IoT) estão sendo desembalados e instalados em residências por todo o mundo. Embora esses dispositivos tenham o objetivo de facilitar nossas vidas de diversas maneiras, casos de invasão de privacidade utilizando a IoT, como hackers conversando com usuários através de suas câmeras O receio de que os micro-ondas estejam espionando as pessoas continua a gerar debates sobre segurança e tecnologia.

Quando as torradeiras atacam?

Como profissional de segurança, sou intrinsecamente paranoico, mas realmente não acho que as pessoas precisem se preocupar com suas torradeiras e micro-ondas se rebelando contra elas. Teoricamente, é possível que, com o uso de câmeras e o momento certo, sua lavadora/secadora empilhável acerte seu rosto, mas a questão mais importante com a IoT é a privacidade.

Ainda falando sobre sua lavadora/secadora, pense em... Botão Amazon Dash. À medida que ganha popularidade, você pode começar a pensar: "Bom, é assim que vou comprar meu detergente para lavar roupa". Em seguida, sua lavadora/secadora — e, mais importante, a Amazon e a Tide — passam a monitorar a quantidade de detergente que você usa com base nas roupas que você tem e a detectar quando o estoque está baixo. A vantagem é que você recebe seu detergente na hora certa; talvez até receba recomendações sobre o detergente ideal com base nas suas roupas. Mas, por outro lado, alguém sabe que você não lava suas calças jeans com a frequência que deveria. Ou, de forma menos cômica, você estava lavando roupa em um lugar e não estava presente em outro, onde algo bom ou ruim pode ter acontecido.

Para mim, as questões de segurança da IoT não se resumem ao meu micro-ondas me machucar, mas sim à exposição de informações sobre meus hábitos e localização para o mundo. E agora precisamos nos perguntar: como essas informações são usadas para marketing ou vendas? E quanto à aplicação da lei?

“Estarei te observando.”

É apropriado que a banda dos anos 80 Observando cada movimento seu foi chamada de Polícia. Não estou sugerindo que estejamos em uma situação orwelliana de "Grande Irmão", mas nossos telefones, relógios inteligentes e rastreadores de fitness— para citar alguns exemplos — já fornecem dados sobre nossa localização precisa a qualquer momento. Autoridades policiais, empresas, empresários e agências de publicidade podem acessar uma lista completa de pessoas por meio de uma cerca geográfica e dizer: "Essas são as pessoas com quem vamos falar porque estavam lá". Isso é ruim? Não necessariamente. Mas e se você fosse automaticamente incluído como suspeito de um crime por causa da proximidade? Isso seria ruim.

Onde estão os limites?

Vemos câmeras em TVs expondo pessoas sendo monitoradas sem o seu conhecimento. Obviamente, tudo o que dizemos está sendo gravado por um dispositivo Google Home ou Alexa. A avaliação do quão problemática é a privacidade na Internet das Coisas (IoT) depende do quanto você confia nas empresas que o monitoram. Quais são suas expectativas em relação às informações que elas coletam e o quanto elas compartilham? Se recebem uma solicitação de dados, elas simplesmente dizem "sim" e enviam? Ou exigem que quem faz a solicitação passe por uma série de obstáculos com mandados e intimações para acessar essas informações?

Embora a tecnologia da IoT seja relativamente nova, essas questões são semelhantes às conversas que temos há anos sobre nossos provedores de serviços de internet (ISPs) e operadoras de internet: Qual é a barreira de entrada para o governo solicitar todas as informações que eu peço e procuro na internet? Não é tanto a operadora que detém as informações, mas sim a Amazon e o Google. Portanto, você deve se perguntar: com o que eu concordei quando decidi colocar esse dispositivo no meu quarto, banheiro ou cozinha?

Privacidade ou segurança?

A questão da privacidade aqui é realmente complexa, e sempre haverá essa dicotomia entre privacidade e segurança na IoT: quanto menos eu consigo ver, mais difícil é identificar comportamentos inadequados, mas quanto mais eu consigo ver, mais difícil fica identificar.

Discutimos muito isso nas comunidades de inteligência e segurança cibernética. É realmente um jogo de soma zero. Quanto mais você cede de um lado, menos você tem do outro. Você pode argumentar a favor da privacidade e pode argumentar a favor da segurança. Para a maioria, depende da pergunta: você foi vítima recentemente de uma violação de privacidade ou foi vítima mais recentemente de uma violação de segurança?

Benjamin Franklin disse certa vez: "Aqueles que abdicam da liberdade essencial para comprar um pouco de segurança temporária não merecem nem liberdade nem segurança". E isso foi antes da invenção da lâmpada! Para mim, essa é a difícil questão existencial: privacidade ou segurança? Como indivíduo, prefiro a privacidade, mas como CEO, vejo exemplos reais de como as proteções à privacidade estão comprometendo a segurança.

É um equilíbrio que continuará a nos desafiar constantemente diante da crescente popularidade e capacidade da IoT.