A maioria das empresas provavelmente terá pelo menos um funcionário com um dispositivo vulnerável. Para os cibercriminosos, um é o suficiente.
No domínio do consumidor, a tecnologia da Internet das Coisas (IoT) há muito é conhecida por sua segurança extremamente ruim.
As casas de hoje estão inundadas com dispositivos conectados à Internet - seja uma máquina de café expresso com um aplicativo ou uma câmera de segurança com conectividade Wi-Fi. Os eletrônicos de consumo serão responsáveis por 63% de todos os dispositivos IoT instalados em 2020, de acordo com o Statista. Esses dispositivos podem coletar dados sobre seus usuários, que são enviados de volta aos provedores de serviços para ajudar a melhorar seus produtos. A fabricação desses dispositivos é um negócio lucrativo e, à medida que a demanda cresce, os consumidores estão comprando cada vez mais dispositivos de classe econômica mais baratos. O problema é que seus padrões de segurança geralmente são muito fracos.
Até recentemente, as vulnerabilidades e falhas de segurança na Internet das Coisas para o consumidor não eram um grande problema no mundo dos negócios - executivos experientes em privacidade apenas tinham que desligar o escritório Alexa durante uma reunião de missão crítica. Mas como se espera que apenas um terço dos trabalhadores volte ao escritório no outono, a casa do trabalhador se tornou um local de trabalho; se inundado com IoT inseguro, este é um problema sério de segurança cibernética. 15% dos proprietários de dispositivos IoT ainda usam senhas padrão , então é muito provável que a maioria das empresas tenha pelo menos um funcionário com um dispositivo vulnerável - os cibercriminosos não precisam mais dele.
“A maioria dos dispositivos IoT adquiridos para uso doméstico são relativamente baratos, em parte porque os fabricantes não se esforçam muito para protegê-los em hardware ou software”, disse Darryl Jones, diretor de gerenciamento de produtos IoT da ForgeRock. como especialista em identidade digital em uma conversa com TechHQ.
"De gerenciamento deficiente de credenciais, firmware desatualizado e hotspots redundantes deixados para trás em dispositivos de consumo até atualizações de segurança raras, esses dispositivos geralmente não alegam ser seguros para começar."
Em 2020, os líderes e deputados do cibercrime foram oprimidos pelo aumento do cibercrime. O número de e-mails de phishing explorando circunstâncias de quarentena disparou, e a migração repentina da força de trabalho para o trabalho remoto levou a um aumento no número de novos endpoints que precisam ser protegidos. À medida que empresas e funcionários se mudavam para a Internet, os criminosos o seguiam em massa.
Ao mesmo tempo, apenas em 2019, o número de ataques cibernéticos a dispositivos IoT aumentou 300% e provavelmente continuará a crescer.
O exemplo mais notório da vulnerabilidade dos dispositivos IoT foi a onda de ataques DDoS pelo botnet Mirai em 2016, que em algum momento resultou na impossibilidade de acessar a Internet noem toda a costa leste dos Estados Unidos . O governo dos EUA inicialmente suspeitou que fosse um país pária, mas o culpado foi uma rede de 400.000 dispositivos IoT de consumidor comprometidos transformados em armas por um jogador descontente do Minecraft.
Então, por que os líderes de negócios são pegos de surpresa pela ameaça da Internet das coisas para o consumidor?
“Simplificando, a pandemia mudou a situação. Eles costumavam jogar xadrez, agora precisam jogar damas ”, diz Jones. “Vulnerabilidades de dispositivos existem desde o início, mas o grande aumento no número de funcionários trabalhando em casa e o aumento constante no número devido à pandemia aumentaram a gravidade do problema em uma ordem de magnitude.
“Embora os CIOs tenham trabalhado para proteger seus dispositivos e redes por anos, essas mudanças representam novos desafios para líderes de negócios e CIOs.”
Jones sugere que as estratégias revisadas de segurança cibernética voltadas para o futuro do trabalho distribuído devem abordar as ameaças crescentes não apenas em termos de BYOD (Traga seu próprio dispositivo), mas também de outros dispositivos de propriedade do funcionário que podem acessar a rede.
“As empresas devem investigar novas tecnologias domésticas que separam a rede corporativa para que uma interrupção na parte da rede que contém os dispositivos do consumidor não comprometa a parte da rede corporativa”, diz Jones.
Uma abordagem é as empresas exigirem que apenas redes Wi-Fi privadas sejam criadas para dispositivos corporativos - uma diretriz que o FBI promoveu em várias ocasiões.nos Estados Unidos. O governo também deve estabelecer códigos de boas práticas, ou melhor ainda, legislação quando se trata da segurança de dispositivos IoT. No ano passado, a Finlândia se tornou o primeiro país europeu a certificar dispositivos inteligentes seguros, onde os produtos que atendem ao padrão exigido recebem uma “marca de segurança cibernética” claramente visível .
“A identidade digital exclusiva deve ser a nova base de segurança, pois pode ser usada para proteger dispositivos no local de trabalho, bem como dispositivos domésticos novos ou existentes. Além disso, a implementação do modelo de segurança Zero Trust ou CARTA pode ajudar com essa nova norma, garantindo que cada interação seja segura e entendendo o comportamento normal do dispositivo e do usuário para detectar interações suspeitas ”, diz Jones.
"As empresas também devem adotar novas políticas de segurança corporativa e treinamento de funcionários que requeiram o uso de redes privadas e restringir o uso dessas redes apenas a dispositivos corporativos."
“A detecção precoce de intrusões também é crítica. As empresas devem ter soluções para detectar anomalias, inclusive quando um novo dispositivo é conectado à rede, bem como outras soluções de monitoramento - endpoints, comportamentais, rede ... ”
