No Relatório de Segurança IoT 2022, os especialistas em TI pedem uma Lista de Materiais (SBOM) para o software do dispositivo: Controles industriais, produção e casa inteligente geralmente são “insuficientemente” protegidos contra hackers. Os especialistas exigem comprovação de todos os componentes de software usados.
Xampu, biscoitos, sopa enlatada e remédios têm uma coisa em comum: a lista de todos os ingredientes na embalagem e sua rastreabilidade do fabricante ao produtor do ingrediente individual. Controles industriais inteligentes importantes, sistemas de produção inteligentes e dispositivos como roteadores, câmeras de rede, impressoras e muitos outros trazem seu firmware com o sistema operacional e aplicativos diretamente - sem prova precisa dos componentes de software contidos. Isso geralmente significa imensos riscos de ataque de hackers e ladrões de dados em empresas que usam esses controles e dispositivos.
O que há dentro de roteadores, redes e companhia?
Como parte do estudo "IoT Security Report 2022", 75% dos 318 especialistas e gerentes da indústria de TI pesquisados são a favor da verificação precisa de todos os componentes de software, a chamada "lista de materiais de software" (SBOM) para todos os componentes, incluindo todo o software incluído de um endpoint. "Como parte de nossas investigações nos últimos anos, praticamente todos os dispositivos conectados a uma rede têm defeitos ocultos no firmware e nos aplicativos, em maior ou menor grau, por isso uma descrição precisa dos componentes de software é extremamente importante para um TI da empresa para verificar e manter o nível de segurança”, diz Jan Wendenburg, CEO da ONEKEY (anteriormente IoT Inspector). A empresa desenvolveu uma análise de segurança e conformidade totalmente automática para o software de controles, sistemas de produção e dispositivos inteligentes e a disponibiliza como uma plataforma de fácil integração para empresas e fabricantes de hardware.
Os fabricantes negligenciam a segurança
Portanto, não há muita confiança na proteção de dispositivos IoT pelos fabricantes: 24% das 318 pessoas pesquisadas consideram isso "insuficiente", outros 54%, no máximo, "parcialmente suficiente". Portanto, os hackers estão de olho nos dispositivos vulneráveis há muito tempo - e a tendência está aumentando. 63% dos especialistas em TI confirmam que os hackers já estão usando dispositivos IoT como um gateway para redes. Nas empresas em particular, a confiança nas medidas de segurança relacionadas à IoT é baixa: apenas um quarto dos 318 entrevistados vê a segurança completa garantida por seu próprio departamento de TI, enquanto 49% a consideram apenas “parcialmente suficiente”. E 37% dos profissionais de TI entrevistados para o Relatório de Segurança IoT de 2022 já tiveram incidentes relacionados à segurança com endpoints que não são clientes normais de PC.
A fabricação conectada aumenta os riscos
“O risco aumenta ainda mais à medida que a produção em rede continua a se expandir. Em geral, pode-se esperar que o número de dispositivos em rede duplique em alguns anos”, diz Jan Wendenburg da ONEKEY. Além da plataforma de análise automática para verificação do firmware do dispositivo, a empresa também opera seu próprio laboratório de testes, no qual o hardware dos principais fabricantes é testado e os relatórios de vulnerabilidade, os chamados advisories, são publicados regularmente.
Responsabilidades pouco claras nas empresas
Outro risco: o controle industrial, os sistemas de produção e outros endpoints de infraestrutura inteligente costumam ser usados por mais de dez anos. Sem estratégias de compliance, no entanto, normalmente não há diretrizes de atualização na empresa. Além disso, muitas vezes há uma situação muito pouco clara em relação à responsabilidade: entre os 318 representantes da empresa pesquisados, uma grande variedade de pessoas e departamentos são responsáveis pela segurança da IoT. O espectro varia de CTO (16 por cento) a CIO (21 por cento), a Gerente de Conformidade e Risco (22 por cento) a Gerente de Compras de TI (26 por cento). Em 21% das empresas, os consultores externos chegam a assumir a compra de dispositivos e sistemas IoT.
Por outro lado, apenas 23 por cento realizam a verificação de segurança mais simples – uma análise e teste do firmware incluído para falhas de segurança. "Isso é negligente. Um exame do software do dispositivo leva alguns minutos, o resultado fornece informações claras sobre os riscos e sua classificação em níveis de risco. Esse processo deve fazer parte do programa obrigatório antes e durante o uso de endpoints - do roteador à máquina de produção", resume Jan Wendenburg da ONEKEY.
Mais em Onekey.com[UMA CHAVE]