Dentro da sala de riscos emergentes

Antes de evitarmos os riscos do amanhã, precisamos pensar neles hoje. Nesta série, nós apresentamos três especialistas com uma crise imaginária que pode acontecer dentro de 5 a 10 anos. Como podemos evita-la? Como podemos nos preparar para isso? Como podemos gerenciar as potenciais consequências? As respostas estão dentro da Sala de Riscos Emergentes.

11 de dezembro de 2022 – 23h15. Paris. Incapaz de sufocar um bocejo, Paul Lambert tateou para encontrar o controle remoto no sofá e desligou a TV. Movendo-se silenciosamente – o resto da família já estava na cama – ele entrou na cozinha. Quando abriu a porta da geladeira para tomar uma bebida, soou um sinal sonoro que lhe era familiar. A tela touchscreen embutida acendeu: “Precisa de ovos, suco de laranja, frango. Próximo pedido agendado para 13 de dezembro. Lembre-se de confirmar até 12 de dezembro.” Sem olhar para a tela, que agora pedia confirmação da sua próxima lista de compras, Paul fechou a porta da geladeira. “Eu vou ter que me lembrar de fazer isso amanhã”, disse ele a si mesmo quando saiu. O que Paul não sabia à época era que esse conveniente dispositivo (“Como fazíamos isso antes?”, ele dizia com frequência) estaria em todas as manchetes nas próximas semanas.

Naquele mesmo momento, na sede de uma empresa, como em várias outras de diversos setores, a atmosfera na área executiva estava cheia de tensão. As vozes alteradas podiam ser ouvidas atrás das portas fechadas da sala de conferência principal. Curioso para um domingo. Especialmente tarde da noite.

A partir da discussão, ficou claro que o assunto não era o último relatório resultados, mas a falha no site da empresa. Além da ameaça potencial de uma invasão em seus sistemas de TI. O que eles não sabiam é que muitos de seus concorrentes, bem como seus parceiros e até mesmo clientes, estavam na mesma situação. E apenas uma minoria dos afetados estava ciente do problema.

Pouco antes da meia-noite, centenas de sites haviam sido simultaneamente atacados da mesma maneira: um ou mais hackers ganharam controle sobre uma multidão de objetos conectados – como a geladeira de Paul Lambert. Primeiro, eles tentaram pegar dados pessoais, desde simples endereços de e-mail até locais físicos usando arquivos de log ou gravações de áudio e vídeo.

O próximo passo – a fase que está acontecendo agora – era usar objetos conectados como relés para um enorme ataque de negação de serviço ou um ataque DDoS para os experientes em tecnologia. Os hackers exploram esses dispositivos IoT, que são menos seguros do que os servidores mais tradicionais, para sobrecarregar servidores de sites direcionados e torná-los indisponíveis. Ou, se puderem, simplesmente deixando-os fora de serviço.

A maioria dos gerentes de TI descobriria os danos ao chegar no escritório na manhã de segunda-feira. Ou talvez eles fossem alertados em casa por uma mensagem de seu diretor de vendas, alarmado por ver as vendas on-line da noite caírem para quase zero.

Enquanto isso, a geladeira de Paul Lambert continuaria com seu ataque. Sem fazer um som.

Consequências

N° 1 – Perda da confiança

Vendas de refrigeradores conectados e outros dispositivos do dia-a-dia, culpados por abrir as portas para hackers, colapsam abruptamente.

N° 2 – Impacto financeiro

Os consumidores abandonam as marcas impactadas, fazendo cair os preços das ações e derrubando os principais sites de compras on-line no processo.

N° 3 – Ações coletivas

Proprietários dos objetos conectados que foram invadidos e cujos dados pessoais foram roubados iniciam ações judiciais contra os fornecedores.

 

Por que isso pode acontecer?

Outubro de 2016: um ataque global contra a Dyn, um fornecedor de infra-estrutura, sacudiu o público sobre os possíveis danos que os objetos conectados não-seguros poderiam causar. Dentro de algumas horas, muitos sites – incluindo os altamente populares – tornaram-se completamente não-responsivos.

Mas, apesar do reconhecimento de todos os players digitais – desde fabricantes de hardware até desenvolvedores e incluindo intermediários e autoridades reguladoras – que os protocolos de segurança devem ser reforçados, o mercado continua a crescer a um ritmo acelerado.

A Internet das Coisas está se espalhando para além do mundo industrial (a rede elétrica inteligente, por exemplo) em domicílios, especialmente na Europa e nos Estados Unidos. Dispositivos e serviços para o quantified self, casas inteligentes e correlatos estão se multiplicando.

16 bIlhões de objetos conectados no mundo em 2021

Até 2021, o número de objetos conectados se multiplicará em 3,4 e alcançará 16 bilhões em todo mundo

4.6 bIlhões de objetos conectados no mundo em 2015

Fonte: Relatório de Mobilidade Ericsson 2016

Em 2014, acredita-se que os protótipos de refrigeradores conectados tenham sido usados para perpetuar ataques DDoS, como o da Dyn. Desde então, os primeiros refrigeradores inteligentes produzidos para venda aos consumidores foram apresentados ao público. Embora ainda demore algum tempo para eles serem comumente vistos em nossas cozinhas, alguns pesquisadores já estão trabalhando para identificar suas falhas de segurança. Por exemplo, um modelo que exibe o calendário pessoal do usuário conectando-se ao seu serviço de e-mail não protege suficientemente o acesso a dados pessoais. Em teoria, um hacker poderia explorar essa fraqueza para roubar dados de login.