Governo deve agir para que empresas tornem acessos IoT mais seguros, diz NEC
Os dispositivos de internet das coisas ainda são muito vulneráveis a ações de criminosos digitais e este cenário não deve mudar a menos que haja uma regulação exigindo padrões mínimos de segurança. Essa foi a posição defendida por executivos durante painel sobre o assunto na Futurecom 2018 realizado hoje.
Rogério Reis, head de cybersecurity da NEC foi taxativo. “O usuário não compra segurança. Airbag nos carros pegou porque veio a lei obrigando a instalação. Brinquedo se tornou mais seguro porque norma obriga passar pelo Inmetro. É preciso forçar, por legislação e regulação, a segurança na IoT”, falou.
Também o grupo atuarial Allianz tem tal percepção. “Há um derramamento de IoT no mundo, diversas empresas xing ling instalando e vendendo produtos sem qualquer segurança. E nós empresas temos que escolher conforme o nível de segurança. As políticas públicas precisam pressionar pra a melhora dos dispositivos acontecer”, ressaltou Cassio Menezes, head de segurança da informação e privacidade de dados da empresa.
Para os executivos, a Lei Geral de Proteção de Dados não endereça a questão. Mas o MCTIC acredita que a regulamentação do texto poderá ser mais preciso, embora ainda distante das necessidades da companhias que trabalham com coleta a tratamento de dados obtidos através da IoT.
“O decreto [com a regulamentação] não vai resolver, mas o governo trabalha na questão. O importante é o governo garantir que haja desenvolvimento do setor”, falou Otavio Caixeta, diretor do departamento de ecossistemas digitais do ministério.
O consenso entre os executivos é de que uma solução deve vir rapidamente. Segundo levantamento da consultoria EY feito em 2016, 70% dos dispositivos IoT em uso no mundo tinham vulnerabilidades. “Acredito que hoje o número seja maior, não houve melhora”, alertou Raphael Gomes, gerente senior de aconselhamento em segurança digital.
Segundo ele, cinco fatores fazem com que a IoT esteja repleta de ameaças: a falta de atualização do software usado; a falta de a concepção do sensor já levar em conta a segurança (segurança by design); a possibilidade de falha humana devido ao pouco conhecimento do produto; e a manutenção indevida. “Depois que o device é implantado, ele é simplesmente esquecido, sem qualquer monitoração ou controle”, disse.
A seu ver, a regulação se faz necessária, mas não precisa vir do Legislativo. “Uma norma da ABNT ou outro mecanismo, como exigência de certificação, pode ser suficiente”, concluiu.
Artigos sugeridos
