Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança e Privacidade em Internet das Coisas (IoT) Material Teórico Responsável pelo Conteúdo: Prof.ª Dr.ª Marise Miranda Revisão Textual: Prof.ª Dr.ª Luciene Oliveira da Costa Granadeiro Estrutura da Conformidade de Segurança em IoT • Introdução; • Visão Geral da Segurança da Informação; • Aspectos da Segurança da Informação e a Relação com Ecossistemas IoT; • Estrutura de Conformidade de Segurança em IoT; • Classes de Conformidade; • Níveis de Conformidade em Aplicações para IoT. • Identifi car o que são os objetivos de segurança e os não objetivos de segurança do produto; • Determinar os níveis dos fatores de risco que necessitam de mitigação considerados em projetos; • Justifi car os investimentos e ações de mitigação dos riscos; • Analisar os ativos que requerem proteção contra ameaças consideradas relevantes. OBJETIVOS DE APRENDIZADO Estrutura da Conformidade de Segurança em IoT Orientações de estudo Para que o conteúdo desta Disciplina seja bem aproveitado e haja maior aplicabilidade na sua formação acadêmica e atuação profissional, siga algumas recomendações básicas: Assim: Organize seus estudos de maneira que passem a fazer parte da sua rotina. Por exemplo, você poderá determinar um dia e horário fixos como seu “momento do estudo”; Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma alimentação saudável pode proporcionar melhor aproveitamento do estudo; No material de cada Unidade, há leituras indicadas e, entre elas, artigos científicos, livros, vídeos e sites para aprofundar os conhecimentos adquiridos ao longo da Unidade. Além disso, você tam- bém encontrará sugestões de conteúdo extra no item Material Complementar, que ampliarão sua interpretação e auxiliarão no pleno entendimento dos temas abordados; Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discus- são, pois irão auxiliar a verificar o quanto você absorveu de conhecimento, além de propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e de aprendizagem. Organize seus estudos de maneira que passem a fazer parte Mantenha o foco! Evite se distrair com as redes sociais. Mantenha o foco! Evite se distrair com as redes sociais. Determine um horário fixo para estudar. Aproveite as indicações de Material Complementar. Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma Não se esqueça de se alimentar e de se manter hidratado. Aproveite as Conserve seu material e local de estudos sempre organizados. Procure manter contato com seus colegas e tutores para trocar ideias! Isso amplia a aprendizagem. Seja original! Nunca plagie trabalhos. UNIDADE Estrutura da Conformidade de Segurança em IoT Introdução Em toda organização e até mesmo nas residências, em relação aos seus usuá- rios, há a necessidade de algum procedimento para com os dados que são usados, carregados ou enviados por um sistema computacional, ou seja, por computadores ou celulares, conectados nas redes de comunicação e internet. Como todo procedimento requer regras ou padrões, eles devem representar as priorizações de cada empresa no que tange aos dados protegidos e os objetivos de segurança e não objetivos de segurança devem ser alcançados ou mitigados. Para desenvolver esses conjuntos de objetivos, os procedimentos devem estar claros, normas e regras devem ser estabelecidas, passíveis de serem cumpridas em acordo com orientações de conformidade regulamentadoras e oficiais, no que se refere à segurança da informação. Segurança da Informação, definida por Fontes (2006, p. 10), é o conjunto de orientações, normas, regras, procedimentos, políticas descritas, dentre outras orientações associadas a ações que têm por objetivo proteger o recurso informação ou dado, permitindo à organização alcançar seus objetivos em conformidade com as regulamentações oficiais. A segurança da informação permite mitigar, minimizar ou diminuir os riscos do negócio em relação ao uso dos recursos de informação ou dos dados para o pleno funcionamento da empresa. Para diminuir os riscos que se relacionam com a informação ou os dados, alguns objetivos e o que não são objetivos de segurança da informação precisam serem estabelecidos. Cada organização tem o seu próprio conjunto de objetivos, até por- que é ela quem determina o que deve ser priorizado ou não como um ativo de segurança da informação. Uma das maneiras de elencar esses objetivos é estabelecer certas garantias à informa- ção ou ao dado (Tabela 1). Essas garantias, atreladas aos objetivos, são discutidas a seguir de maneira ampla e podem ser aplicadas aos projetos em IoT em um contexto geral. Tabela 1 – Objetivos de Segurança da Informação INFORMAÇÃO Objetivos Garantias DISPONIBILIDADE A informação deve estar acessível a quem pode ter acesso permitido. INTEGRIDADE A informação deve estar correta, ser verdadeira e não estar corrompida. CONFIDENCIALIDADE A informação deve ser acessada e utilizada por quem necessita dela, com exclusivida-de e de forma autorizada. LEGALIDADE O uso da informação deve estar em conformidade com a legislação, contratos, licenças a ela aplicada, seguindo os princípios éticos preconizados pela organização. AUDITABILIDADE O acesso e uso da informação devem ser registrados, permitindo a identificação de quem fez o acesso e a rastreabilidade do que foi feito com a informação. NÃO REPÚDIO DE AUTORIA O usuário que gerou ou alterou a informação não pode negar a autoria em função de mecanismos de registros e logs de acesso de usuário. Fonte: Adaptado de Fontes (2006, pp. 10,11) 8 9 Ao conhecer esses objetivos apresentados na tabela 1, que se relacionam com a segurança da informação, observa-se a sua generalidade. Devem ser lembrados no dia a dia, e é necessário entender melhor os seus requisitos de segurança e seguir os regulamentos recomendados pelas organizações. Os requisitos de segurança são derivados dos objetivos de segurança. A principal diferença entre esses dois é que os objetivos de segurança especificam o que precisa ser protegido e os requisitos de segurança são os meios para obter a proteção necessária. O documento de requisitos de segurança é um marco im- portante no ciclo de vida de desenvolvimento de produtos e deve estar pronto antes de o projeto ser iniciado. Por esse motivo, os projetos em IoT devem conter seus requsitos e objetivos com respeito à segurança da informação. Visão Geral da Segurança da Informação Informações exclusivas devem ser seguras, e essa exclusividade remete à priva- cidade das informações que a empresa (ou o indivíduo) pode ou não compartilhar. As informações exclusivas ou privadas seguras devem satisfazer a três propriedades básicas da informação, apresentadas na figura 1, disponibilidade, integridade e confidencialidade (DIC). Disponibilidade A informação ou o dado deve estar acessível aos usuários autorizados sempre que a requisitarem. Integridade Apenas e tão somente usuários autorizados podem alterar a informação ou o dado. Figura 1 – Propriedades básicas da informação – DIC Adaptado pela autora. Fonte: Kim, 2014, p. 8 No contexto da segurança da informação, a disponibilidade é uma expressão que relaciona a quantidade de tempo gasta por um usuário usando um sistema computacional, hardware ou software, e dados. A integridade se relaciona com a validade e a precisão dos dados – se os dados não têm integridade, não possuem utilidade. A confidencialidade se relaciona com a proteção das informações, não estando acessível por todos, mas somente por quem tem direito sobre elas. Alguns exemplos relativos ao DIC são apresentados na tabela 2, eles não são uma regra, mas estão baseados em normas orientadoras amplamente utilizadas nas empresas e ainda exigidas por órgãos certificadores ou reguladores. Tabela 2 – Exemplos de DIC EXEMPLOS RELATIVOS À DISPONIBILIDADE Tempo de utilização ou uptimeÉ o tempo total, em termos quantitativos, que um sistema, aplicativo e dados ficam acessí- veis. A unidade de medida é dada por uma relação em segundos, minutos ou horas gastas em um mês, semana ou ano. Tempo de paralisação ou downtime É o tempo total, em termos quantitativos, que um sistema, aplicativo e dados ficam ina- cessíveis. A unidade de medida é dada por uma relação em segundos, minutos ou horas gastas em um mês, semana ou ano. 9 UNIDADE Estrutura da Conformidade de Segurança em IoT EXEMPLOS RELATIVOS À DISPONIBILIDADE Disponibilidade D Tempo de utilização total Tempo de utilização total Tempo de para � � llização Tempo médio entre falhas (MTTF — Mean Time to Failure) MTTF FALHAS n FALHAS � � º Tempo médio para reparo (MTTR — Mean Time to Repair) MTTF REPAROS n REPAROS � � º Tempo de recuperação (RTO- Recovery Time Objective) Quantidade de tempo utilizado para recompor e tornar o sistema, a aplicação ou os dados disponíveis para uso após a ocorrência de uma parada. EXEMPLOS RELATIVOS A INTEGRIDADE Direito autoral Informações de produtos patenteados Base de dados de clientes Fórmulas exclusivas e secretas de produtos EXEMPLOS RELATIVOS A CONFIDENCIALIDADE Dados pessoais e exclusivos de indivíduos Dados de propriedade intelectual de organizações corporativas públicas e privadas Fonte: Adaptado de Kim, 2014 A confiabilidade de um sistema refere-se ao tempo de operação sem qualquer fa- lha. Associada à confiabilidade, a disponibilidade é o tempo em que o sistema está em modo de operação, ou seja, sua disponibilidade. Para comissionar o DIC em um sistema de IoT e mantê-lo operacional, é essencial que seus inúmeros dispositivos, em rede, operando dinamicamente em um ambiente imprevisível e propenso a erros, seja projetado para ser confiável e acessível. Por esse motivo, em um sistema baseado em IoT, os componentes participan- tes podem ter grandes possibilidades de falha. Para garantir que um sistema IoT sempre permaneça operacional, torna-se bastante relevante projetar um sistema equipado com mecanismos de recuperação mais rápidos. Essa garantia operacional levou ao surgimento do paradigma de computação orientada para recuperação (ROC), considerada uma abordagem mais atrativa e econômica, desde que garanta a continuidade do serviço para sistemas distribu- ídos e baseados em nuvem. O princípio fundamental do ROC é tornar o MTTR o menor possível. Com o avanço da infraestrutura em nuvem e da comunicação sem fio, as aplicações baseadas na Internet das Coisas estão surgindo cada vez mais incor- poradas ao ambiente de negócios, através de aplicativos, grande quantidade de dispositivos conectados. Por exemplo, câmeras inteligentes, acessíveis em rede podem ser colocadas em locais estratégicos em um conjunto de ruas, medidores inteligentes podem ser insta- lados em uma rede elétrica, minúsculos dispositivos embarcados podem ser usados para o monitoramento da saúde, veículos em uma cidade podem ser equipados com sensores baseados em GPS, e sensores sem fio estáticos podem ser incorpo- rados em aparelhos modernos como uma televisão ou uma geladeira. 10 11 Esses dispositivos habilitados em rede de comunicação podem executar proces- sos distribuídos, que, por sua vez, podem coordenar, trocar dados e tomar decisões críticas em tempo real. Porém, espera-se que tal sistema de IoT seja implantado uma vez e esteja operacional para sempre. Aspectos da Segurança da Informação e a Relação com Ecossistemas IoT Embora não haja consenso sobre o que deve ser um sistema ou ecossistema de IoT, adotar-se-á o padrão de um sistema baseado em IoT adaptado de BUYYA (2016, p. 203), conforme o seguinte modelo de referência de arquitetura de IoT mostrado na figura 2. CAMADA DO DISPOSITIVO PERMISSÃO DOS DISPOSITIVOS VIA RFID NÓS SENSORES ESTACIONÁRIOS NÓS SENSORES DINÂMICOS PERVASIVO GERADOR DE DADOS MASSIVOS CAPACIDADE LIMITADA DE ARMAZENAMENTO DE DADOS CAMADA DA COMUNICAÇÃO PLATAFORMA DE SERVIÇOS EM INTERNET- GATEWAY INTERNET É USADA COMO PRONTO DE CONVERGÊNCIA CAMADA DE NUVEM INFRAESTRUTURA BASEADA EM CLOUD IoT NUVEM É USADA PARA GERENCIAR SERVIÇOS DE ENTREGA DE DADOS MASSIVOS CAMADA DE APLICAÇÃO APLICAÇÕES EM VIGILÂNCIA, TRÁFICO, SAÚDE, MEIO AMBIENTE ou DEFESA Figura 2 – Arquitetura em Camadas de Sistema IoT Fonte: Adaptado de BUYYA, 2016 A camada de dispositivo apresentada na figura 2, consiste em dispositivos com uma computação de baixa a moderada capacidade de comunicação. Esses disposi- tivos são normalmente operados por bateria e podem executar pequenos sistemas operacionais, como RTOS ou Contiki, em alguns microcontroladores. Eles geral- mente recebem dados do ambiente, executam processamento local e transmitem o resultado. A camada de comunicação tem dispositivos que transmitem dados através de protocolos de comunicação como o WIFI, GSM, GPS, Bluetooth e rádio freqüên- cia para dispositivos habilitados para com sistemas de RFID. Vale ressaltar aqui que os protocolos de comunicação são implementados junto ao hardware/software do dispositivo. Um dispositivo pode ser projetado para operar com um ou mais protocolos de comunicação: o protocolo WiFi – Wireless Fidelity (Fidelidade sem fio) –, refere-se às redes sem fio; o protocolo GSM – Global System for Mobile 11 UNIDADE Estrutura da Conformidade de Segurança em IoT Communications (Sistema Global para Comunicações móveis); Bluetooth é um protocolo padrão de comunicação de baixíssimo consumo de energia e baixo al- cance conforme a potência do sinal, chegando a 1 metro, 10 metros, 100 metros, dependendo das características técnicas desses circuitos integrados; e o sistema de comunicação baseado em frequência de transmissão de rádio, RFID, em que cada sistema tem uma identificação baseada em uma frequência específica. A camada de comunicação, em função dos protocolos, compreende dispositi- vos (roteadores, transceptores, receptores, antenas etc.) que são responsáveis pela transmissão física confiável de dados. • RTOS (Real Time Operating System) – Sistema operacional em tempo real: É um sis- tema operacional específico, com tempo de resposta que depende da execução de tarefas, ou seja, tem um tempo crítico de execução de tarefas; • CONTIKI: é um sistema operacional de código aberto, de baixo custoe baixo consumo es- pecífico para Internet das Coisas. Usado para criar redes de sensores; • RFID – (Radio Frequency Identification) – Identificação por Rádio Frequência: É um sistema de ondas, oscilando em determinda frequência, que são transmitidas por meio de uma antena transceptora, transferindo o sinal para um dispositivo leitor. Exemplo: as etiquetas de RF em produtos de lojas. Ex pl or A camada de nuvem ou serviço de nuvem contém um middleware IoT residen- te, com o qual os dispositivos interagem para trocar dados. É uma plataforma de serviço onde os dados podem ser hospedados temporariamente na nuvem. A infra- estrutura em nuvem tem capacidade sob demanda e escalabilidade, ou seja, caso necessário, o ecossistema IoT pode crescer em quantidade de sensores, que a infra- estrutura poderá ser amplianda conforme a demanda e as condições econômicas que viabilizem o crescimento. Esses padrões de infraestrutura permitem a flexibilidade e a extensibilidade da camada de aplicação. Outra vantagem é que os dispositivos inteligentes podem se juntar à rede sob demanda, e a plataforma, atuando como um hub ou rede mesh, processando uma enorme quantidade de dados na rede de dispositivos. A infraes- trutura pode ajudar a monitorar os dispositivos em tempo real com baixa latência e incorporá-los à camada da aplicação. De certa maneira, a infraestrutura em nuvem compensa os recursos limitados dos dispositivos, como processamento, armazena- mento e connvergência de dados. Esse conjunto de características da arquitetura básica, apresentada anterior- mente, mantendo os objetivos da confiabilidade e disponibilidade, integridade e confidencialidade,permite classificar a segurança aplicada em sistemas IoT nas seguintes categorias: • Tolerância zero: Quando um sistema IoT é colocado em um cenário de mis- são crítica, especificamente no domínio de assistência médica, onde dispo- sitivos em rede monitoram a integridade do paciente ou um dispositivo de 12 13 marcapasso, por exemplo, ativado por rede, que interage com uma plataforma de Sistema de Assistência Médica, os componentes do sistema não toleram nenhuma falha; • Robustez e Confiabilidade: Durante o seu tempo de operação, com o dispo- sitivo trabalhando ativamente, o MTTF (que afeta a confiabilidade) desses com- ponentes deve ser estritamente maior que o tempo da operação. Além disso, o MTTR para tal sistema deve ser próximo de zero durante o tempo de operação; • Reinicializável: Aqui o sistema IoT pode tolerar um componente defeituoso ou todo o evento do sistema (embora indesejável) para reiniciar sem qualquer im- pacto catastrófico. Por exemplo, um sistema IoT para transporte urbano, com componentes incorporados em veículos, pode prever a condição de reiniciar, se o componente incorporado falhar. Nesse caso, mesmo com o MTTF alto, o objetivo é tornar o MTTR o menor possível; • Erro tolerante: Aqui a natureza da aplicação é tal que uma parte do sistema pode tolerar a entrada errada por algum tempo, dentro do limite de segurança definido pelo usuário antes de consertá-lo. Por exemplo, um sistema de vigi- lância que fornece informações de rotina em tempo real de uma plantação agrícola pode enviar dados incorretos antes de serem retificados; • Falha de infraestrutura: Um cluster de dispositivos conectados em rede, em um ecossistema de IoT, deve funcionar de maneira a suportar imprevisibilidade na conectividade. Os dispositivos conectados em rede devem ser incorporados em um ambiente específico para coletar e processar o fluxo de dados. Os dispositivos podem falhar devido à condição e à interferência com o am- biente em que operam. Tal condição operacional pode reduzir drasticamente a vida de tais dispositivos devido à deterioração física. Por exemplo, o cenário de rastreamento eletrônico de animais no seguimento agropecuário: o sensor ligado a um animal tem uma chance extremamente alta de falha, resultando em transmissão de dados ruim ou incorreta, ou ainda, os dados são perdidos por completo devido à falha total no dispositivo ou na comunicação. Isso pode não resultar em uma falha eminente da plataforma em nuvem de serviços, mas pode levar ao corrompimento dos dados, e como consequência, à incorreta interpretação e à eventual falha no serviço. O ambiente externo pode fornecer entradas inesperadas para entidades de IoT, resultando em falha de computação no dispositivo. Os microcontroladores des- ses dispositivos foram projetados para serem tolerantes a falhas, mas podem ser muito mais propensos a falhas do que um computador normal. Muitas vezes, esses dispositivos são alimentados por uma bateria que pode limitar severamente seu tempo de processamento e pode causar o encerramento inesperado de um cálculo que esteja sendo realizado em código do microcontrolador. A confiabilidade e disponibilidade do sistema dependerá do quanto esses dispo- sitivos podem suportar cenários inesperados; 13 UNIDADE Estrutura da Conformidade de Segurança em IoT • Falha de Interação: Dispositivos e dispositivos habilitados para rede têm re- cursos de computação muito variados. Quando esses dispositivos são projeta- dos para se comunicar uns com os outros e compartilhar dados, pode haver falhas operacionais. Essas falhas pode ser: 1. Toda a rede ou os componentes de comunicação podem falhar. Consi- derando o mesmo cenário de rastreamento eletrônico de animais, uma provável falha no sistema de comunicação em qualquer ponto pode afetar o sistema geral de comunicação dos dispositivos (Tabela 3); Tabela 3 – Rastreio de animais por IoT CENÁRIO – RASTREIO ELETRÔNICO DE ANIMAIS LOCAL DA FALHA Figura 3 Fonte: Getty Images Confinamento a céu aberto – comedouro Figura 4 Fonte: Getty Images Pasto Figura 5 Fonte: Getty Images Ordenha A tabela 3 apresenta a criticidade do sistema de rastreio eletrônico de ani- mais, em que o gado tem um dispositivo que emite ondas wifi para um sistema IoT. O dispositivo é colocado na orelha de cada animal e emite ondas identificadas que são capturadas por dispositivos espalhados pelo local; 14 15 Essas comunicações entre o rastreador do animal e a etiqueta RFID podem sofrer intepéries do ambiente e ocorrer falhas na comunicação, perda de pa- cotes de dados, dentre outros. Os animais podem estar em locais diferentes e devido à sua movimentação, falhas podem ocorrer em diversos momentos, no confinamento, no pasto ou na ordenha; 2. Devido à heterogeneidade dos dispositivos, pode haver uma incompatii- bilidade técnica da troca de dados entre os dispositivos. Tal cenário pode ocorrer quando o sistema IoT permite que um dispositivo entre na rede de comunicação em tempo real. Um exemplo disso é o gerenciamento da rede de veículos em uma cidade onde os veículos que se ligam dinami- camente podem não cumprir com o protocolo. Em tal situação, não será possível interpretar os dados e tomar as medidas adequadas; 3. As falhas de interação também são causadas pela carga de trabalho ines- perada proveniente de vários componentes da IoT. • Falha na plataforma de serviços: Considerando a arquitetura de referência, o hub da plataforma de serviço que coleta dados de vários objetos sensores de rede e processa os dados, é uma plataforma já existente. Essa plataforma in- tegra muitos produtos de terceiros e parceiros. Mesmo que esse serviço esteja plenamente em operação, e tenha um controle de sua própria funcionalidade, muitas falhas transitórias podem ocorrer devido a pacotes e ferramentas pron- tas para uso. A confiabilidade desses pacotes e ferramentas de terceiros pode ser questionável e muitas vezes pode ser uma causa de falha do sistema prin- cipal. A falha na plataforma compromete o envio de menssagens e de dados; • Confiabilidade na disponibilidade do serviço ao usuário: O objetivo de um aplicativo IoT é fornecer uma experiência de serviço imersiva por meio de uma interação entre humano e dispositivo em tempo real. Portanto, é altamente importante que a disponibilidade do sistema seja percebida sob a perspectiva do usuário, em que a disponibilidade percebida refere-se à entrega do serviço ao usuário e não apenas à sobrevivência do sistema contra alguma falha; • Facilidade de Manutenção do Sistema IoT: É bastante provável que, em um ecossistema IoT, tenha-se um conjunto de dispositivos que possam ingressar dinamicamente no sistema. Nesse caso, assegurar a manutenção sem interrup- ção das atividades é mais difícil em dispositivos IoT. Em um sistema tradicional de alta disponibilidade, é comum o sistema passar por uma manutenção pro- gramada, evitando falhas futuras, mas não é viável para sistema s IoT; • Confiabilidade no nível da rede: A maioria das aplicações da Internet das Coisas para edifícios, fábricas, hospitais ou a rede elétrica são de investimen- tos de longo prazo, que também devem ser operados por um longo período. As redes também podem ser gerenciadas (por exemplo, automação, aplicações de transporte). Isso implica que a rede deve ser capaz de se autoconfigurar, devido às condições ambientais ou componentes da própria rede, garantindo que a informação possa ser sempre transmitida de um aplicativo para o outro, de maneira confiável; 15 UNIDADE Estrutura da Conformidade de Segurança em IoT • Confiabilidade a Nível do Dispositivo: Mesmo quando a rede de comuni- cação é confiável, há cenários em que os aplicativos executados nesses dis- positivos possam gerar dados de baixa qualidade, o que torna todo o cálculo não confiável. O desafio da confiabilidade, em nível de dispositivo, é garantir a pontualidade na entrega dos dados e geração de alertas durante o tempo crítico, mesmo quando partedo sistema funciona inadequadamente ou envia informações de baixa qualidade. As ameaças de segurança nesses sistemas críticos podem afetar adversamente a confiabilidade; • Privacidade e confiabilidade: A privacidade de dados é um tema especial em IoT, especialmente quando um sistema IoT permite interação de máquina para máquina (M2M). Nesse caso, as máquinas podem entrar na rede dinami- camente. Por esse motivo, o gerenciamento de identidade e a comprovação dessa identidade, sob demanda, são mecanismos importantes para garantir a autenticidade das partes em um sistema de comunicação; Supondo o seguinte cenário, um gerenciamento de veículos, baseado em siste- ma IoT, em que se espera que os veículos revelem sua identidade em uma rede veicular, pode-se pensar em um sistema como o UBER (direitos reservados à marca). O sistema pode criar um alarme e pode acionar ações se os sensores implantados em uma rua perceberem que um carro não revelou identidade. Porém, se o carro for da polícia, deve ter outro tipo de tratamento de alarme falso, para que esse veículo não seja identificado; • Falha na Interoperabilidade de dispositivos: Uma rede IoT possibilita a he- terogeneidade de dispositivos que interoperam entre si. Por causa disso, há a possibilidade dos dispositivos participantes não poderem trocar informações devido à falta de padronização de hardware e protocolos de comunicação. Até o momento, existem apenas iniciativas de padronização dos protocolos; • Falha devido as ressalvas de energia: Os dispositivos autônomos de um ecossistema IoT coletam e processam dados em tempo real do ambiente, por um longo período. O fluxo de dados é transmitido de um conjunto de disposi- tivos sensores, que funcionam por energia da bateria. Mesmo em um cenário ideal, quando a condição ambiental não interfere com o funcionamento dos sensores, a confiabilidade do sistema global ainda pode ser afetado devido à fonte de alimentação limitada. É importatnte que a infraestrutura de IoT garan- ta confiabilidade e baixo consumo de energia; • Confiabilidade na tolerância a falhas: Um sistema confiável de IoT deve ser projetado com a abordagem de prevenção de falhas ou tolerância a falhas para garantir confiabilidade e disponibilidade. Evitar uma falha demanda ações proativas preventivas, mas, quando a falha ocorrer, ações devem ser tomadas para parar a falha iminente de um sistema em execução; Porém, em um sistema baseado em IoT, a prevenção muitas vezes torna-se difícil, devido às falhas externas imprevistas, falhas transitórias, outras fora do domínio de controle. A tolerância a falhas, por outro lado, implica que o sistema seja capaz de operar na presença de falhas. Essa tolerância a falhas é obtida principalmente através 16 17 da anulação do impacto de um erro (também conhecido como mascaramento de erro), detecção de erro e recuperação. O sistema pode anular o impacto de um erro principalmente através da utilização de um conjunto de componentes redundantes, em função de o componente principal falhar por causa de um erro imprevisto, os outros sistemas clones ainda sobrevivem ao impacto. Existem três diretrizes propostas por Bayya (2016) para que os sistemas IoT sejam menos suscetíveis às falhas (tabela 4); Tabela 4 – Diretrizes orientativas quanto a falhas em sistemas IoT DIRETRIZ APLICABILIDADE TÉCNICA Tornar o dispositivo robusto Dispositivos de IoT e plataforma de serviços Prevenção de falhas, diminuição do im- pacto de falhas por meio da redundância, alertas no projeto de software. Monitoramento do estado das operações Dispositivos IoT Técnicas de detecção de erros para anali- sar o estado operacional, e acionar ações de recuperação Autodefesa Dispositivos de IoT e platafor-ma de serviços Degradação grave e recuperação através de reinício do sistema Fonte: BAYYA, 2016 Essas diretrizes são orientativas para serem incorporadas ao projeto de IoT e estabelcer um conjunto de procedimentos que objetivam mitigar as falhas, a deterioração e os erros. As abordagens exploradas até o momento visam reduzir o impacto de uma possível falha em um cluster de IoT tradicional, e em grande parte aplicam técnicas que eliminam os pontos de falha, seja em hardware ou em software, tanto no dispostivo, quanto na plataforma que sus- tenta o serviço de IoT. • Nulidade do impacto da falha pela técnica da redundância: A técnica que anula o impacto de falha é do aumento da redundância em diversos níveis, como a infraestrutura em nuvem, a rede de comunicação, o software envolvi- do em cada parte do projeto e o dispositivo em si (figura 6). Gateway 1 REDUNDÂNCIA NOS DISPOSITIVOS REDUNDÂNCIA NOS GATEWAYS REDUNDÂNCIA NOS SERVIÇOS NA NUVEM APLICAÇÃOGateway 1 Gateway 1 Cluster 1 de Dispositivos Cluster 2 de Dispositivos Cluster 3 de Dispositivos Serviços 1 Serviços 2 Serviços 3 Figura 6 – Modelo de Redundância para Sistemas IoT Existe uma modelagem simples que auxilia no cálculo da confiabilidade de um sistema com N componentes redundantes, podendo ser no hardware ou 17 UNIDADE Estrutura da Conformidade de Segurança em IoT no software, com K componentes. Por exemplo, se o sistema tem K com- ponentes, a sua redundância será R = K +N, onde N é maior ou igual a 1. A figura 6 mostra que a redundância pode ser nos clusters de dispositivos, nos gateways de comunicação ou na infraestrutura que suporta a aplicação. Vale lembrar que redundância significa, no mínimo, duplicar o sistema, e, portanto, os custos devem ser considerados em função da criticidade e da tolerância a falhas. Os sistemas redundantes também podem falhar, até mes- mo, antes de uma necessidade de entrada em operação. Estrutura de Conformidade de Segurança em IoT O conjunto estruturante define a abrangência dos requisitos de segurança em as- pectos da organização e do produto, essa estrutura é conhecida como “framework”. A estrutura é constituida de Lista de Verificação de Conformidade proposta pela IoT Security Foudantion. Cada requisito precisa ser inserido, por meio de res- postas, na Lista de Verificação de Conformidade, com declarações de apoio ou evidências. Para requisitos considerados “não aplicáveis”, devemos fornecer uma explicação do motivo. Quaisquer contramedidas alternativas para reduzir qualquer risco de segurança também devem ser listadas. Esse processo acontece conforme a figura 7, que determina os passos para alcançar a conformidade. - Criar Registo de Risco; - Determinar os Objetivos de Segurança da Tríplice CIA; - Ver o Apêndice A de Avaliação de Risco para diretrizes. - Classe de conformidade baseada em objetivos de segurança; - Ambiente de produto documentado. - Lista Completa de Conformidade (Excel); - Documentos de Evidência de Referência. Realizar análise de risco no produto no ambiente de destino Determinar a Classe de Conformidade Aplicável ao Produto Responder a cada perguna neste quadro documento Figura 7 – Passos para alcance de conformidade Fonte: Adaptado de IoT Security Compliance Framework, 2018 Em termos de segurança, o contexto é tudo – cada aplicativo é diferente no caso de uso e no ambiente operacional. Por esse motivo é importante seguir os passos apresentados na figura 7 para atender à conformidade. É responsabilidade do usu- ário do “Framework” determinar o grau de risco dentro de seu ambiente de uso real e, portanto, a sua classe de conformidade específica em relação às medidas de segurança aplicadas. 18 19 Para conseguir isso, uma avaliação de risco abrangente é um pré-requisito para o usar o Framework. O processo de avaliação de risco ajudará a determinar a classe de conformidade para o produto ou serviço. Classes de Conformidade As classes de conformidade e como elas se relacionam à Disponibilidade, In- tegridade e Confidencialidade, também conhecida como modelo da DIC, nor- malmente são usadas por profissionais de segurança. Como regra geral, a classe de conformidade mais alta possível deve ser adotada, considerando não apenaso contexto imediato do produto, mas também os riscos potenciais para os sistemas em que o produto ou serviço pode eventualmente ser usado. Para aplicar um nível adequado de conformidade de segurança a um produto do ecossistema IoT, os requisitos da lista de verificação são classificados usando as seguintes classes de conformidade do tabela 5. Tabela 5 – Descrição das classes de conformidade para IoT CLASSE DESCRIÇÃO Classe 0 O comprometimento dos dados gerados ou a perda de controle provavelmente resultarão em pou-co impacto percepitível para o indivíduo ou a organização. Classe 1 O comprometimento dos dados gerados ou a perda de controle provavelmente resultarão em im-pacto limitado sobre um indivíduo ou a organização. Classe 2 Além da classe 1, o dispositivo foi projetado para resistir a ataques de disponibilidade que teriam impacto significativo em um indivíduo ou organização, ou ainda, afetariam muitos indivíduos. Por exemplo, limitando as operações de uma infraestrutura de comunicação à qual está conectada. Classe 3 Além da classe 2, o dispositivo foi projetado para proteger dados confidenciais, incluindo dados pessoais confidenciais. Classe 4 Além da classe 3, em que o comprometimento dos dados gerados ou a perda de controle podem afetar a infraestrutura crítica ou causar danos pessoais. Fonte: Adaptado de IoT Security Compliance Framework (2018, p. 9) Para cada classe de conformidade, os níveis de integridade, disponibilidade e confidencialidade são mostrados no exemplo de tabela 6 classificatória, para auxi- liar na determinação dos riscos, impactos etc. Tabela 6 – Classes de conformidade e níveis associados CLASSE DA CONFORMIDADE OBJETIVOS DE SEGURANÇA CONFIDENCIALIDADE INTEGRIDADE DISPONIBILIDADE CLASSE 0 BAIXO BAIXO BAIXO CLASSE 1 BAIXO MÉDIO MÉDIO CLASSE 2 MÉDIO MÉDIO ALTO CLASSE 3 ALTO MÉDIO ALTO CLASSE 4 ALTO ALTO ALTO Fonte: Adaptado de IoT Security Compliance Framework (2018, p. 9) 19 UNIDADE Estrutura da Conformidade de Segurança em IoT As classes e suas definições são destacadas como objetivos de segurança, essa matriz permite indicar o nível de prioridade para cada um dos objetivos e classes. A tabela 6 recomenda os níveis de priorização, mas eles podem ser ajustados para atender às especificidades da conformidade do projeto de IoT. Essa matriz de classe de conformidade norteia a decisão das prioridades dos objetivos de segurança para serem implatados nos projetos de IoT. Níveis de Conformidade em Aplicações para IoT As aplicações a que se referem este tópico são as que envolvem todo o ecossiste- ma de IoT, aplicações tanto em hardware quanto em software, o que está em pro- dução, ou seja, em funcionamento. Os objetivos de segurança importam desde que considerados e implementados, para o monitoramento dos resultados esperados, seus ajustes e correções. As definições dos níveis de confidencialidade, integridade e disponibilidade são as seguintes, conforme tabela 7: Tabela 7 – Níveis de conformidade em aplicados a IoT CONFIDENCIALIDADE Nível baixo Dispositivos ou serviços que processam informações públicas. Nível médio Dispositivos ou serviços que processam informações confidenciais, incluindo informa- ções de identificação pessoal, cujo comprometimento teria impacto limitado sobre um indivíduo ou organização. Nível alto Dispositivos ou serviços que processam informações muito confidenciais, incluindo da- dos pessoais sigilosos, cujo comprometimento teria um impacto significativo sobre um indivíduo ou organização. INTEGRIDADE Nível baixo Dispositivos ou serviços cujo comprometimento poderia ter um impacto menor ou in- significante sobre um indivíduo ou organização. Nível médio Dispositivos ou serviços cujo comprometimento poderia ter impacto limitado sobre um indivíduo ou organização. Nível alto Dispositivos ou serviços cujo comprometimento poderia ter um impacto significativo ou catastrófico em um indivíduo ou organização. DISPONIBILIDADE Nível baixo Dispositivos ou serviços cuja falta de disponibilidade causaria pequenas perturbações. Nível médio Dispositivos ou serviços cuja falta de disponibilidade teria impacto limitado sobre um indivíduo ou organização. Nível alto Dispositivos ou serviços cuja falta de disponibilidade teria impacto significativo para um ou muitos indivíduos, ou ainda, para a organização. Fonte: Adaptado de IoT Security Compliance Framework (2018, p. 10) Para utilizar o quadro anterior, é necessário avaliar o projeto e submeter ao pre- enchimento do nível necessário para que os objetivos sejam cumpridos. A seguir, um exemplo prático para ilustrar o conceito apresentado. 20 21 Considere o cenário de uma estufa comercial, controlada por meio de um ter- mostato a um dispositivo inteligente. A seleção da classe de conformidade e os níveis de cada uma pode ser determinada de acordo com a tabela 6. Mas é ne- cessário determinar para qual parte do projeto esses objetivos de segurança serão determinados. Esses objetivos serão o caminho para estabelecer a conformidade do dispositivo, parte dele, no hardware ou no software. No exemplo apresentado será no termostato inteligente, figura 8. Figura 8 – Termostato inteligente acoplado a um sistema de estufa inteligente Fonte Getty Images A tabela 8 mostra como o termostato pode ter objetivo de segurança classificado em nível 1. Vale destacar que esse exemplo ilustra o cenário, e pode ser que o ter- mostato em outro projeto de IoT tenha um outro objetivo de segurança com classe mais exigente, por exemplo para um termostato inteligente de estufa para vacinas ou cultura de bactérias de doenças. Nesse caso, a classe recomendada seria a 2. Tabela 8 – Classe recomendada de conformidade para o termostato inteligente Classe de conformidade Objetivo de Segurança Confi dencialidade Integridade Disponibilidade Classe 1 Básica Média Média Considerando a confidencialidade, indica que o termostato não coleta dados confidenciais, sigilosos ou de identificação pessoal. São apenas dados de termpera- turas da estufa comercial. Ao considerar a integridade média, o termostato inteligente pode ser deficiente na leitura de temperaturas muito altas ou muito baixas; além disso, a latência da lei- tura ou a própria curva de resposta do sensor do termostato pode não ter a mesma histerese na mudança de temperatura. Isso pode afetar o desempenho da medida e gerar impactos comerciais e financeiros. Quando a disponibilidade é média, no caso do termostato em um ambiente co- mercial para controle de estufa, provavelmente faz parte de um sistema de controle 21 UNIDADE Estrutura da Conformidade de Segurança em IoT ambiental. Como tal, uma falha de sensor individual terá pouco impacto, mas um ata- que de negação de serviço em vários sensores pode acarretar maior risco comercial. A histerese, em termos de temperatura, refere-se à variação térmica decorente da falta de estabilização do sensor. As variações de temperatura reais são medidas com certo retardo pelo sensor térmico. O seu corpo-sensor será afetado pela variação de temperatura em fun- ção do diferencial entre a temperatura ambiente e a temperatura na superfície do sensor. Ex pl or A previsão de uma conformidade com o Framework de acordo com IoT Security Compliance é que ele se torne parte intrínseca do processo de segurança do projeto e forneça à organização, a evidência de apoio para a garantia de continuidade dos negócios. Uma lista de verificação de conformidade mais detalhada que o exemplo da tabela 4 pode ser usada em vários estágios do ciclo de vida do produto. Primeiro, identificando a necessidade de segurança no estágio concepção do projeto conceitual e, em seguida, listando as evidências reunidas para finalmente assinar os requisitos de segurança para a liberação e implementação em produção. O processo de coleta de evidências só pode ser iniciado após o estabelecimen- to da Classe de Conformidade. Uma vez determinada a Classe de Conformidade, os requisitos aplicáveissão automaticamente derivados por meio de uma planilha acompanhada como obrigatória (M) ou como consultiva (A). A planilha também pode ser usada para otimizar o design do produto e estabelecer se uma alteração permitiria que uma classe de conformidade mais baixa fosse selecionada. Essas considerações são fundamentais para a estruturação dos objetivos de se- gurança, assim como os que não são objetivos de segurança. 22 23 Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade: Sites IoT Security Foundation Comece a interagir com a Comunidade Especializada que trata de Segurança para IoT. A IoT Security Foundation é uma organização que compõe e mantém o Framework de Compliance com recomendações e boas práticas para criar produtos e serviços IoT seguros; promover a adoção do Quadro de Conformidade aos prestadores de serviços e produtos da IoT, especificadores do sistema de IoT, compradores e decisores políticos. Para compreender melhor a importância do papel da IoT Security Foundation acesse o portal da entidade e busque as abordagens sobre os relatos de ataques e problemas com segurança e violação de dados de IoT. Esta comunidade mantém uma biblioteca atualizada sobre os ataques ocorridos, problemas e mitigações. http://bit.ly/2Mqiydx Vídeos Fabricantes tornam Internet das Coisas um ambiente sem segurança Assista ao vídeo no endereço abaixo para saber mais sobre a questão da segurança em IoT na visão de Paulo Pagliusi da KPMG. https://youtu.be/xxsyArlS91U Leitura Etapas de avaliação de risco O núcleo do processo de segurança é entender o que está sendo protegido e do que ou de quem. Por esse motivo os objetivos e os não objetivos são definições importantes em projeto de IoT. Também é importante identificar o que não está sendo protegido. Há muitas maneiras de realizar esse procedimento, mas recomenda-se o uso de padrões de gerenciamento de risco bem conhecidos e advindos das melhores práticas que estão disponíveis. Técnicas de gerenciamento de risco também podem ser encontradas em várias publicações comuns de treinamento de negócios. Um esboço do processo de Avaliação de Risco e o seu fluxo podem ser acessados no link a seguir da IoT Security Foundation Org. Faça download do Framework: Verifique o conteúdo indicado nas páginas 44 e 45. Esse material é de 2018 e até maio de 2019 está em vigência. http://bit.ly/2MpJSs6 Objeto conectado é mais sujeito a ataque virtual que notebook Leia a reportagem de fevereiro de 2019 da Folha de São Paulo sobre a vulnerabilidade dos objetos conectados e as questões de segurança. http://bit.ly/2MsKwVN 23 UNIDADE Estrutura da Conformidade de Segurança em IoT Referências BUYYA, R. Internet of Things Principles and Paradigms. Australia. Morgan Kaufmann is an imprint of Elsevier, 2016. FONTES, E. Políticas e normas para a segurança da informação: como de- senvolver, implantar e manter regulamentos para a proteção da informação nas organizações. Rio de Janeiro: Brasport, 2012. p. 269. _______. Sistema de Informação: o usuário faz a diferença. São Paulo. Saraiva, 2006. IMONIANA, J. O. Auditoria de sistemas de informação. 3. ed. Rio de Janeiro Atlas, 2016. Recurso on-line. _______. IoT Security Foundation. IoT Security Compliance Framework. 2018 IoT Security Foundation. Release 2. Acessado em 21/03/21019. Disponível: <https://www.iotsecurityfoundation.org/wp-content/uploads/2018/12/IoTSF-IoT- -Security-Compliance-Framework-Release-2.0-December-2018.pdf>. KIM, D. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014. 24
Compartilhar