“Internet das Coisas: um plano de ação para o Brasil” – Aspectos de Segurança
Por Paulo Pagliusi
Em 03 de outubro, durante a Futurecom 2017 em São Paulo (evento em que este autor foi palestrante), foi lançado pelo BNDES e o MCTIC o estudo “Internet das Coisas: um plano de ação para o Brasil” (Produto 8: Relatório do plano de ação – Iniciativas e Projetos Mobilizadores), que subsidiará elaboração do Plano Nacional de IoT (Internet of Things).
O estudo reúne mais de 70 proposições para guiar as políticas públicas e ações para IoT entre 2018 e 2022.
O estudo destaca – no seu item 4.4.3 – que um dos principais pontos necessários para o adequado desenvolvimento da Internet das Coisas está relacionado com a disponibilidade de conectividade. Desse modo, a análise e revisão do quadro regulatório de telecomunicações é de suma importância para se assegurá-la, com as especificidades necessárias, em especial diante da variedade de aplicações e de novos modelos de negócio em IoT.
Além dos desafios na regulamentação de telecomunicações, é essencial endereçar os atuais gargalos nos temas de privacidade e proteção de dados pessoais e de segurança da informação. Embora se tratem de temas maiores do que IoT, são catalisadores para seu adequado desenvolvimento, em especial em ambientes como o de cidades e de saúde. Há um conjunto de questões regulatórias específicas dos ambientes cidades, saúde, rural e indústria que devem ser analisadas para o desenvolvimento da IoT.
Portanto, no que tange à garantia da Segurança das conexões, o estudo lista os 4 objetivos específicos da horizontal de Regulatório, Segurança e Privacidade, que possui diversos aspectos que são mais amplos do que IoT e cuja análise detalhada excede o escopo do estudo:
– Endereçar questões da regulamentação de Telecom com vistas a acelerar o desenvolvimento de aplicações IoT.
– Identificar e tratar questões regulatórias específicas nas verticais priorizadas.
– Estruturar a criação de um marco regulatório de proteção de dados pessoais adequado para fomentar a inovação e a proteção aos direitos individuais.
– Estabelecer desenho institucional adequado para enfrentar os desafios em privacidade e segurança para IoT.
Os três elementos dessa horizontal em pauta foram descrito sucintamente no item 6.4 do estudo:
– Regulação de Telecomunicações (6.4.1) – um dos requisitos essenciais de aplicações Internet das Coisas é a existência de conectividade, conceito este diretamente relacionado à infraestrutura de suporte à prestação de serviço de telecomunicações, o que traz para o debate de Internet das Coisas a necessidade de uma análise aprofundada da regulamentação setorial para identificar potenciais obstáculos ao desenvolvimento de IoT no país.
– Privacidade e Proteção de Dados Pessoais (6.4.2) – com a proliferação de novos dispositivos conectados à Internet aptos a armazenar, coletar e tratar uma significativa quantidade de dados, tem sido recorrente a discussão sobre usos legítimos dos dados e sobre as vulnerabilidades das bases de dados gerados. Em adição, a formulação de políticas públicas, a gestão eficiente e transparente dos órgãos governamentais e a criação de novos modelos de negócios são influenciados pelo crescimento exponencial de análises baseadas em grandes volumes de dados. Assim, o desenvolvimento de soluções de IoT demanda edição de norma sobre proteção de dados pessoais que lide com a complexidade deste contexto tecnológico. É preciso existir instância regulatória para lidar com estes desafios, com uma autoridade capaz de apresentar opiniões técnicas específicas com controle unificado e homogêneo do cumprimento das disposições sobre proteção de dados pessoais.
– Segurança da Informação (6.4.3) – diante do desenvolvimento da IoT no Brasil, da expansão de vulnerabilidades em redes e da natureza “sem fronteiras” de incidentes em segurança da informação, a discussão sobre medidas relacionadas à cibersegurança nos âmbitos do Poder Público e da iniciativa privada ganha destaque. Discutem-se modelos de governança tanto para a cooperação internacional, quanto em relação ao arranjo institucional interno brasileiro. No âmbito local, faz-se necessário, ainda, encontrar alternativas para incentivar a adoção de medidas protetivas à segurança da informação pela iniciativa privada, seja pela adoção de mecanismos voluntários de certificação de dispositivos ou pelo respeito a critérios mínimos de segurança em infraestruturas críticas. Uma alternativa prevista no estudo seria a certificação voluntária sobre a segurança de dispositivos ligados à IoT. A estruturação de sistema de certificação baseado na autoavaliação voluntária, sem imposição de obrigações legais, tem potencial de criar cultura de transparência na prestação de informações ao usuário e incentivar a adoção de alto padrão de segurança pela iniciativa privada. Para viabilizá-lo, uma alternativa seria a criação de aliança por representantes da iniciativa privada, responsável pela organização estrutural e elaboração de diretrizes. Possíveis encaminhamentos:
– Cooperação internacional – Aprimorar mecanismos de cooperação internacional para prevenção e tratamento de incidentes de segurança da informação, como pela adesão a Acordos de Troca e Proteção Mútua de Informações Classificadas; Incentivar a adoção de standards internacionais na temática de segurança da informação pela iniciativa privada.
– Arranjo institucional brasileiro – Estruturar governança baseada em modelo multissetorial, com criação ou designação de estrutura para coordenar atividades baseadas em segurança da informação, na forma de conselho permanente, entidade pública ou agência reguladora, visando apoiar a elaboração de políticas nacionais, criação de mecanismos de resposta a incidentes, dentre outras; Estimular a cooperação e interação entre o Poder Público, sociedade civil, iniciativa privada e academia, com o fim de promover medidas de conscientização e fomento da segurança da informação.
– Incentivo à adoção de certificação voluntária de dispositivos – Incentivar a criação de sistema de certificação de segurança da informação em dispositivos em Internet das Coisas, baseada em modelo de autorregulação pela iniciativa privada, baseado em autoavaliação voluntária, com adoção de selo/sinalização de conformidade ao consumidor, o que evitaria alto custo de entrada; Estruturar modelo de corregulação ou regulação híbrida para certificação de dispositivos IoT, com participação de conselho multissetorial ou agência pública focada em segurança da informação.
– Segurança da informação em infraestruturas críticas – Fortalecer a estrutura institucional dedicada à segurança de infraestruturas críticas no âmbito da Administração Pública Federal, e incentivar os setores regulados a respeitarem aspectos mínimos de segurança da informação em setores de infraestrutura crítica.
Por fim, ressalta-se que o item 7.2.2.2 do estudo em pauta considera, no tema de competências tecnológicas, a alta complexidade inerente aos sistemas IoT, decomposta nas camadas de dispositivos, conectividade, suporte à aplicação e segurança. No que tange à camada de segurança, o estudo destaca a importância da tecnologia para:
– Segurança embarcada: o desenvolvimento de robustos mecanismos de segurança passa a ser mais difícil quando executados em ambientes com restrições de capacidade computacional e disponibilidade energética. Assim, é alto o grau de competência necessário nesta área para garantir que os sistemas atendam aos requisitos exigidos por muitas aplicações sensíveis ao roubo de dados ou em que a atuação no mundo físico pode trazer perdas financeiras ou mesmos da seguridade das pessoas.
– Segurança de redes: A criticidade na segurança da informação de algumas aplicações IoT também se estende à rede de comunicação. Duas questões se destacam nesta área: o ingresso dos dispositivos na rede de acesso e a prevenção de ataques de negação de serviço.
– Acreditação da informação: várias operações realizadas a partir da interação com o mundo físico geram registros digitais armazenados em nuvem, que precisam ser acreditados com grande confiabilidade. Neste aspecto, tecnologias para a realização de assinaturas digitais e armazenamento confiável das informações ganham importância.
*Dr. Paulo Pagliusi, Ph.D., CISM
Paulo Pagliusi é Diretor da consultoria em Cyber Risk Services da Deloitte. Líder do GT de Segurança da Associação Brasileira de Internet das Coisas (ABINC), Vice-Presidente da Cloud Security Aliance (CSA) – Brazil Chapter e Diretor do ISACA Rio Chapter, onde obteve a certificação CISM. Considerado um dos Consultores mais renomados do País, com experiência de mais de 20 anos atuando em gestão estratégica de Riscos Cibernéticos. Ph.D. in Information Security, pela Royal Holloway, University of London, com Mestrado em Ciência da Computação pela UNICAMP e extensão em Análise de Sistemas pela PUC-Rio. Autor de livro, articulista ativo e conferencista atuante, instrutor de Pós-Graduação em Segurança da Informação do IBMEC, foi membro externo de mais de uma dezena de bancas examinadoras de Doutorado e Mestrado. Capitão-de-Mar-e-Guerra da reserva da Marinha, é um dos mentores do Cyber Manifesto, que tem o objetivo de estimular o apoio e a criação de uma visão compartilhada para proteger o Brasil de ataques cibernéticos. Referência para o governo brasileiro como especialista no caso Snowden, durante as audiências públicas da Comissão Parlamentar de Inquérito do Senado Federal criada para investigar a espionagem norte-americana. Colunista do Crypto ID.
[button link=”https://cryptoid.com.br/category/colunistas/paulo-pagliusi/” icon=”Select a Icon” side=”left” target=”” color=”4b308c” textcolor=”ffffff”]Leia aqui outros artigos escritos por Paulo Pagliusi[/button]