De assistência médica aos transportes, de serviços bancários a comunicações, os exemplos de sistemas embebidos são múltiplos e variados. O setor está em franco crescimento e é expectável que, em 2024, o mercado atinja perto dos 100 mil milhões de dólares.
Se juntarmos o aumento no número e na variedade de dispositivos embebidos com a evolução de tecnologias como a Internet das Coisas, deparamo-nos com um crescimento totalmente descontrolado de dispositivos que se encontram interligados por meio de uma rede comum. Cada um destes dispositivos tem características e vulnerabilidades muito próprias, representando diferentes níveis de risco para entidades e pessoas, o que os torna um alvo apetecível para ciberataques.
Este tipo de ataques tem crescido nos últimos anos, assim como a criatividade com que são levados a cabo. Segundo um relatório publicado recentemente, as violações de segurança aumentaram 11% desde 2018 e 67% desde 2014.
Em Portugal, e de acordo com o Centro Nacional de Cibersegurança, já houve pelo menos 28 ciberataques a empresas e organismos públicos desde o início do ano. É então natural que a segurança se tenha tornado uma das principais preocupações das organizações, que procuram agora medidas e procedimentos de segurança que permitam ter maior controlo sobre a informação e os sistemas, tanto os desenvolvidos, como os utilizados internamente.
Tipicamente, a cibersegurança é vista segundo três vertentes: (1) Estática – correspondente à utilização de firewalls, esquemas específicos de arquitetura e encriptação; (2) Ativa – que para além do que já está edificado na vertente estática, se foca igualmente na importância da consciencialização e no dotar as pessoas com o conhecimento devido; e (3) Pró-ativa – é a vertente mais robusta e complexa e diz respeito à utilização de toda a informação proveniente de ataques, normas, análises efetuadas a Big Data e até à utilização de inteligência artificial. O intuito desta última tecnologia passa pela criação de formas de prever ataques e, através disso, desenvolver medidas que permitam prevenir e/ou reduzir o impacto que estes possam vir a ter nos sistemas.
Para além da importância de se perceber como é que se podem proteger os sistemas, tornando-os mais robustos e menos vulneráveis, é fundamental entender a mentalidade dos indivíduos, as suas motivações e a forma como se organizam com o intuito de efetuar este tipo ataques.
As motivações de um ciberatacante encaixam-se tipicamente em duas vertentes: os que pretendem causar meramente danos e/ou os que tentam ganhar algum tipo de compensação monetária. Contudo, em cenários mais catastróficos, como, por exemplo, em ciberataques feitos contra sistemas de transportes (comboios ou aviões), podemos facilmente perceber que, muito provavelmente, o objetivo não se trata unicamente do dano causado às organizações, mas sim no impacto que a perda de vidas ou que a disrupção do serviço podem ter na sociedade moderna.
Dependendo do domínio em que o sistema se encontra, diferentes motivações podem estar ligadas a este tipo de ações. Em termos práticos, um ciberataque cujo alvo seja um sistema bancário terá como objetivo primordial o roubo de ativos financeiros. Contudo, quando o contexto muda para o meio industrial, existem outro tipo de objetivos subjacentes, como o de danificar os sistemas e expor informação sensível de uma determinada organização. No limite, o resultado destas ações pode mesmo colocar os seus alvos em situações delicadas perante entidades reguladoras, clientes e até mesmo a opinião pública.
Quem trabalha no desenvolvimento de software precisa de aprender a criar barreiras para proteger os seus sistemas através do entendimento da componente psicológica de um ciberatacante.
Os ciberatacantes executam os ataques sem mostrar a face, pelo que não é possível identificar inequivocamente uma entidade ou pessoa responsável. Um atacante pode ser um único indivíduo ou um grupo de indivíduos que partilham o mesmo objetivo – executando um ataque distribuído, por exemplo. De forma completamente abstrata, um grupo de ciberatacantes (ou ciberatacante) pode ser: pessoas que gostam de controlar sistemas; grupos ou organizações concorrentes; ladrões profissionais; terroristas; colaboradores descontentes; colaboradores que cometem erros involuntários; colaboradores que quebraram procedimentos de qualidade ou segurança; entre outros. Tradicionalmente, os atacantes deliberados são calculistas e planeiam os ataques minuciosamente de forma a não deixar escapar nenhum detalhe.
Ainda que seja cada vez mais difícil prevermos e protegermo-nos contra ciberataques, há falhas que aumentam significativamente o nível de vulnerabilidade.
A maior parte dos erros cometidos em cibersegurança não diz respeito a questões técnicas, mas sim a crenças incorretas. Pensar que apenas os ataques em grande escala podem comprometer os sistemas é, desde logo, uma abordagem potencialmente incorreta, pois não permite obter a atenção necessária para a prevenção e resolução de ataques. Não saber o que foi comprometido, depender de equipas de IT centralizadas, não ter planos de backup e recuperação e falhar na educação das pessoas são igualmente erros identificados na indústria de desenvolvimento de sistemas. Tudo isto são erros que os ciberatacantes conhecem e exploram para ganharem acesso não autorizado a sistemas.
Do ponto de vista técnico, a origem mais comum das vulnerabilidades está no processo de desenvolvimento, mais concretamente nas fases de requisitos, arquitetura e implementação. Atividades como o desenvolvimento de software, procedimentos de operação, utilização de protocolos ou tecnologias de comunicação inseguras, falta de consciencialização para os aspetos de segurança e, principalmente, a falta de treino dos engenheiros envolvidos em todas estas tarefas são, igualmente, fatores a ter em conta no risco de segurança de um sistema.
Idealmente, as vulnerabilidades devem ser resolvidas nos primeiros estágios do processo de desenvolvimento. À medida que o tempo avança, a complexidade e o custo para resolver um problema aumentam. Infelizmente, a maioria dos defeitos são detetados em fases avançadas, durante o estágio de avaliação de qualidade. Outra fonte recorrente de problemas é a fase de manutenção, onde são aplicadas novas atualizações aos sistemas de uma forma menos sistemática do que inicialmente previsto.
Em suma, é bastante importante que as empresas e as organizações continuem a fortalecer a sua aposta na área da cibersegurança, pois só assim serão capazes de disponibilizar sistemas que primam não só pela elevada qualidade, mas também pela segurança.