Internet das coisas (IoT) pode ser entendida como uma tecnologia no qual vários dispositivos físicos estão conectados entre si via a Internet. Esses dispositivos vão desde a televisão, a máquina de lavar roupa de sua casa até dispositivos diretamente ligados ao negócio de uma organização como sensores em hospitais (ex: sensores cardíacos), transporte públicos, entre outros.
Apesar dessa facilidade, portabilidade e disponibilidade das informações, em paralelo veio um grande problema, a segurança dessas informações. Garantir a confidencialidade, a integridade e a disponibilidade em dispositivos com plataformas operacionais (Hardware e Software) diversas, dispersas e sem um conjunto de regras de segurança padrão passou a ser um grande problema.
Em paralelo, com o advento da Lei Geral de Proteção de Dados (LGPD) a preocupação com a segurança da informação tornou-se ainda maior. Essa preocupação se deve ao fato de que não existe privacidade de dados se não existir segurança da informação. Desta forma o acesso aos dados pessoais, sem a permissão do titular dos dados, se torna uma possibilidade muito próxima a realidade de quem faz uso da IoT.
Sendo assim, o vazamento de dados, via os dispositivos da IoT, passa a ser a principal preocupação dos donos dos seus dados pessoais.
Um exemplo bem simples seria:
Hoje ao solicitar um reparo de um eletrodoméstico, o técnico antes de ir a sua residência, ele poderá acessar esse dispositivo remotamente para ver o possível problema, e assim agilizar o atendimento. Todavia, ao dar acesso a esse dispositivo, dados pessoais poderão ser acessados sem que você saiba ou mesmo tenha dado permissão.
Esse texto, de forma singela, apresenta esse problema, para muitos desconhecidos, e como pode-se mitigar essa problemática.
Quais os principais problemas?
É claro que o principal problema para os dados pessoais é a sua privacidade na IoT, isto é o acesso não autorizado aos mesmos, via os dispositivos que são utilizados. O vazamento desses dados para aqueles que não podem e não devem ter acesso é uma grande preocupação para os Titulares dos Dados. Algumas razões poderiam ser citadas como fatores causadores desse vazamento de dados, mas vamos destacar dois deles que considero os mais interessantes:
1. Um dos principais problemas, talvez o principal, seja que os dispositivos do IoT não possuem mecanismos próprios de segurança. A grande maioria trabalha de forma “independente”, acessando outros dispositivos e sem estar ligado ou conectado a uma rede particular (empresa ou caseira), onde na sua grande maioria possuem dispositivos que mitigam os riscos de acesso aos dispositivos sem prévia autorização.
2. Outro aspecto importante é que não existe um protocolo de segurança para a comunicação entre os dispositivos da IoT. Logo, não existe um conjunto de regras de segurança que especifiquem “quem irá acessar o que quando e como”. Esta afirmação é válida porque não existe um controle de acesso efetivo aos dispositivos da IoT.
Como esse problema pode ser Mitigado?
Bem, a princípio não vejo uma solução que venha atender a todos ou mesmo a maioria ou parte dos requisitos de segurança a todos os dispositivos que fazem parte da IoT. Essa afirmação pode ser constatada porque, além dos problemas já citados, se deve levar em consideração que os países de origem dos fabricantes dos dispositivos não seguem a LGPD e nem a GDPR (General Data Protection Regulation) ou mesmo as regras americanas de proteção de dados.
Todavia, algumas providências podem ser tomadas por cada dono do dispositivo, dos quais os itens que se seguem podem ser destacados:
1. Ao receber o seu dispositivo tecnológico para uso, veja quais são os parâmetros de configuração de forma que não habilite ou mesmo permita o acesso ao dispositivo sem seu conhecimento: não permita o acesso a sua máquina de lavar roupa pelo fornecedor para verificar quaisquer problemas que possa ocorrer. Caso tenha dúvida, desabilite o acesso desse dispositivo à Internet.
2. Procure ver junto ao fabricante, em sua “homepage”, a política de privacidade que é citada quanto aos produtos por ele fornecidos.
3. Uma solução radical seria trabalhar, usar somente dispositivos cujos os fabricante estejam alinhados com a LGPD.
Aspectos Conclusivos
Tanto a IoT quanto a LGPD são recentes nesse universo amplo da tecnologia de transmissão, armazenamento e proteção de dados pessoais. A integração desses dois elementos, a possibilidade de se ter dispositivos da IoT integrados e trabalhando de forma segura, isto é, garantindo a privacidade dos dados pessoais por eles manipulados ainda irá demorar um pouco.
Regras e padrões de segurança para a garantia da privacidade dos dados pessoais em conformidade com a LGPD deverão ser pensados com de forma detalhada para que possam ser implementados em um futuro próximo.
Luiz Otavio Lento Senior Security Advisor & DPO
Precisa adequar sua empresa? Baixe nosso eBook AQUI ou entre em contato conosco que teremos o maior prazer em fazer um pré-diagnóstico da sua empresa e apresentar a solução completa de adequação a LGPD da ALIX.