Em outubro de 2016, um exército de pelo menos 100 mil dispositivos infectados com o malware Mirai – a maioria câmeras de segurança e gravadores de vídeos – foi usado parar tirar do ar serviços como Twitter, Netflix, Spotify e PayPal, além dos sites do jornal The New York Times e da rede de TV Fox, entre outros. Foi o primeiro grande ataque de que se tem notícia a usar “coisas” em vez de computadores para derrubar um serviço de internet. “Estamos saindo da era do bilhão de dispositivos conectados para entrar na era das centenas de bilhões de dispositivos online”, disse Michael Dell à DINHEIRO, em meados de fevereiro, durante a RSA Conference 2017, uma das maiores feiras de segurança digital, que acontece anualmente em São Francisco, Cingapura e Abu Dhabi. “Os CEOs com quem eu converso estão cada vez mais preocupados com segurança”.

O ataque foi o primeiro alerta de que poderia haver alguma coisa errada com a chamada internet das coisas (internet of things, ou IoT), tecnologia que conecta “coisas” tão distintas quanto uma máquina de lavar, um relógio, um carro e uma banheira à web – e permite que elas conversem entre si. Até agora, ela vem cumprido a promessa de permitir uma vida mais confortável. Geladeiras conectadas à web já identificam produtos que estão para vencer e encomendam reposições, sistemas de ar-condicionado conversam com monitores de temperatura de pele para resfriar ou aquecer ambientes, e sensores permitem o monitoramento remoto de maquinário industrial, liberando funcionários do chão de fábrica.

DIN1008-internet3Mas a conectividade que dá conforto está expondo, de maneira inédita, as redes de casa, do trabalho e de infraestrutura. Para os criminosos digitais, com a explosão da internet das coisas, multiplicaram-se as portas de entrada para a invasão. O mercado vivia, até recentemente, em lua de mel com a internet das coisas.. Com potencial para gerar economias de US$ 177 bilhões ao ano e força para atrair investimentos de até US$ 6,2 trilhões na próxima década, a IoT cegou os entusiastas para os seus riscos. “Toda inovação atrai a exploração”, afirma Zulfikar Ramzan, diretor-chefe de tecnologia da RSA, uma empresa de segurança digital. Agora, de um dia para o outro, proteger a internet das coisas virou prioridade.

No Brasil, o Plano Nacional de Internet das Coisas, que deve ser finalizado pelo Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC) e o Banco Nacional do Desenvolvimento Social (BNDES) até setembro deste ano, trata como prioridade a proteção dos dispositivos conectados e dos dados armazenados e compartilhados pelos aparelhos como prioridade. Internacionalmente, gigantes do setor têm pressionado governos para que se estabeleça um padrão mínimo de segurança que todos os fabricantes de dispositivos para a internet das coisas sejam obrigados a respeitar. “Não temos cinco anos para resolver essa questão”, diz Niloofar Howe, diretora de estratégia da RSA. “Os governos precisam se unir e trabalhar rápido numa solução para esse problema”.

Entre as propostas de regulação apresentadas está a de exigir que os dispositivos feitos para interagir na internet das coisas já venham, de fábrica, com recursos básicos de proteção instalados. Coisas como a exigência da configuração de nome de usuário e senha pelo proprietário e autonomia para conduzir atualizações automáticas e remotas de firmware, o software que controla o funcionamento do dispositivo. “Mas, se há setores da indústria que clamam por regulação, outros têm oferecido resistência”, diz Alex Cox, diretor da FirstWatch, divisão de segurança que detecta e identifica novas ameaças virtuais.

Para alguns fabricantes desses aparelhos, incluir camadas de segurança significa complicar a vida do usuário. Segundo eles, o comprador terá que se familiarizar com um novo processo de configuração, o que pode desestimular as vendas. “Vai ser uma briga entre quem tem o olhar voltado apenas para os negócios e quem já entende a segurança como parte do negócio”, diz Cox. Enquanto não houver regulação, a torcida é para que, na disputa pelo bolso do consumidor, a segurança não acabe em segundo plano.