Em países como os Estados Unidos, estima-se que o crescimento dos edifícios inteligentes atinja 16.6% até 2020, em comparação com 2014, embora esta expansão não se limite aos EUA, mas esteja a ocorrer à escala global.
Este crescimento deve-se em grande parte ao facto de vivermos num mundo cada vez mais permeado pela tecnologia, em que a automatização de processos e a procura pela eficiência energética contribuem não só para a sustentabilidade, mas também para a redução de custos – objectivo perseguido em todas as indústrias, públicas e privadas. parecido. Naturalmente, a indústria da construção não é exceção, afirma Carey van Vlaanderen, CEO da ESET África do Sul.
Os edifícios inteligentes utilizam a tecnologia para controlar uma ampla gama de variáveis dentro de seus respectivos ambientes com o objetivo de proporcionar mais conforto e contribuir para a saúde e produtividade das pessoas que neles habitam. Para isso, eles usam os chamados Sistemas de Automação Predial (BAS).
Com a chegada da Internet das Coisas (IoT), os edifícios inteligentes redefiniram-se. Com as informações que obtêm dos sensores inteligentes, seus equipamentos tecnológicos são utilizados para analisar, prever, diagnosticar e manter os diversos ambientes dentro deles, bem como para automatizar processos e monitorar inúmeras variáveis operacionais em tempo real. Temperatura ambiente, iluminação, câmeras de segurança, elevadores, estacionamento e gestão de água são apenas alguns dos serviços automatizáveis atualmente suportados pela tecnologia.
Para colocar em perspectiva as possibilidades desta infra-estrutura inteligente, temos o exemplo de um edifício inteligente em Las Vegas onde, há dois anos, decidiram instalar um sofisticado sistema de automação para controlar o uso do ar condicionado (tendo em conta que Las Vegas tem clima desértico quente e pouquíssima chuva), por isso só é ligado quando há pessoas presentes. Esta decisão levou a uma poupança de 2 milhões de dólares durante o primeiro ano após a instalação do sistema inteligente, devido à redução no consumo de energia conseguida através da automatização do processo. A Marriott Hotels implementou um sistema semelhante em toda a cadeia que deverá gerar um valor estimado EUA $ 9.9m economia de energia.
Outro exemplo de automação através de dispositivos inteligentes é o de um supermercado no Reino Unido. A loja instalou em seu estacionamento um sistema inteligente que gera energia cinética a partir da movimentação dos carros que passam por ele e depois utiliza essa energia para alimentar os caixas.
À primeira vista, podemos não ver qualquer risco de segurança nestes edifícios inteligentes. É provável, no entanto, que em algum momento toda a rede inteligente esteja ligada a uma única base de dados, e é aí que reside o risco. Principalmente se considerarmos que muitos dispositivos IoT são fabricados por fornecedores diferentes, que podem não ter prestado a devida atenção às considerações de segurança durante o seu projeto e processo de fabricação.
Possibilidade de um edifício inteligente ser atacado
O risco de um incidente de segurança ocorrer num edifício inteligente está ligado às motivações dos criminosos cibernéticos, que procuram principalmente obter ganhos económicos através das suas ações, bem como impactar e espalhar o medo.
Já existem algumas ferramentas, como o Shodan, que permitem a qualquer pessoa descobrir dispositivos IoT vulneráveis e/ou inseguros conectados publicamente à Internet. Se você fizer uma pesquisa usando a ferramenta, poderá encontrar milhares de sistemas de automação predial em suas listas, completas com informações que podem ser usadas por um invasor para comprometer um dispositivo. Em fevereiro de 2019, cerca de 35,000 sistemas de automação predial em todo o mundo apareceram em Shodan ao alcance do público através da Internet.
Isso significa que alguém pode assumir o controle de um BAS após encontrá-lo por meio de uma busca. Se, por exemplo, um criminoso usou o Shodan para construir sistemas de automação para atacar, ele encontrará endereços IP. Se eles copiarem esses endereços IP na barra de endereços de um navegador da web, em muitos casos isso abrirá uma interface para obter acesso, onde será necessário inserir um nome de usuário e uma senha. Se a senha for padrão ou puder ser facilmente quebrada por meio de um ataque de força bruta, o invasor terá acesso ao painel de monitoramento do sistema, que contém informações semelhantes às das empresas localizadas no prédio inteligente.
Assim que os invasores tiverem acesso a essas informações públicas e puderem monitorar, por exemplo, o funcionamento do ar condicionado, poderão fazer uma ligação fingindo ser da empresa de manutenção e dizer que vão enviar um técnico.
Ao mesmo tempo, os invasores poderiam solicitar acesso remoto, o que lhes daria acesso ao servidor e permitiria controlar o edifício. Uma vez que tenham o controle, eles poderão alterar o aquecimento ou o ar condicionado do prédio ou ajustar a forma como qualquer um dos outros sistemas automatizados operam e, em seguida, exigir o pagamento de um resgate ao usar um sistema que lhes permita permanecer anônimos, como a criptomoeda, em troca de não fechar o prédio.
Siegeware: uma ameaça muito real
Os cibercriminosos já estão realizando esses ataques quando têm oportunidade. Esse tipo de ataque é siegeware, ou “a capacidade habilitada por código de fazer uma demanda de extorsão confiável com base na funcionalidade de construção com deficiência digital”.
Em conclusão, o baixo custo dos dispositivos IoT para edifícios e os avanços da tecnologia para sistemas de automação predial estão a conduzir a mudanças com impacto na segurança. Esta tendência para a automação e a utilização de dispositivos inteligentes para recolher dados – a fim de proporcionar mais conforto aos utilizadores de um edifício e fazer uma utilização mais eficiente de recursos como a energia – também está a conduzir a riscos de segurança acrescidos. Como resultado, a possibilidade de um cibercriminoso lançar um ataque de ransomware a um edifício inteligente já é uma realidade.
Considerações a ter em conta
Há uma série de considerações e requisitos de segurança a serem considerados:
- Rever as especificações de segurança dos dispositivos e trabalhar com base no conceito de “segurança desde a conceção”
- Defina um orçamento adequado para segurança
- Escolha parceiros que tenham conhecimento de questões de segurança
- Instale software para gerenciar vulnerabilidades
- Garantir a cooperação entre as diferentes áreas e/ou departamentos
Para questões operacionais:
- Atualize os dispositivos regularmente
- Implemente um plano de substituição para quando o ciclo de vida de suporte dos dispositivos terminar
- Tome precauções em relação aos dispositivos conectados
- Monitore dispositivos conectados
