Segurança mantém-se o ponto fraco das Smart Cities

É previsto que o investimento em Smart Cities alcance os 88.7 mil milhões em 2025, em comparação com os 36.8 de 2016, com projetos de financiamento como a “Smart Cities initiative” da Casa Branca, impulsionando a procura ainda mais – mas com novos avanços tecnológicos vêm sempre potenciais desvantagens.

De acordo com o recente relatório da Trend Micro, “Securing Smart Cities”, a segurança pode vir a ter o potencial de fragilizar seriamente uma cidade, e responsáveis municipais podem não estar a fazer o suficiente para assegurar um nível básico de segurança numa altura em que estão a ser arrastados na corrente de novas e excitantes ideias para Smart Cities.

As ameaças que as Smart Cities enfrentam são numerosas. Com aproximadamente 70% da energia produzida a nível global consumida pelas cidades, e a mesma percentagem do PIB a ser gerada por estas áreas, qualquer tipo de intrusão, quebra de segurança ou fuga de informação em Smart Cities poderá ter consequências graves.

Por exemplo, em Yokohama, Japão, sistemas de armazenamento de energia estão a ser implementados para melhorar a eficiência energética da cidade e reduzir emissões de CO2. Smart Meters estão também em uso, mas basta um kit USB barato para estas leituras serem descodificadas, falsos sinais serem enviados e, potencialmente, o sistema ser penetrado, ponto a partir do qual os atacantes poderiam registar onde e como a energia está a ser utilizada. 

Os controles ambientais com base na IoT, como sensores de qualidade do ar e sistemas inteligentes de gestão de resíduos, também desempenham um papel nas cidades inteligentes de hoje. No entanto, muitos usam Linux embutido ou MCUs baseados em Arduino. Segundo o estudo da firma de segurança, pode ser um desafio proteger estes projetos.

"Dado o poder de computação limitado do MCU, as credenciais Wi-Fi podem vir a ser armazenadas em texto claro em EEPROM ou media removível, enquanto o Bluetooth geralmente opera com o código PIN padrão, 1234, se de todo", diz o relatório.

"A segurança também é difícil de garantir em projetos que usem o Linux incorporado. Vulnerabilidades no Linux podem afetar chips embutidos. Entrar num único sensor de qualidade do ar pode não valer a pena, mas o conjunto de todos os sensores de qualidade do ar numa cidade são uma questão diferente".

Outro grande potencial risco de segurança são os pontos de cocntacto do governo local com os cidadãos. Cidades como Bristol, Reino Unido, e Boston, EUA, lançaram portais de cidadão que permitem que os moradores façam tudo desde relatar problemas nas ruas a pagar os seus impostos municipais e renovar licenças de estacionamento.

Tais sistemas melhoram a acessibilidade dos serviços públicos, mas como sifões de informação, também se podem tornar um alvo tentador. Uma app 311 descoberta pelos investigadores, por exemplo, exibia chaves API da Google em texto claro, o que permitia a atacantes o uso de serviços pagos do Google.

Em 2011, um estudo revelou que existe uma câmara de CCTV por cada 32 pessoas no município. Com tantas em uso, manter o controlo pode ser difícil. No Rio de Janeiro, o governo pode monitorar o tráfego e as condições meteorológicas através de uma rede de mais de 500 câmaras, às quais pelo menos 20 operadores podem ter acesso remoto.

Com tais redes, as preocupações com a privacidade são justificadas - mas não são apenas os orgãos governamentais e aplicação da lei com que os cidadãos devem se preocupar. As câmeras IP foram já alvos de malware, como no caso da botnet Mirai, e é provável que segurança relaxada, como senhas padrão e portas abertas, levem a uma repetição no futuro.

Os sistemas das Smart Cities  podem ser atacados simplesmente como ameaça ou teste ou por criminosos profissionais, sistemas de telecomunicações podem ser comprometidos como um meio de  ciberespionagem; istabilidade no fornecimento de energia, o uso de ransomeware para bloquear sistemas críticos de forma a forçar pagamento, furto de dados e interferência com veículos automáticos para causar acidentes são também riscos a considerar.

Segundo o relatório: “Dispositivos com portas abertas ou backdoors de origem são facilmente encontrados e comprometidos. Considerando o número de dispositivos conetados à internet com repositórios disponíveis aos público e credenciais de origem, dispositivos não-encriptados e mal configurados podem ser abusados com a mesma facilidade.”

Muitos sistemas integrados e serviços IoT são baseados em pequenos dispositivos com baixo consumo de energia, os quais podem não dispor de sofisticação tecnológica suficiente para se protegerem, pelo que uma sólida defesa periférica é indispensável.

Em fevereiro, investigadores revelaram que existem mais de 178 milhões de dispositivos IoT vulneráveis a ataques. Esta é apenas uma amostra, relativa a dez cidades nos EUA, mas ilustra o quão problemática a segurança na IoT doméstica é realmente, e a importância dos fabricantes e utilizadores tomarem os passos necessários para minimizar os riscos.

O mesmo se aplica a Smart Cities: podemos apreciar os benefícios de conetar as nossas cidades, das smart grids e soluções inteligentes de gestão de tráfego, mas a segurança tem de fazer parte da cadeia logística.

A Trend Micro afirma que responsáveis e planeadores urbanos com intenções de implementar soluções Smart City devem garantir que os alicerces da segurança são incluídos logo de raiz.

A companhia sugere o estabelecimento de uma  municipal computer emergency response team (CERT) or computer security incident response team (CSIRT), inspeções, a atualização rápida e consistente de software e firmware, a implementação de comandos manuais para emergências, e um sistema de backups para garantir que em caso de falha total dos sistemas os cidadãos continuem a ter acesso aos serviços básicos.

Por fim, planeadores urbanos devem ter em mente que todas as tecnologias têm uma data de validade. Não se trata apenas de instalar uma solução smart e dar o assunto por encerrado – no momento em que esta se torna obsoleta, deve estar já delineado um plano para a substituir de forma a previnir vulnerabilidades que possam comprometer os serviços e sistemas centrais.