A realidade da IoT: responsabilidade corporativa e segurança da informação


Existe uma tendência mundial de marketing corporativo de empresas de TI que anuncia a IoT (do inglês, Internet das Coisas) como uma realidade presente, nos vendendo as vantagens dela no dia a dia e nos alertando também sobre os riscos decorrentes da chegada dessa tecnologia ao âmbito privado das nossas vidas. Mas, estamos mesmo vivendo o advento real da IoT ou somente começando a enxergar as suas possibilidades?

A presença de dispositivos inteligentes cheios de sensores, que enviam relatórios de informação para o seu fabricante ou para o próprio cliente através do smartphone, sem interações automáticas de troca de informações eletrônicas com outros dispositivos, não pode configurar o que chamamos de “rede” ou de “internet”. Essa realidade atual da IoT pouco difere do passado, quando usávamos um modem analógico para nos conectar com os conteúdos de uma BBS (Bulletin-Board-System). A “internet das webs” somente decolou quando a web foi inventada por Tim Berners-Lee, no CERN, ou seja, quando os protocolos HTTP e TCPIP democratizaram o acesso às informações de qualquer parte do mundo.

Mas, hoje em dia, vamos ser sinceros, existe algum protocolo aberto e comum a todos os fabricantes de dispositivos inteligentes? De maneira que possam se interconectar para compartilhar informações sem interação do usuário? Por exemplo, um detector de gás, identificando um vazamento, pode contatar com o forno ou fogão, validar que o fluxo de gás se encontra aberto e que talvez não haverá chama? Ou uma cama inteligente que, ao detectar uma mudança na rotina diária,  mandaria um sinal para a cafeteira inteligente adiar a preparação do café?

Se tudo isso ainda não é possível, então, infelizmente, a IoT não chegou às nossas vidas. Talvez, hoje em dia, o mais próximo dessa realidade almejada seriam serviços como os oferecidos pela IFTTT (https://ifttt.com/), que permitem integrar informações com origens diversas e automatizar as respostas. Mas ainda estamos longe da promessa da IoT, uma vez que o usuário precisa se preocupar com workflows de integração e, a IFTTT, em criar as integrações no “hub” de dispositivos que não falam uma linguagem comum. Salvo que o nosso desejo seja ter uma IoT da Intel, separada de uma IoT da IBM, separada de uma IoT da Nest, separada de uma IoT da Belkin com o seu WeMo, separada de uma IoT da Apple com o seu HomeKit.

Diante disso, é necessário estabelecer protocolos de comunicação padronizados a todos os fabricantes de dispositivos para que, assim, permitam a verdadeira decolagem de uma IoT real dentro de cada uma das nossas casas.

Já existem algumas iniciativas de padronização de todas as tecnologias envolvidas, mas os atores são tantos e tão diversos que a padronização real irá demorar algum tempo. Agora, no momento em que essa padronização virar uma realidade, aí será hora de começar a se preocupar com a veracidade e a segurança das informações coletadas em nossa IoT particular. Com o advento da IoT real, haverá a oferta de serviços que entregarão e consumirão informações que não nos pertencem corporativamente, mas que somente administramos e usufruímos porque os donos de cada IoT têm permitido o acesso a dados que nem sequer foram coletadas pelos nossos próprios dispositivos, mas sim por dispositivos de outras corporações.

Quais são os deveres e direitos das empresas?

As empresas podem usar as informações coletadas com total liberdade? O coletor de informações de vazamento de gás poderá repassar um aviso à seguradora do imóvel alertando que o dono tem tendência a esquecer o fogão ligado? Ou as informações coletadas por um dispositivo detector de iluminação poderiam incluir aqueles alertas da janela deixada aberta e converter isso em uma oportunidade comercial para uma empresa dedicada à segurança, sem ter antes a permissão expressa do dono?

Podem parecer exemplos meio absurdos para os leitores, mas, com certeza, a realidade futura da IoT irá nos surpreender com situações tão ou mais bizarras que isso.

Aquelas empresas de TI envolvidas no mundo da IoT precisam, sem dúvida, aderir a um código deontológico, que, no entanto, ainda nem foi criado. É certo que, no Brasil, existe o Marco Civil da Internet e que, na Europa, existe uma lei parecida – assim como outros países com certeza têm normas parecidas, mas será que alguma dessas iniciativas se enquadra com a futura realidade da IoT?

O fornecedor de serviços de um dispositivo de IoT deveria se autolimitar às informações coletadas pelo próprios dispositivos e não àquelas outras obtidas a partir de outros dispositivos existentes na mesma rede IoT. Mas, quem sabe, isso seria um empecilho para o próprio desenvolvimento da área. E se existir o beneplácito do dono de todos os dispositivos, por quê deveríamos impor essa limitação?

Em todo caso, é de dever dos futuros fornecedores de serviços via dispositivos de IoT nos manter em alerta contra possíveis abusos e vazamentos de informações que são privadas. Não podemos aguardar que os governos imponham as limitações. É de responsabilidade das empresas a criação de um código ético que nos guie no futuro.

Daniel Alonso é project manager da GFT Brasil.

Este artigo foi publicado originalmente em www.computerworld.com.br