Análise de Segurança: Testes de Penetração e Avaliação de Vulnerabilidades
A SHIELD-IoT é uma iniciativa conjunta entre a ODINS, uma PME espanhola líder em soluções IoT para cidades inteligentes, e a LEGITEC, uma empresa certificada em cibersegurança com mais de 20 anos de experiência em testes de penetração. O projeto surge com o objetivo de reforçar a cibersegurança das infraestruturas críticas e essenciais em Espanha, abordando ambientes reais que vão desde edifícios inteligentes e sistemas de irrigação urbana, até serviços industriais, de saúde e académicos.
Ao contrário das abordagens tradicionais baseadas em laboratório, o SHIELD-IoT realiza as suas avaliações diretamente nas infraestruturas operacionais, identificando vulnerabilidades em condições de uso reais. Esta abordagem permite detetar riscos em dispositivos IoT, plataformas SCADA, serviços cloud, aplicações móveis e componentes de rede, abrangendo todo o continuum dispositivo-nuvem.
Objetivos do projeto
O principal objetivo do SHIELD-IoT é melhorar a resiliência e maturidade na cibersegurança de entidades classificadas como Críticas, Essenciais ou Importantes segundo as regulamentações NIS2, CRA e CER. Para alcançar isto, o projeto contempla:
- Execute pelo menos 12 testes de penetração e avaliações de vulnerabilidades em implementações reais de IoT e IIoT.
- Defina os âmbimos de teste em colaboração com as entidades participantes.
- Aplicar metodologias reconhecidas como PTES, OWASP, MITRE ATT&CK e NIST 800-115.
- Ofereça estratégias de remediação priorizadas e planos de mitigação.
- Transferir conhecimento aos utilizadores finais através de sessões de formação e documentação prática.
- Contribuir para o ecossistema europeu com ferramentas open source, guias de reforço e práticas replicáveis.
Setores estratégicos
O consórcio tem acesso direto a infraestruturas críticas e essenciais em Espanha, incluindo:
- Transportes públicos: Elétrico de Múrcia.
- Agroalimentar: Grupo Buitrago e RIVERSA (irrigação inteligente com 5G/6G).
- Saúde: HospitalMC, com sistemas de saúde geridos pela SCADA.
- Indústria e energia: Iberchem (produção química), Konery (controlo energético), MASORANGE (telecomunicações e 5G).
- Edifícios e serviços públicos: TProtege (automação de edifícios), MurciaCity e UMU (serviços digitais), PuntosVuela (centros de inclusão digital).
- Tecnologia inclusiva: NaviLens (aplicações móveis de acessibilidade).
Cada avaliação gerará relatórios detalhados com vulnerabilidades detetadas e ações recomendadas, garantindo o cumprimento das regulamentações europeias vigentes. Além disso, serão aplicadas técnicas avançadas como engenharia reversa de firmware, testes de fuzz de serviços de rede, exploração de integrações inseguras na cloud ou simulações de engenharia social.
Com esta combinação de experiência em IoT, cibersegurança e projetos europeus, a SHIELD-IoT não só fortalece as entidades participantes, como também fornece metodologias, ferramentas e conhecimentos que podem ser replicados para todo o setor, consolidando a posição do ODINS e do LEGITEC como referências em inovação e cibersegurança aplicada.
O subprojeto SHIELD-IoT é financiado pela chamada aberta do projeto europeu CYSSDE (Cybersecurity Deployment Preparedness Support, Capacity & Capabilities), promovido pela LSEC e pelo Programa Europa Digital da União Europeia, ao abrigo do contrato de subvenção n.º 101158471.
