O artigo traz uma reflexão acerca dos desafios e oportunidades gerados pelo incremento tecnológico no que tange à segurança digital. O artigo é baseado em recente relatório da casa branca.
As tecnologias modernas tem um enorme potencial de melhorar a vida de todos nós, a cada dia nós temos mais evidencias do quão incríveis estas tecnologias podem ser, e das formas como elas podem afetar os modelos econômicos, a forma como trabalhamos e até a forma como vivemos. Os dispositivos smart, as redes e toda conectividade disponível hoje já evidenciam um pouco desta capacidade, e as novas tecnologias que vem surgindo e se disseminando, como a tão falada IoT (internet of things) estão ai pra mostrar que este movimento só começou.
No entanto, todo este potencial só poderá ser alcançado se as tecnologias desenvolvidas forem consideradas confiáveis, do ponto de vista da segurança, privacidade e sustentabilidade, e nos últimos anos tivemos diversas ocorrências de ataques, vazamentos, e intrusões de sistemas digitais no mundo todo, com capacidade de comprometer infra-estruturas criticas, como setores de energia e o financeiro, o que obviamente gera uma preocupação quanto à solidez destas soluções tecnológicas.
Percebe-se que desenvolver meios de incrementar a robustez e a segurança dos sistemas digitais é um ponto crítico para o sucesso de qualquer iniciativa moderna. Dentro deste cenário, no inicio deste mês, uma comissão formada a pedido do atual presidente dos Estados Unidos, emitiu um relatório apontando diversas recomendações no que tange à segurança digital. Com destaque à necessidade de se ampliar o uso de fatores de identificação mais fortes do que o uso de senhas PIN (Personal Identification Number) e ao estabelecimento de uma meta ambiciosa: Não permitir o sucesso de nenhum grande ataque que utilize o roubo de identidade como vetor principal.
Esta meta coaduna com a conclusão da comissão ao apresentar um resumo dos ataques bem sucedidos nos últimos 6 anos. Tal análise conclui que o principal "ponto de entrada" são as credenciais de identificação de usuário legítimos, que foram comprometidas pela não observância de recomendações de segurança, ou por estes terem sido alvo de invasões direcionadas.
Esta desconfiança na utilização unicamente de senhas para proteção de conteúdo não é de hoje, já em 2004, a Microsoft afirmava que a utilização de senhas, como único fator de autenticação, não mais garantiria a segurança e confidencialidade de informações criticas.
A comissão ressalta que para cumprir este objetivo será preciso criar soluções de identificação seguras, que garantam a privacidade dos dados, sejam eficientes, de fácil utilização pelo usuário e funcionem em multiplataforma. Caso contrário continuaremos verificando ataques que explorem esta vulnerabilidade.
Dentre as iniciativas que se apresentam como reforço na segurança estão a utilização de sistemas biométricos, certificação digital, MFA (Multi Factor Authentication), redes neurais, Network Behavior Analysis, dentre outros.
A comissão apresenta ainda um resumo de 9 itens sobre a situação atual e futura da segurança digital:
Empresas estão sendo pressionadas pelo mercado à inovar cada vez mais rápido, muitas vezes em detrimento das questões de segurança:
Em muitos mercados os requisitos de segurança de produtos são adicionados a posteriori, afim de agilizar o lançamento e movimentar o mercado rapidamente. Ao fazer isto as empresas abrem espaço para que seus produtos sejam fragilizados e comprometidos.
Exemplo: Um celular recém lançado pode ter falhas de segurança que permitem pessoas mal intencionadas acessar e utilizar conteúdo sigiloso sem que o sistema identifique o ataque..
Empresas e colaboradores requerem espaços de trabalho flexíveis:
Não será mais possível controlar localização, redes ou dispositivos utilizados para acessar dados da organização. Relações de trabalho à distancia, home office e "bring you own device" estão ganhando espaço e tendem a ser predominantes em poucos anos.
Exemplo: Ao conectar seu próprio dispositivo na rede da empresa, o empregado pode estar, inadvertidamente, propagando um malware dentro da empresa.
A segurança básica ainda não é seguida
Pessoas mal intencionadas continuam se aproveitando de empresas e indivíduos desatentos ou indiferentes quanto às atividades básicas de segurança digital.
Exemplo: Acessar links externos desconhecidos ou abrir anexos recebidos no email corporativo.
As inovações servem tanto para proteger quanto para incrementar ataques
Automatização, redes neurais e algoritmos podem ser a solução para muitos problemas da segurança digital, mas ao mesmo tempo podem ser utilizados contra as próprias organizações.
Exemplo: Ataques coordenados utilizam ferramentas que antes foram desenvolvidas para identificar intrusões em massa.
É mais fácil realizar um ataque do que se defender dele
Algumas ameaças contra organizações são feitas por equipes compostas de criminosos que podem passar meses, senão anos, planejando e realizando uma intrusão. Essas equipes podem ser patrocinadas por Estados-nação, organizações criminosas, grupos hacktivistas e outras. Os atores menos qualificados podem facilmente comprar ferramentas, muitas vezes com suporte técnico, permitindo-os participar de atividades criminosas. Uma equipe de segurança tem que proteger milhares de dispositivos enquanto um ator mal-intencionado precisa ter acesso para apenas um.
Exemplo: O custo para atacar um sistema é apenas uma fração custo para defendê-lo.
A complexidade tecnológica cria vulnerabilidades
A complexidade tecnológica se intensifica em função das mudanças continuas em sistemas, do ambiente interdependente, dos acesso mobile, e do pouco tempo entre a criação de um conceito de produto e seu lançamento. Este movimento vem se aprofundando continuamente e promove um acréscimo exponencial nas vulnerabilidades e no risco de fraudes.
Exemplo: O ciclo constante de atualização de versões de softwares (muitas vezes feitas para ajustar falhas na segurança) podem trazer novas vulnerabilidades e aumentam ainda mais a complexidade do sistema.
Siga-nos
twitter