A sua pergunta é muito interessante, Filipe. E existem vários pontos, não sendo possível abordar em um único texto.
O que existe de mais recente na área de segurança digital prioriza a
capacidade de "resposta a incidente" e incentiva uma mentalidade de
desconfiança em tudo. Ideias que nos levam à noção de "confiança zero"
ou até à suposição de que todo o sistema está possivelmente hackeado.
Ou seja, estamos hoje em uma situação que o mais seguro é presumir que nada ao nosso redor está seguro.
Em outras palavras, nunca conseguimos criar um sistema "à prova
hackers" (ou "ihackeável", como você disse) e ainda estamos desenhando
softwares e projetos de tecnologia em que nada merece confiança cega.
Tudo precisa ser validado, conferido e monitorado.
Pensando dessa forma, o cenário parece desastroso. Mas a verdade é que
consumidores e engenheiros têm levado a tecnologia para caminhos que não
priorizam a segurança.
Vamos entender alguns pontos?
Segurança exige intenção e custa caro
A segurança jamais vai existir "automaticamente". Alguém deve desenhar a
segurança de um sistema e alocar dinheiro para pagar os engenheiros
dedicados à tarefa.
Na sociedade, nós temos muitos sistemas de segurança comum. Muitos
deles já fazem parte da "paisagem" e não percebemos, mas até a
iluminação pública contribui com nossa segurança.
Fiscalização de veículos, regras de trânsito e habilitação, vacinação,
normas para construções, fiscalização de alimentos, alvarás, saídas de
emergência – tudo isso tem um custo e, ao longo dos anos, nós aceitamos
esse custo em troca da segurança.
O mundo inteiro ainda está engatinhando para trazer isso ao mundo digital.
O Brasil em breve terá regras para guarda de dados pela primeira vez
com a regulamentação da Agência Nacional de Proteção de Dados (ANPD). Além disso, a Agência Nacional de Telecomunicações (Anatel)
poderá, a partir de julho de 2021, forçar a retirada de equipamentos
com vulnerabilidades do tipo "backdoor" nas redes de telecom.
Mas isso não chega perto da maturidade de segurança que temos em outros
setores da sociedade. E muitos temem regulamentar o ramo da tecnologia e
inibir a inovação antes que o setor possa crescer mais.
Desenvolvimento de smartphones não priorizou atualizações de segurança
de longo prazo, apostando em prazos mais curtos para troca de aparelho e
inovação. — Foto: Altieres Rohr/G1
Inovação também inova nos erros
Não é uma verdade agradável, mas a segurança e a inovação raramente são
aliadas. É claro que a segurança faz parte da inovação responsável, mas
não é possível antever todos os problemas.
Seria muito difícil criar uma habilitação ou regras de trânsito se os
carros mudassem completamente de poucos em poucos anos. Mas essa é a
realidade da tecnologia.
Na última década, tivemos a revolução do smartphone, com aplicações e serviços que nem imaginávamos até alguns anos antes.
Mesmo que todos os desafios da segurança digital já estivessem
resolvidos até então, é impossível que essas novidades cheguem sem novos
desafios. Os bancos de dados que vazam hoje nem sempre são como os que
vazavam anos atrás.
Um dos maiores exemplos disso é a própria web. Todas as tecnologias que
utilizamos em sites de internet priorizam a flexibilidade e a inovação:
cada site pode ter seu próprio visual, seu formato de dados, sua
programação, sua interatividade.
Quanto mais variação existe, a complexidade também tende a ser maior.
Quanto mais complicado algo for, mais complicada será sua segurança – e
não é à toa que os navegadores web se tornaram grandes consumidores de
memória e processador.
E a inovação não ocorre apenas para quem usa esses serviços, mas também
para quem desenvolve os sistemas. O objetivo é sempre reduzir custos e
agilizar processos, mas, na prática, essa aceleração também viabiliza
novas tecnologias.
Quando programadores recorrem a ferramentas novas, passam por um
período de aprendizagem. E se nossa tecnologia exige um constante
aprendizado, erros são inevitáveis.
Não é possível que exista um especialista experiente sobre o recém-inventado.
Reconhecimento facial amplo e imediato é uma das várias tecnologias que
aumentam o valor dos dados armazenados em sistemas digitais. — Foto:
REUTERS/Thomas Peter
O digital ficou mais importante
Quanto mais valioso é o que está dentro do cofre, mais forte ele
precisa ser. Conforme a tecnologia ocupa espaços na nossa vida, violar
os mecanismos de segurança digital se torna uma empreitada mais e mais
lucrativa.
O resultado aparece na sofisticação dos ataques. Invasões como a da SolarWinds não eram vistas até alguns anos atrás e, agora, são quase recorrentes – ainda que nem sempre na mesma dimensão.
Em uma audiência no Senado dos Estados Unidos, Brad Smith, presidente
da Microsoft, afirmou que a empresa acredita que "pelo menos mil
engenheiros" estavam envolvidos nessa operação de hacking contra a
SolarWinds e outras empresas (que atingiu inclusive a Microsoft).
Ninguém imaginava esse tipo de adversário. Mas com sistemas digitais e
conectados por toda parte, começa a valer a pena esse tipo de
investimento em ataques cibernéticos. No futuro, a tendência é que isso
comece a mudar a relação do preço da segurança e seus benefícios.
Um exemplo prático: pouca gente realmente entendia os riscos da adoção
de torpedos SMS e chamadas telefônicas para a autenticação. Quando esse
método de segurança se popularizou, as brechas começaram a aparecer.
Isso levou aos vazamentos das conversas dos envolvidos na operação Lava
Jato.
Dito de outra forma, o "peso" que colocamos sobre o digital começa a
mostrar os limites da estrutura que foi criada como fundação dos
sistemas que usamos.
É difícil de vender segurança no mercado
Você sabe qual dos aplicativos que você usa se preocupa mais com a sua
segurança? A dificuldade de responder a esta pergunta ilustra como as
escolhas dos usuários e consumidores nem sempre recompensam os
investimentos realizados na área de segurança.
Não existe uma "fórmula" no mercado que nos permita saber de antemão
quais serviços são seguros. Você pode olhar quantas vulnerabilidades são
corrigidas em um aplicativo ou software, mas nem sempre essa informação
está completa e, pior ainda, ela raramente tem relação direta com a
segurança do produto.
Para "mostrar" a segurança, alguns sites e serviços recorrem a "selos" e
outras medidas questionáveis que pouco significam para o consumidor.
Podemos evitar o uso de um serviço depois que um problema de segurança
acontece, mas isso é apenas uma defesa reativa. Ela não impede o
problema.
Além disso, é mais fácil que a empresa se recupere de um incidente se
ela já estava com um produto atrativo no mercado. Uma empresa que começa
investindo em segurança pode falir antes de ter a chance de errar.
Após a pandemia do coronavírus, a popularidade repentina do Zoom trouxe
à tona os riscos decorrentes da conveniência do app, obrigando empresa a
modificar o funcionamento do serviço e investir em segurança. — Foto:
Altieres Rohr/G1
A segurança não parou no tempo
O mundo aos poucos caminha para uma regulamentação maior do setor de
tecnologia, com mais exigências de segurança. Isso vai ajudar, mas não
vai fazer mágica.
No futuro, quando todo tipo de experimento em tecnologia já tiver sido
feito e talvez não tenhamos tanto a ganhar com inovação, talvez a
prioridade mude com um redesenho total das nossas tecnologias colocando a
segurança acima de tudo.
No clima atual, é muito difícil exigir mais responsabilidade por parte
das empresas de tecnologia. De fato, quem está errado são os hackers,
não as empresas. Então, há várias formas de abordar o problema.
Por enquanto, as empresas já estão se valendo da confiança que
acumulam: a distribuição de software está mais controlada, e grandes
ataques com pragas digitais são raridade.
Até hoje, nunca tivemos nada como um "WannaCry" nos smartphones,
enquanto computadores sofreram com muitos problemas semelhantes na
década de 2000, quando eles se popularizaram.
Mas isso também tem um custo. Quando confiar no desconhecido gera
muitos riscos, o mercado tende a se concentrar em marcas de boa
reputação. A liberdade que devia levar à inovação acaba estrangulando a
concorrência que aceleraria os avanços.
Os desafios não param, e a enxurrada de novos serviços interessantes nos mantêm navegando no desconhecido.
De todo modo, ao contrário do que parece à primeira vista, a segurança
digital evoluiu muito, e os ataques que temos hoje já não são os mesmos
que funcionavam antes.
É difícil de crer que algum dia haverá um sistema "à prova de hackers" –
o custo de qualquer coisa infalível tende ao infinito. Também é
inegável que temos muito a melhorar, não só no desenvolvimento de
sistemas, mas no arcabouço jurídico para punir quem comete crimes.
Mas os benefícios da aposta que a sociedade fez em inovação também
estão bem à vista – inclusive no dispositivo que você acabou de usar
para ler este texto.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
------++-====-----------------------------------------------------------------------=================---------------------------------------------------------------------------------====-++------