Precisamos estar prontos para ciberataques

Eu penso que o estado da cibersegurança é bem similar ao estado de vinte anos atrás:

  • Os “sistemas seguros” estão falhando, regularmente e com danos cada vez mais graves (vazamentos de dados constantes, sistemas críticos fora de serviço por tempo indeterminado e perda total de dados, como o conhecido ataque à base do SUS no Brasil)
  • Empresas e governos começam a se movimentar para  aumentarem a segurança de sua estrutura

Estamos em 2022. Em 2002, a conversa era a mesma. Apesar do estado ser o mesmo, as variáveis são diferentes:

  • Em 2002, os sistemas possuíam menor complexidade
  • Em 2022, os sistemas se tornaram ridiculamente mais complexos

Pare para pensar e pense no seu estilo das pessoas em 2002. Costuma-se dizer que a vida antigamente era mais simples e, cada vez mais, penso que esse senso comum é verdadeiro. A vida em 2022 tornou-se mais complexa: inúmeras redes sociais, contas de email, registro em bancos de dados (bancos, governos, planos de saúde, sites de e-commerce, aplicativos…). 

Vivemos hoje o custo da transformação digital.

Estatisticamente, ao aumentarmos a complexidade, aumentamos os riscos de qualquer coisa. Claro que sou afetado pela ótica da engenharia de software, portanto deixo uma frase do Bill Gates para justificar a afirmação acima:

“Medir o progresso da engenharia de software por linhas de código é como medir o progresso da engenharia de aeronaves pelo peso delas”.

Ao aumentarmos a complexidade de sistemas para satisfazermos as necessidades do século XXI, aumentamos o número de vulnerabilidades, uma vez que a visão macro do sistema como um todo torna-se praticamente impossível.

Precisamos assumir a nossa parcela de culpa no aumento de ciberataques – criamos estruturas atrativas à cibercriminosos. Claro que nenhum crime virtual pode ser justificado, mas temos construído estruturas digitais complexas e altamente vulneráveis à ataques. É como se construíssemos um castelo exuberante, atraente e cheio de riquezas dentro – mas não sabemos quantos portões ele tem e se todos os portões possuem travas e cadeados no estado da arte (outro mito, não existe segurança no estado da arte).

A indústria da segurança da informação sabe muito bem de toda essa nossa conversa. A crítica que faço é quando paramos a conversa em “soluções de prevenção”. Sim, é importante e fundamental promover tecnologias e treinamentos de prevenção a ataques hackermalwarephishing e ransomware.

“É melhor prevenir do que remediar”, como diz o sábio ditado popular. Um time ciente de boas práticas de segurança de informação e munido de ferramentas que aumentam o nível segurança é bem melhor do que um time despreparado e sem ferramentas.

Entretanto, penso por uma via que todos nós precisamos estar preparados para ciberataques. Afirmo que nossas casas, empresas, indústrias e governos precisam de planos estratégicos do quê fazer quando houver ataques em diferentes escalas.

Os métodos de prevenção, aos quais defendo com todos os possíveis argumentos, não são perfeitos. Além disso, a contínua complexidade dos nossos sistemas aumentam vulnerabilidades e riscos. Portanto, é imprescindível termos planos claros de tomadas de decisões em eventos adversos, como ciberataques e vazamentos de dados.

Longe de ser catastrofista, busco somar as técnicas de prevenção com as técnicas de reação. Precisamos estar prontos para o zero day, termo utilizado para vulnerabilidade ainda desconhecida, assim como o exército se prepara para possíveis invasões em seu território.

Exércitos possuem protocolos que foram estabelecidos por militares que rezaram para que jamais tivessem que usá-los. Precisamos fazer o mesmo com as ameaças virtuais – ameaças que podem vir de qualquer lugar.  

Leave a Reply

Your email address will not be published.