Estou no setor de segurança cibernética há mais de 15 anos. Durante esse tempo, e junto com outros veteranos de segurança da informação, presenciei a ascensão do MID (medo, incerteza, dúvida) em primeira mão. Tenho de admitir, funcionou -o medo realmente ajudou a vender produtos de segurança. Como qualquer remédio forte, no entanto, o MID teve efeitos colaterais.
Como indústria, não podemos escapar do MID porque somos viciados nisso. Para nós, ele se manifesta quando nossos clientes exigem provas de que o que estamos lhes dizendo não é apenas mais uma possível violação, e sim um perigo real. Infelizmente, a melhor prova de que um perigo é real ocorre quando algo ruim acontece. É por isso que a mídia se viciou em MID também. Quanto mais milhões de dólares alguém perder, melhor será a história.
E aí, entram em cena os reguladores, com sua tendência a reagir de forma exagerada e impor regulamentos rígidos e multas. Isso efetivamente coloca os pesquisadores de segurança, desenvolvedores de produtos, profissionais de marketing, mídia e reguladores em uma armadilha estratégica que, na teoria dos jogos, é chamada de dilema do prisioneiro: situação na qual todos os jogadores devem usar estratégias aquém do ideal porque, caso contrário, perderiam. No caso da indústria de segurança da informação, usar essa estratégia significa gerar ainda mais MID.
Para sair dessa armadilha, precisamos entender uma coisa: o futuro não pode ser construído com base no medo.
O futuro de que estou falando não é distante. Robôs já estão dirigindo caminhões e perambulando por Marte. Eles escrevem música e criam novas receitas de comida. Esse futuro está longe de ser perfeito a partir de várias perspectivas, incluindo a da segurança cibernética, mas estamos aqui para estimulá-lo e não impedi-lo.
Eugene Kaspersky disse recentemente que acredita que “o conceito de cibersegurança em breve se tornará obsoleto e a ciberimunidade tomará o seu lugar”. Pode soar estranho, mas tem um significado muito mais profundo do que parece. Deixe-me ir um pouco mais fundo no conceito de ciberimunidade.
Ciberimunidade é um ótimo termo para explicar nossa visão de um futuro mais seguro. Na vida real, o sistema imunológico de uma organização nunca é perfeito, e vírus ou outros objetos microbiológicos malignos ainda encontram maneiras de enganá-lo, ou mesmo de atacá-lo. No entanto, o sistema imunológico tem uma característica muito importante: aprende e se adapta. Ele pode ser “educado” por meio de vacinação sobre possíveis perigos. Em tempos de perigo, podemos ajudá-lo com anticorpos prontos.
Na cibersegurança, costumávamos lidar principalmente com esta última possibilidade. Quando os sistemas de TI de nossos clientes sucumbiam à infecção, precisávamos estar preparados com soluções. Mas é aí que o vício em MID começou, com fornecedores de segurança provendo alívio imediato para doenças graves. Esse sentimento de “superpoder” provou ser viciante para os fornecedores de segurança da informação. Algo como: “Sim, é hora dos antibióticos pesados, porque, pode confiar, o problema é realmente sério”. Mas usar antibióticos pesados só faz sentido quando a infecção já entrou no organismo – e isso, todos nós concordamos, está longe de ser um cenário ideal. Em nossa metáfora de cibersegurança, teria sido melhor se o sistema imunológico pudesse ter interrompido essa infecção antes.
Hoje, os sistemas de TI tornaram-se muito heterogêneos e não podem ser vistos fora do contexto dos seres humanos — aqueles que operam os dispositivos e os que interagem com eles. A demanda por “educar o sistema imunológico” tornou-se tão grande que, na verdade, estamos vendo uma tendência de priorizar a prestação de serviços — até mesmo sobre o produto, que costumava ser primário. (O “produto” hoje em dia é, em muitos casos, uma solução personalizada, algo adaptado às especificidades do sistema de TI para o qual foi projetado.)
A compreensão desta visão não veio de uma só vez. Assim como com a vacinação, não é uma abordagem única, mas sim uma série de tentativas de vacinação, todas voltadas para o mesmo objetivo: uma ciberimunidade mais forte para um futuro mais seguro.
Antes de tudo, um futuro mais seguro só pode ser construído sobre uma base segura. Acreditamos que isso se torna possível quando todos os sistemas são projetados desde o início tendo a segurança em mente. Aplicações reais nas indústrias de telecomunicações e automotiva já estão testando nossa abordagem visionária. Os fabricantes de carros estão especialmente interessados em segurança, nossa missão de “construir um mundo mais seguro” é fundamental. No mundo automotivo, segurança significa realmente segurança.
Entendemos que o conceito de ciberimunidade seja recebido com ceticismo. A primeira pergunta que espero ouvir é: “Podemos realmente confiar na vacina e em seu fornecedor?” A confiança é de suma importância, e acreditamos que simplesmente dar nossa palavra não é suficiente. Se os clientes de uma empresa de cibersegurança quiserem ver a segurança e a integridade do software, têm todo o direito de exigir isso — na forma de código-fonte. Nós oferecemos isso, e tudo que os clientes precisam é de um par de olhos atentos e um PC para analisar como as coisas funcionam. Precisamos de um PC em condições higienizadas para essa visualização de código, contudo, para garantir que os observadores não possam adulterar o código por conta própria. Assim como você pode procurar opiniões de vários médicos, ter uma visão confiável de terceiros também é importante. Com as soluções de TI, esse visualizador externo pode ser representante de uma empresa de auditoria Big Four capaz de explicar o que esses bits e bytes realmente significam para o seu negócio.
Outro componente importante é a capacidade do sistema imunológico de resistir a ataques. O software de segurança cibernética pode ter falhas. A melhor maneira de aprender é expô-las — a hackers white-hat (hackers ‘do bem’), que encontram falhas e relatam-nas aos fornecedores. A ideia de oferecer um prêmio por encontrar um bug no software, introduzida pela primeira vez em 1983, foi absolutamente brilhante, pois reduziu bastante os incentivos financeiros para os black-hat (que exploram falhas ou vendem para outros cibercriminosos). No entanto, os white-hats exigem garantias de que a empresa que investigam não vai denunciá-los e processá-los.
Onde há demanda, há oferta, então, recentemente, vimos sugestões de acordos entre pesquisadores e empresas, de modo que os primeiros possam tentar, com segurança, invadir os últimos sem medo de serem acusados de qualquer crime, desde que sigam as regras. Eu acredito que mover-se nessa direção é dar um passo para a um futuro mais seguro – um com menos medo que o passado – mas esta jornada vai levar algum tempo.