sexta-feira, 19 de agosto de 2016

Precisamos de uma cultura de segurança da informação", afirma Leonardo Lemes Fagundes...

O futuro da internet está repleto de desafios de segurança e privacidade. Os dispositivos de que nos cercamos coletarão cada vez mais dados sobre nossos movimentos e hábitos, e sobre o próprio funcionamento do nosso organismo. 

Mas essa transformação, identificada na edição mais recente de Rumo, é apenas parte do desafio. "O elo mais fraco da corrente de segurança na rede são as pessoas", garante o coordenador do curso de Segurança da Informação da Unisinos.

Na entrevista a seguir, Fagundes fala sobre a necessidade de uma "cultura de segurança da informação", apresenta algumas das mais recentes ameaças à segurança e a privacidade na rede -- e as novas armas, computacionais e humanas, para garantir um futuro de menos ataques cibernéticos. 

Hoje em dia, casos de violação de privacidade na rede parecem ganhar mais visibilidade os ataques com vírus. O que há de novo no front cibernético?

A ameaça mais danosa ainda é o phishing, a mensagem que tenta ludibriar o usuário de para instalar um software espião e roubar seus dados. É uma ameaça muito presente para o usuário final e para as corporações. Este ano, o mercado conheceu uma nova ameaça, o ransomware, um tipo de malware que sequestra os dados do usuário, aplicando criptografia. É uma epidemia. E este código malicioso tem como principal vetor o phishing. É uma ameaça que se reinventou. Hoje falamos muito do spear phishing, que é diferente do phishing de massa, comumente enviado a usuários de banco. O spear phishing é direcionado para determinado perfil ou segmento, como os executivos de uma empresa, por exemplo. A engenharia é focada nas predileções do grupo-alvo: existe o trabalho de vasculhar as redes sociais e descobrir do que que o alvo gosta para criar um phishing focado nisso, com chance de sucesso é maior. A ameaça do spear phishing a grandes corporaçõesé muito maior. A RSA, que é uma empresa de segurança global, foi vítima de um ataque em 2014 que começou com spear phishing. Foi enviado um e-mail a um grupo seleto de usuários, bastou que um usuário acessassem aquele e-mail, que tinha como chamariz a folha de pagamentos da empresa ou algo desse tipo. Neste ano, tivemos hospitais na América do Norte que foram sequestrados por ransomware via phishing. Tornou inoperáveis os hospitais. E aí, para que voltasse à operação normal, ou teria de utilizar backup ou pagar ao sequestrador. 

Os ataques a empresas são comuns no Brasil? Por que não ficamos sabendo?

Há ataques do tipo no Brasil quase diariamente, mas não têm tanta visibilidade porque a empresa que sofre o ataque não é obrigada por lei a notificar os clientes e usuários, como ocorre nos EUA. Muitas empresas acabam tendo abordagem de "se eu for atacado, fui. Comigo não vai acontecer". Há inúmeros casos de pequenas clínicas médicas, com 20 computadores, que sofrem ataques. Dias atrás, me telefonou uma gerente de uma clínica de São Paulo e disse "olha, não estou conseguindo fazer nada, uma pessoa entrou em contato dizendo que sequestrou meus dados e exigiu o pagamento da quantia em BitCoin" (criptomoeda digital que evita rastreabilidade).

E como temos avançado no conhecimento sobre prevenção? 

A consultoria Gartner diz que é muito fácil prevenir ataques, há bastante tecnologia acesssível para detectá-los, mas a maior parte das tecnologias falha na hora de responder ao ataque. E é certo que, em algum momento, os controles vão falhar. A empresa tem de ter tanto tecnologia como capacidade humana para responder o ataque rapidamente e neutralizar a ameaça na rede, para que não se espalhe por todos os servidores da empresa. O Gartner conclui esse paradigma da segurança preventiva, que reúne prevenção, detecção e resposta, com o passo que é prever ataques. E aí entra um conjunto de tecnologias que chamamos de Cyber Threat Inteligence, ou Inteligência contra Ameaças Cibernéticas. No Brasil, estamos muito longe. Mas o futuro é este.

Quais são as tecnologias que tendem a viabilizar esse avanço?

Utilizar técnicas de ciência de dados, o machine learning, a inteligência artificial (AI). Isso deve mudar radicalmente a forma como estruturamos a segurança da informação nas organizações. A partir do momento em que consigo detectar comportamentos anômalos, que meus sistemas conseguem aprender rapidamente os padrões de ataque, conseguirei ter uma estratégia que aprenda a resposta a incidentes também. 


Esta sofisticação se dá também do lado dos criminosos, certo? Viveremos uma guerra de inteligências artificiais?

Certamente. Alguns especialistas já apontam que a guerra cibernética está ocorrendo, pois já há uma série de robôs trabalhando e se valendo dessas técnicas. Meu sistema pode propor novas formas de ataque. Com isso, mudam também o perfil e o papel do profissional, que hoje está muito em operar ferramentas, e no futuro vai ter de se apropriar de conhecimentos de Big Data e ciência de dados para desenhar essa estratégia.

À medida que as pessoas geram cada vez mais dados sobre seu comportamento, estamos presenciando o fim da privacidade?

Muitos juristas dizem "que privacidade?". Que não existe privacidade na internet porque sempre há um Big Brother. Por outro lado, há na Europa, na Ásia e nos Estados Unidos legislações que visam a proteger a privacidade de seus cidadãos. Na América Latina, esses temas são mais recentes, mas também existe o Marco Civil, que traz questões importantes como a obrigação que o provedor de acesso à internet tem de mantes uma série de registros sobre os usuários. Se ocorrer um crime ou a Justiça brasileira entender que precisa dos registros de um usuário, essas empresas estão obrigadas por legislação a fornecer esses dados mediante ordem judicial. Antes, as empresas podiam alegar que servidores não estavam no Brasil, portanto não estavam sujeitas à legislação brasileira. Pelo Marco Civil, fica claro que, se houver um único brasileiro conectado ao servidor da empresa, ela está suscetível à legislação brasileira. Do aspecto legal, está resolvido. Em contraste, temos os incidentes que têm ocorrido com o WhatsApp, que mostram que na prática não está tão resolvido assim. 

Há novas discussões que a sociedade tem de enfrentar para aperfeiçoar a forma como lidamos com o tema?

A discussão é a mais básica: o que são dados pessoais? A legislação tem de definir. Se fiz o exame em um determinado hospital, meus dados médicos não são do hospital, são meus, do paciente. O Conselho Federal de Medicina define que o prontuário do paciente pertence ao paciente, só está sob custódia do hospital. Isso é o marco legal vigente. Por outro lado, ainda há muitos médicos que pegam o prontuário do paciente, colocam debaixo o braço e levam para casa, para a clínica particular.
Numa sociedade litigiosa como a norte-americana, o direito à privacidade é exercido no dia a dia e, quando não é respeitado, vai parar no tribunal, com indenizações milionárias. Quando ocorre vazamento de informações de alguma celebridade, logo a família pede indenização milionária, porque é um atentado contra a privacidade. No Brasil, até três anos atrás, era possível acessar via Google os dados de pacientes de um grande hospital de São Paulo.
O direito à privacidade está previsto na Constituição Federal, no Código de Defesa do Consumidor, mas ainda assim ocorrem exposições de dados pessoais a todo momento. O brasileiro tem de dar importância a sua privacidade A pessoa posta uma foto íntima na rede social e depois alega invasão de privacidade. Se tu estás expondo na internet, tem de saber que corre o risco de outras pessoas compartilharam e aquilo sair do controle. O que é de foro íntimo não deve ser compartilhado em uma rede social.

Estamos muito longe dessa mudança comportamental?

Sim. Oferecemos palestras sobre esses temas de maneira gratuita para as empresas. Durante uma apresentação em uma imobiliária, uma pessoa relatou que tinha uma criança de três anos, tirava fotos da criança tomando banho, compartilhava com os parentes. Para nós, é só a foto de uma criança nua, mas para uma pessoa doente, é material de consumo. O Brasil tem uma rede de pedófilos muito grande. A internet tem todas potencialidades maravilhosas da robótica, IoT, nuvem, Big Data, mas tem esse outro lado. 

Quer dizer, quem poderia estar educando as crianças está tão perdido quanto elas?

Exato. Temos uma geração nova, que talvez não saiba folhear um livro mas sabe trocar de página na internet, e está sendo educada por uma geração que está aprendendo essa tecnologias e que não foi preparada para educar dentro dessa transformação digital.

Ofereci uma palestra sobre o assunto em uma escola e percebi claramente que a direção da escola evitava levar o assunto adiante, porque seria cobrada depois. Tem uma frase, acho que é da jurista Patricia Peck, que diz que "talvez o pior dos abandonos seja o abandono digital". Aquele pai ou mãe muito ocupado para acompanhar a navegação do filho, que coloca o PC no quarto do jovem e diz "melhor ele dentro de casa do que na rua". Aquilo ali pode ser extremamente perigoso. Temos visto o Islã aliciando jovens pela internet, tem as redes de pedofilia. 

O que seria o ideal para um futuro mais seguro e de mais privacidade?

O que vai nos garantir uma relação saudável com a internet e com essa transformação digital é o desenvolvimento de uma cultura de segurança na internet e uma conscientização maior sobre privacidade. Mecanismos de segurança existem, a tecnologia para nos proteger também, mas o cerne da transformação digital são as pessoas, e o elo mais fraco nessa corrente de segurança também. A forma de empoderar as pessoas nesse contexto é o desenvolvimento de uma cultura de segurança da informação e de uma conscientização, uma educação para a privacidade.

Fonte: ZH