Portugal podia ser a “Suíça do hacking”

O consultor de segurança em sistemas de informação, Dinis Cruz considera que o país pode ser um espaço de acolhimento e produtor de modelos de negócio baseados no hacking ético.

“Quantas pessoas têm de morrer para se levar segurança do software a sério?”, pergunta Dinis Cruz, consultor de segurança de sistemas de informação. Na conferência ibero-americana de segurança IBWAS 10,  o membro da direcção da Open Web Application Security Project (OWASP) lançou um desafio às lideranças políticas: promover o hacking ético de software, com o objectivo de incrementar a segurança de sistemas de informação. O país poderia assim desenvolver, a acolher aproveitar talentos e competências na área, criando, ao mesmo tempo novos negócios, baseados em novos modelos. “Portugal poderia ser a Suíça do hacking”, sustenta.
O especialista expôs um cenário negro da segurança no nosso país e no mundo. “O objectivo dos fabricantes é fazer dinheio, não é dar segurança. A maioria dos produtos de segurança têm vulnerabilidades”, afirmou. Para Cruz, os fabricantes de software e de aplicações na web não se responsabilizam pela insegurança e “culpam” os utilizadores assim que os obrigam a assinar as licenças de utilização.
Assim, o consultor defende a publicação de vulnerabilidades como sendo útil e produtiva, desde que feita de forma ética, avisando os fabricantes, “um mês ou dois antes”. Segundo o mesmo, os criminosos já conhecem há muito as vulnerabilidades, e procuram proteger a rede para também poderem usá-la, além de explorarem as falhas.
Para Dinis Cruz, as pessoas habituaram-se à insegurança. Na  sua visão, os utilizadores assumem a mesma como a poluição era percebida há 60 anos. “A poluição era vista como progresso. Significava que havia progresso. É como os  bugs, aceitamo-los”, explica. Tendo isso em consideração, alerta para a necessidade de haver maior preocupação e exigência com a segurança informática.Sob pena de ser preciso resolver um dia uma catástrofe maior. Por isso, defende que se institua a obrigatoriedade de as organizações revelarem publicamente os acidentes de segurança de dados.




Deixe um comentário

O seu email não será publicado