Sector das TIC está a confundir utilizadores na cibersegurança

O jargão em torno da segurança dos sistemas informáticos é assustador. Os clientes não sabem o que temer e acabam por adiar eternamente o investimento, afirma o especialista em segurança Brian Lord.

Brian Lord, especialista em segurança

As organizações e os Estados estão confusos. O conjunto de conceitos associados à segurança dos sistemas de informação, cada vez mais complexo e interconectado, com cada fornecedor a apresentar a sua solução para resolver determinado problema ou tipo de ataque está a baralhar os potenciais utilizadores.

Estes  acabam por perder tanto tempo a comparar e a tentar perceber quais são as ameaças e as possíveis formas de as mitigar, que acabam por procrastinar o investimento.

“Ciber é um prefixo um pouco assustador e ataque é outra palavra assustadora. Colocá-las juntas vende jornais, mas não ajuda os leitores e a indústria a entender a dimensão do problema.  Nenhuma outra actividade tem um tão vasto espectro coberto por apenas um conceito”, explicou Brian Lord, orador principal que abriu a conferência “Innovator in cloud, IoT, AI & Security”, organizada pela NetEvents, em Londres.

O crime não muda. Crime é crime, seja por que meio for praticado (online ou não), pode concluir-se da apresentação do antigo director adjunto para inteligência e ciber-operações do Government Communications Headquarters (GCHQ), serviço de inteligência britânico.

O responsável lamenta a dificuldade que o mercado tem em explicar o que é o crime na Internet. Não se pode colocar no mesmo saco – cibercrime – coisas tão distintas como o desfiguramento de um site, “que considero vandalismo” ou um ataque a uma infra-estrutura crítica nacional, “que configura como um acto de guerra”.

É importante que os governos e a indústria falem a mesma linguagem e se entendam em termos de conceitos, para que possam  entender a natureza do ciber-risco, defende Brian Lord.

Ilegalidades tão distintas não podem ser colocadas no mesmo saco, sublinha Brian Lord. Além disso, no que diz respeito aos sistemas de segurança nacionais, é importante que os governos e a indústria falem a mesma linguagem e se entendam em termos de conceitos, para que possam  entender a natureza do ciber-risco.

Finalmente, a responsabilidade dos fornecedores é elevada. “Cada empresa argumenta ter ‘a solução’. Uma caixa mágica que dá resposta a todos ciber-problemas. Tal não existe, nem nunca haverá uma solução única para todos os problemas”, sublinha o antigo responsável governamental britânico.

Casas com as portas abertas

O grande problema é que, actualmente, “os criminosos trabalham online tranquilamente naquilo que seria o equivalente a circular no centro de uma cidade, onde toda a gente deixa as portas e janelas abertas, os automóveis estão destrancados com as chaves na ignição e ninguém está a ver”, ilustra Brian Lord. “É este o panorama online, neste momento. Em que qualquer um, com um conjunto básico de competências, pode perpetrar um acto criminoso”.

O analista arrisca afirmar que a grande maioria de toda actividade online é criminosa: “diria que 85% de toda a actividade online é criminosa” e que desta “70 a 80% é essencialmente crime oportunista. São pessoas com formação deficiente, com competências básicas, que utilizam ferramentas publicamente disponíveis, tirando partido de um mercado actualmente riquíssimo em vulnerabilidades”.

A solução passa pelo “desenvolvimento de um mercado de segurança de tecnologias de informação responsável que comercialize não só as ferramentas básicas, mas também aconselhe e dê formação aos clientes sobre as medidas de controlo básicas. Deste modo, a grande maioria do problema resolve-se por si”.

Quando este “mercado responsável” existir, o crime oportunista irá naturalmente desaparecer, restando apenas o crime sério e organizado. E estes grupos “não são novos para as forças da lei. Desde tempos imemoriais, existem grupos criminosos organizados”.

Brian Lord explica que, separado o trigo do joio, ficar-se-á apenas com o problema fundamental: os grupos criminosos organizados. E o crime organizado não está interessado no crime oportunista.

“Querem entrar no cerne dos sistemas bancários e dos sistemas de pagamentos”. Para estes criminosos qualquer operação que resulte em menos de mil milhões de libras (1,12 mil milhões de euros) não compensa levar avante, explica Brian. É neste segmento que opera o crime organizado: “ataques globais, vastos de larga escala sobre sistemas de pagamentos bancários e roubo de dados em larga escala”, detalha. “E estas actividades online não são novas”.

“Aquela ideia generalizada de que actualmente os Estados podem agir aleatoriamente e mandar abaixo infra-estruturas críticas nacionais significativamente não é real”, diz o especialista da OBE.

No entanto, detalha Lord, ser capaz de criar ataques coordenados e coerentes contra infra-estruturas críticas nacionais de modo a que tenha consequências específicas e contínuas é muito difícil. É extremamente caro, sustenta, e envolve um esforço elevado que precisa ser relativizado.

“Existem alguns exemplos de ataques extremamente focados que levaram vários anos a desenvolver com um determinado objectivo. Aquela ideia generalizada de que actualmente os Estados podem agir aleatoriamente e mandar abaixo infra-estruturas críticas nacionais significativamente não é real”.

Apesar de os Estados estarem, progressivamente, a desenvolver capacidade para perpetrar esse tipo de acto de guerra, e de eventualmente, no futuro lá chegarem, é necessário “relativizar, enquanto olhamos para outras áreas em que os Estados estão de facto a investir”.

Para ilustrar um caso de um ataque transfronteiriço, Brian Lord recordou o ataque da Rússia aos sistemas de energia ucranianos em 2015. “Conseguiram atingir o seu objectivo, mas apenas por algumas horas”.

A capacidade de dar continuidade, de sustentar o ataque no tempo, ainda não existe, defende.

Espionagem económica aumenta substancialmente

Real é a capacidade de influenciar a administração interna de outras nações. Mas só os métodos são novos. “Russos a interferir nas eleições presidenciais norte-americanas, ou, eventualmente, nas eleições no Reino Unido ou em França não é novidade”.

A propagação de ‘notícias falsas’ ou a desinformação são técnicas tão velhas como o mundo, agilizadas pelo ‘ciber” e pelo online, recorda o especialista.

“Temos é de ser capazes de o reconhecer e de assegurar que o público sabe como identificar essa desinformação e como reportá-la”, explica. “É impossível parar estes fenómenos. E os russos não são a única nação que tenta manipular os assuntos internos de outros países. Todos os Estados o fazem, sempre fizeram e vão continuar a fazê-lo”

O que está a aumentar substancialmente, explica o perito, é a “espionagem económica e o roubo de segredos económicos e industriais”. Historicamente, os Estados apenas se focavam nas prioridades de topo, em geral em áreas como a defesa, os negócios estrangeiros, agências de inteligências e segurança.

“Os Estados vão [e estão] a reorientar os seus esforços, porque podem e porque têm os recursos e a capacidade de o fazer tendo como alvos agentes económicos”.

No entanto, os desenvolvimentos tecnológicos permitem agora explorar dados, aceder remotamente a computadores, extrair, armazenar e indexar informação em larga escala e pesquisar esses dados sem ter de ler todo o manancial de informação. Em suma, “os Estados vão [e estão] a reorientar os seus esforços, porque podem e porque têm os recursos e a capacidade de o fazer tendo como alvos agentes económicos”.

Nesta medida, “os alvos industriais estão, mais que nunca, sujeitos a ataques de  Estados ”. “Dados sobre fusões e aquisições, dados comerciais volumosos, propriedade intelectual sobre equipamentos, dados geológicos das indústrias extractivas, são hoje em dia, retirados aleatoriamente de sistemas de organizações e armazenados para utilizar com fins económicos [por algumas] nações”, refere Brian Lord. Não é, no entanto, uma prática generalizada.

De salientar que as nações não têm ainda capacidade para provocar a disrupção na indústria ou de utilizar as tecnologias de informação como armas, mas têm e vão continuar a ter capacidade de interferir ou influenciar os assuntos internos de outros países através da desinformação e da capacidade de espionagem, incluindo comercial, em larga escala.

Terrorismo

Tal como as nações, as organizações terroristas não têm capacidade para afectar ou atacar infra-estruturas críticas nacionais, segundo Brian Lord.  O terrorismo tira partido da Internet para duas grandes metas: angariar fundos para a causa e difundir propaganda para, entre outros objectivos, radicalizar e recrutar apoiantes (indivíduos e organizações).

“O ciberterrorismo não é, para já, tentar fazer descarrilar comboios ou cair aviões. Não têm capacidade nem estão para aí virados”, salienta.

O especialista considera que as redes sociais deveriam ser mais responsáveis no combate ao terrorismo. “Por exemplo, a plataforma Facebook chega a cerca de um quarto da população mundial. Nenhuma organização pode gerir e disponibilizar esse nível de serviço público (porque é o que é: um serviço público) e descartar a responsabilidade de trabalhar em conjunto com os Governos para lhes disponibilizar os dados que têm.”

Não é uma posição sustentável para as redes sociais fugirem à obrigação de fazer alguma coisa contra a radicalização online. “Nem é sustentável continuar a negar a cooperação com as autoridades”, enfatiza.

Segundo Brian Lord, existem ferramentas para ajudar as empresas de redes sociais a respeitarem a privacidade dos consumidores, ao mesmo tempo que aceitam a sua responsabilidade social de fornecer aos Estados a informação que possam ter.

“Sinto que algo vai mudar. Mas, acima de tudo, tem de ser uma mudança equilibrada”. É certo que as organizações de segurança, as agências de inteligência e outras autoridades estão habituados a conseguir o que querem.

“A radicalização, as imagens e o encorajamento online não podem ser continuar a ser suportadas”, sublinha.

O maior desafio, uma vez que plataformas das redes sociais são todas recentes, é encontrar uma forma de as ajudar a ultrapassar este problema. “Como é que ajudamos as empresas de redes sociais a disponibilizar ferramentas que lhes permitam respeitar a privacidade dos consumidores, ao mesmo tempo que aceitam a sua responsabilidade social de fornecer aos Estados a informação que possam ter?”. Segundo Brian Lord, existem ferramentas para o efeito.

É necessário também educar o público em relação ao que é cibersegurança, como se identificam notícias falsas e desinformação e como tomar as medidas e passos básicos para contrariar o crime de oportunidade.




Deixe um comentário

O seu email não será publicado