Últimas notícias

Fique informado
Proteção à Informação | Faz sentido?

Proteção à Informação | Faz sentido?

29 de fevereiro de 2016
david svaiter

David B.Svaiter

Por David B.Svaiter*

Uma chamada à sua inteligência e bom-senso em 4 Atos

As informações deste artigo são evidenciadas, ao final, por links aos documentos que lhe serviram de base de consulta.

1º Ato – Introdução

A situação política e econômica brasileira desce a ladeira vertiginosamente. As empresas buscam soluções de toda forma, afinal, trata-se de sua sobrevivência ou usando um termo mais atual, trata-se da própria Sustentabilidade Empresarial.

Em última análise, ter uma empresa sustentável é ter uma empresa que esteja menos suscetível à própria extinção por fatores diversos, únicos ou em conjunto, sazonais, temporais (como o atual cenário político-econômico), ocasionais ou permanentes.

Pensando desta forma, diversos institutos e organizações internacionais desenvolveram frameworks objetivando auxiliar as empresas a trabalharem dentro das Melhores Práticas – como são conhecidos conjuntos de métodos e conceitos que, se aplicados ao ambiente corporativo, blindam a empresa não contra um só, mas até mesmo um conjunto de ameaças que, de forma comum, afetam a todas as corporações: ABNT, ISO, COBIT, ITIL, NIST, OWASP e leis como Portarias 24, 25, 26 do Governo Federal e, internacionalmente, HIPAA, SOx, BSI, entre outras).

E se estudarmos o conjunto das Melhores Práticas, Normas e Leis adotadas como padrão de eficiência e sustentabilidade empresarial, veremos que em todas elas, sem exceção, a preocupação com a informação digital é abordada de forma sistemática e incisiva.

“Ora, naturalmente!” – dirá o leitor.

“Hoje tudo é informação digital, logo, é um ativo importante e de real valor agregado.” – complementarão os mais antenados e cientes do aspecto financeiro da informação.

Logo, justamente por toda informação possuir valor que tais práticas foram criadas para proteger as empresas de ocorrências que ameacem a perda deste ativo – e os prejuízos diretos e indiretos decorrentes desta perda.

2º Ato – As Ameaças

Como fator preponderante de perda destes ativos temos o mercado negro de tráfico de informação – onde os hackers são a ponta mais famosa e conhecida, mas longe, muito longe de ser a única.

Vários são os exemplos, significando alguns BILHÕES de dólares em perdas: custos de reposição de pessoal, de substituição de equipamentos de proteção e software, danos reputacionais e mídia para mitigá-los, indenizações diversas aos afetados pelos vazamentos de informações pessoais.

Vemos hoje como alvos todo o ecossistema digital:

  • Pessoa Física,
  • Pessoa Jurídica,
  • Instituições Governamentais,
  • Órgãos Públicos,
  • Sistema Financeiro,
  • Sistema de Saúde,
  • Infraestrutura (Centrais Nucleares, Cias de Água, Energia, Gás, etc.),
  • Infraestrutura de Segurança,
  • Organizações Científicas,
  • Organizações ligadas à Patentes,

enfim, TUDO que mantenha ALGUM registro em formato digital.

3º Ato – Know-How made in Brazil

Ouço de vários colegas, companheiros e Gestores, que o Brasil não sofre os mesmos ataques que o resto do mundo pois não há interesse dos players internacionais, nosso pessoal é incipiente em software e que usamos as melhores ferramentas internacionais contra os ataques digitais.

Pura balela ou desconhecimento de causa.

Vamos aos fatos:

  • O Brasil ocupa lugar de destaque em programação de sistemas. Somos um dos melhores programadores de softwares do mundo; não no aspecto comercial ou de negócio pois nosso (des) Governo não ajuda e até atrapalha – mas em relação a algoritmos e programação eu considero o brasileiro:
    • O mais esforçado;
    • Tão capaz quanto qualquer outro;
    • Possuidor de uma dose incomum de criatividade;
    • Disciplinado se devidamente orientado;
    • Comprometido se devidamente reconhecido e remunerado.
  • Em 2000/2001, tivemos no Brasil um software de criptografia vendido como shareware e que a NSA não quebrou, pedindo uma backdoor aos seus produtores. Como ela foi negada, a empresa quase foi à falência. Seu nome: CYPHER MILLENIUM (uma longa história, quem sabe num outro artigo?).
  • Nosso time de pentesters (especialistas em penetração de sistemas) e White Hats (os hackers do bem) são altamente considerados e valorizados em todo o mundo. Não há uma só empresa multinacional nesta área que não possua brasileiros em suas equipes – e muito provavelmente pelos motivos que citei acima.
  • Por consequência, ocupamos também um lugar de destaque no desenvolvimento e uso de ferramentas de ataques digitais. Sem considerar a China (onde os ataques são uma atividade promovida pelo Estado), estamos em pé de igualdade com a Rússia, ocupando hoje o 2º lugar como origem de ataques digitais e um dos principais atores de criação e disseminação de
  • Somos os campeões mundiais em ataques ao sistema financeiro. E em 2014, o Brasil ocupava o 1º lugar no rank dos países mais perigosos do mundo em relação a ataques deste tipo (vide “Beaches, Carnival and Cybercrime…” ao final deste artigo).
  • Criamos o 2º mais disseminado trojan-horse da História, chamado ChePro, atrás apenas do Zeus (vide “Beaches, Carnival and Cybercrime…” ao final deste artigo).
  • Estamos, infelizmente, subindo no rank de ameaças digitais em 2015 e 2016. Um relatório da TrendMicro deixa isso muito claro para todos (vide “Ascending the Ranks” ao final deste artigo).
  • A disseminação do crime e das respectivas ferramentas é feita por redes sociais, onde se vende todo tipo de ferramentas de ataque – das mais triviais às mais sofisticadas. Incrivelmente, este mercado é fortemente baseado em pessoas de 5ª categoria, a base de uma pirâmide HaaS (vide “Black-Market – HaaS” ao final deste artigo).
4º ato – Conclusões

E, pensando em tudo isso paro e reflito sobre algumas coisas que não me fazem NENHUM sentido. Portanto, estimado leitor, clamo por sua atenção, inteligência e bom-senso!

FAZ ALGUM SENTIDO? …

… que as empresas brasileiras possuindo know-how e profissionais certificados nas normas e melhores práticas achem um desperdício de dinheiro investir nelas? Porque então exigem (e até pagam) tais certificações para seus profissionais?

… se tais normas e manuais existem e se os profissionais já as conhecem, porque então não temos Governança sendo aplicada às empresas, de fato? Porque elas não investem em algo que reconhecem como válido e como um importante fator de sustentabilidade, economia, eficiência e maior proteção?

se a criptografia de arquivos e e-mail é textualmente citada e recomendada em todas as melhores práticas e normas, como pode então ser sumariamente descartada em prol de “ferramentas de controle de acesso” e “ferramentas preditivas” que se mostram ineficazes, fato evidenciado pelos ataques ocorridos? A Petrobrás, não as possuía? Impediu a NSA de espioná-la?

… se Snowden chocou o mundo com suas afirmações e provas a respeito das backdoors e vulnerabilidades exigidas pelo Governo norte-americano em softwares de proteção à informação (a ponto de estar até hoje exilado na Rússia e considerado um traidor dos EUA), porque o Brasil ainda é um dos únicos países que não se posicionou a este respeito em relação à adoção de tecnologia própria?

porque ainda não há um Cadastro Nacional de Software de Proteção à Informação, exigindo 100% de índice de nacionalização nos algoritmos?

Se é factível do ponto de vista prático e de tecnologia brasileira de software, porque ainda ninguém pensou nisso?

… se temos Portarias Federais sobre criptografia aprovadas desde junho 2014 (e com 180 dias de prazo para tornarem-se Lei a partir desta data), porque até hoje elas ainda foram efetivadas? E se o Governo não se preocupa com este assunto, porque editou-as à época?

… possuindo o Brasil comprovado expertise e amplo know-how, porque então os Gestores brasileiros ainda se comportam como colonizados, achando sempre que a solução importada é realmente a melhor?

.. vermos ainda CIO/CISO’s em médias e grandes corporações reconhecendo que a escolha de softwares deve recair pelo mais usado e não pelo mais seguro, mesmo com white-papers e POC’s provando o contrário?

sendo o novo cenário de Guerra baseado em guerra cibernética (um fato que já ocorre diariamente entre potências), porque não temos o fortalecimento de órgãos como o CDCIBER, especializado e preparado para este tipo de Defesa de Soberania Nacional? Porque seu orçamento, ao invés de aumentar, diminui a cada ano? A quem isso interessa e porquê?

Não sou nacionalista.

Não sou militar nem mesmo ex-militar (o que me daria muito orgulho, diga-se de passagem).

Sou apenas um especialista em criptografia, com mais de 30 anos de experiência em programação de alto e baixo níveis, penetração de sistemas, auditoria e Segurança da Informação.

Mas antes de tudo, sou um cidadão preocupado com os rumos do país e das empresas que nele estão instaladas, afinal, como empresário vejo soluções para todas estas dúvidas, mas não vejo uma política pública ou privada que garanta mudança de cenário.

E esta mudança é fundamental para nosso progresso e proteção – e em última análise, para o bem estar de nossos filhos e netos.

Faz algum sentido não as adotarmos de fato?

Links:

Worlds Biggest Data Breaches.

(http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/)

Beaches, Carnival and Cybercrime – a look inside the Brazilian underground.

(https://securelist.com/analysis/publications/72652/beaches-carnivals-and-cybercrime-a-look-inside-the-brazilian-underground/)

Black Market & HaaS – Como Hackers Atacam

(https://www.linkedin.com/pulse/haas-como-hackers-atacam-david-ben-svaiter)

NIST à sombra da NSA?

(http://www.cifraextrema.com/#!NIST-à-sombra-da-NSA/ioeax/56b204190cf2fb0f6febf264 )

Brazil: um dos mais perigosos países para o cidadão digital

(http://www.cifraextrema.com/#!Brazil-um-dos-mais-perigosos-países-para-o-cidadão-digital/ioeax/569cbfcd0cf2ca1e5ff3be38 )

Portarias Federais sobre Criptografia

(http://www.bitmag.com.br/2014/07/governo-normatiza-uso-da-criptografia-em-orgaos-publicos/)

 

* David B. Svaiter | Especialista em Criptografia, Segurança da Informação e engenharia de sistemas, com mais de 30 anos de experiência. Sócio-Diretor da área de SI & Criptografia da Big Blue Ltda”

Novo adware se auto instala e ameaça dispositivos Android