David B.Svaiter
Por David B.Svaiter*
Uma chamada à sua inteligência e bom-senso em 4 Atos
As informações deste artigo são evidenciadas, ao final, por links aos documentos que lhe serviram de base de consulta.
1º Ato – Introdução
A situação política e econômica brasileira desce a ladeira vertiginosamente. As empresas buscam soluções de toda forma, afinal, trata-se de sua sobrevivência ou usando um termo mais atual, trata-se da própria Sustentabilidade Empresarial.
Em última análise, ter uma empresa sustentável é ter uma empresa que esteja menos suscetível à própria extinção por fatores diversos, únicos ou em conjunto, sazonais, temporais (como o atual cenário político-econômico), ocasionais ou permanentes.
Pensando desta forma, diversos institutos e organizações internacionais desenvolveram frameworks objetivando auxiliar as empresas a trabalharem dentro das Melhores Práticas – como são conhecidos conjuntos de métodos e conceitos que, se aplicados ao ambiente corporativo, blindam a empresa não contra um só, mas até mesmo um conjunto de ameaças que, de forma comum, afetam a todas as corporações: ABNT, ISO, COBIT, ITIL, NIST, OWASP e leis como Portarias 24, 25, 26 do Governo Federal e, internacionalmente, HIPAA, SOx, BSI, entre outras).
E se estudarmos o conjunto das Melhores Práticas, Normas e Leis adotadas como padrão de eficiência e sustentabilidade empresarial, veremos que em todas elas, sem exceção, a preocupação com a informação digital é abordada de forma sistemática e incisiva.
“Ora, naturalmente!” – dirá o leitor.
“Hoje tudo é informação digital, logo, é um ativo importante e de real valor agregado.” – complementarão os mais antenados e cientes do aspecto financeiro da informação.
Logo, justamente por toda informação possuir valor que tais práticas foram criadas para proteger as empresas de ocorrências que ameacem a perda deste ativo – e os prejuízos diretos e indiretos decorrentes desta perda.
2º Ato – As Ameaças
Como fator preponderante de perda destes ativos temos o mercado negro de tráfico de informação – onde os hackers são a ponta mais famosa e conhecida, mas longe, muito longe de ser a única.
Vários são os exemplos, significando alguns BILHÕES de dólares em perdas: custos de reposição de pessoal, de substituição de equipamentos de proteção e software, danos reputacionais e mídia para mitigá-los, indenizações diversas aos afetados pelos vazamentos de informações pessoais.
Vemos hoje como alvos todo o ecossistema digital:
- Pessoa Física,
- Pessoa Jurídica,
- Instituições Governamentais,
- Órgãos Públicos,
- Sistema Financeiro,
- Sistema de Saúde,
- Infraestrutura (Centrais Nucleares, Cias de Água, Energia, Gás, etc.),
- Infraestrutura de Segurança,
- Organizações Científicas,
- Organizações ligadas à Patentes,
enfim, TUDO que mantenha ALGUM registro em formato digital.
3º Ato – Know-How made in Brazil
Ouço de vários colegas, companheiros e Gestores, que o Brasil não sofre os mesmos ataques que o resto do mundo pois não há interesse dos players internacionais, nosso pessoal é incipiente em software e que usamos as melhores ferramentas internacionais contra os ataques digitais.
Pura balela ou desconhecimento de causa.
Vamos aos fatos:
- O Brasil ocupa lugar de destaque em programação de sistemas. Somos um dos melhores programadores de softwares do mundo; não no aspecto comercial ou de negócio pois nosso (des) Governo não ajuda e até atrapalha – mas em relação a algoritmos e programação eu considero o brasileiro:
- O mais esforçado;
- Tão capaz quanto qualquer outro;
- Possuidor de uma dose incomum de criatividade;
- Disciplinado se devidamente orientado;
- Comprometido se devidamente reconhecido e remunerado.
- Em 2000/2001, tivemos no Brasil um software de criptografia vendido como shareware e que a NSA não quebrou, pedindo uma backdoor aos seus produtores. Como ela foi negada, a empresa quase foi à falência. Seu nome: CYPHER MILLENIUM (uma longa história, quem sabe num outro artigo?).
- Nosso time de pentesters (especialistas em penetração de sistemas) e White Hats (os hackers do bem) são altamente considerados e valorizados em todo o mundo. Não há uma só empresa multinacional nesta área que não possua brasileiros em suas equipes – e muito provavelmente pelos motivos que citei acima.
- Por consequência, ocupamos também um lugar de destaque no desenvolvimento e uso de ferramentas de ataques digitais. Sem considerar a China (onde os ataques são uma atividade promovida pelo Estado), estamos em pé de igualdade com a Rússia, ocupando hoje o 2º lugar como origem de ataques digitais e um dos principais atores de criação e disseminação de
- Somos os campeões mundiais em ataques ao sistema financeiro. E em 2014, o Brasil ocupava o 1º lugar no rank dos países mais perigosos do mundo em relação a ataques deste tipo (vide “Beaches, Carnival and Cybercrime…” ao final deste artigo).
- Criamos o 2º mais disseminado trojan-horse da História, chamado ChePro, atrás apenas do Zeus (vide “Beaches, Carnival and Cybercrime…” ao final deste artigo).
- Estamos, infelizmente, subindo no rank de ameaças digitais em 2015 e 2016. Um relatório da TrendMicro deixa isso muito claro para todos (vide “Ascending the Ranks” ao final deste artigo).
- A disseminação do crime e das respectivas ferramentas é feita por redes sociais, onde se vende todo tipo de ferramentas de ataque – das mais triviais às mais sofisticadas. Incrivelmente, este mercado é fortemente baseado em pessoas de 5ª categoria, a base de uma pirâmide HaaS (vide “Black-Market – HaaS” ao final deste artigo).
4º ato – Conclusões
E, pensando em tudo isso paro e reflito sobre algumas coisas que não me fazem NENHUM sentido. Portanto, estimado leitor, clamo por sua atenção, inteligência e bom-senso!
FAZ ALGUM SENTIDO? …
… que as empresas brasileiras possuindo know-how e profissionais certificados nas normas e melhores práticas achem um desperdício de dinheiro investir nelas? Porque então exigem (e até pagam) tais certificações para seus profissionais?
… se tais normas e manuais existem e se os profissionais já as conhecem, porque então não temos Governança sendo aplicada às empresas, de fato? Porque elas não investem em algo que reconhecem como válido e como um importante fator de sustentabilidade, economia, eficiência e maior proteção?
… se a criptografia de arquivos e e-mail é textualmente citada e recomendada em todas as melhores práticas e normas, como pode então ser sumariamente descartada em prol de “ferramentas de controle de acesso” e “ferramentas preditivas” que se mostram ineficazes, fato evidenciado pelos ataques ocorridos? A Petrobrás, não as possuía? Impediu a NSA de espioná-la?
… se Snowden chocou o mundo com suas afirmações e provas a respeito das backdoors e vulnerabilidades exigidas pelo Governo norte-americano em softwares de proteção à informação (a ponto de estar até hoje exilado na Rússia e considerado um traidor dos EUA), porque o Brasil ainda é um dos únicos países que não se posicionou a este respeito em relação à adoção de tecnologia própria?
… porque ainda não há um Cadastro Nacional de Software de Proteção à Informação, exigindo 100% de índice de nacionalização nos algoritmos?
Se é factível do ponto de vista prático e de tecnologia brasileira de software, porque ainda ninguém pensou nisso?
… se temos Portarias Federais sobre criptografia aprovadas desde junho 2014 (e com 180 dias de prazo para tornarem-se Lei a partir desta data), porque até hoje elas ainda foram efetivadas? E se o Governo não se preocupa com este assunto, porque editou-as à época?
… possuindo o Brasil comprovado expertise e amplo know-how, porque então os Gestores brasileiros ainda se comportam como colonizados, achando sempre que a solução importada é realmente a melhor?
.. vermos ainda CIO/CISO’s em médias e grandes corporações reconhecendo que a escolha de softwares deve recair pelo mais usado e não pelo mais seguro, mesmo com white-papers e POC’s provando o contrário?
… sendo o novo cenário de Guerra baseado em guerra cibernética (um fato que já ocorre diariamente entre potências), porque não temos o fortalecimento de órgãos como o CDCIBER, especializado e preparado para este tipo de Defesa de Soberania Nacional? Porque seu orçamento, ao invés de aumentar, diminui a cada ano? A quem isso interessa e porquê?
Não sou nacionalista.
Não sou militar nem mesmo ex-militar (o que me daria muito orgulho, diga-se de passagem).
Sou apenas um especialista em criptografia, com mais de 30 anos de experiência em programação de alto e baixo níveis, penetração de sistemas, auditoria e Segurança da Informação.
Mas antes de tudo, sou um cidadão preocupado com os rumos do país e das empresas que nele estão instaladas, afinal, como empresário vejo soluções para todas estas dúvidas, mas não vejo uma política pública ou privada que garanta mudança de cenário.
E esta mudança é fundamental para nosso progresso e proteção – e em última análise, para o bem estar de nossos filhos e netos.
Faz algum sentido não as adotarmos de fato?
Links:
Worlds Biggest Data Breaches.
(http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/)
Beaches, Carnival and Cybercrime – a look inside the Brazilian underground.
Black Market & HaaS – Como Hackers Atacam
(https://www.linkedin.com/pulse/haas-como-hackers-atacam-david-ben-svaiter)
NIST à sombra da NSA?
(http://www.cifraextrema.com/#!NIST-à-sombra-da-NSA/ioeax/56b204190cf2fb0f6febf264 )
Brazil: um dos mais perigosos países para o cidadão digital
Portarias Federais sobre Criptografia
(http://www.bitmag.com.br/2014/07/governo-normatiza-uso-da-criptografia-em-orgaos-publicos/)
* David B. Svaiter | Especialista em Criptografia, Segurança da Informação e engenharia de sistemas, com mais de 30 anos de experiência. Sócio-Diretor da área de SI & Criptografia da Big Blue Ltda”
