Artigo
Segurança
Segurança Cibernética garante bons negócios
Segurança cibernética está relacionada a uma série de fatos e possibilidades. O mundo está vivendo a digitalização que faz parte do dia a dia de todos e não mais apenas da rotina de experts e estudiosos. O celular, aquele aparelho que faz tudo, inclusive telefona, passou a ser a célula de exposição do cidadão comum aos aspectos e problemas de segurança. Nesse caso, o celular em si é “TI”, mas a forma como esse uso transcende para a relação com os demais participantes da rede é “cibernética”.
Essa popularização trouxe à cena contemporânea vários aspectos de segurança cibernética. A primeira, ligada aos direitos e garantias individuais, à privacidade, à proteção de dados pessoais. O segundo aspecto, relaciona-se à fragilidade desses dispositivos e soluções, não só pelo ponto de vista lógico, criptográfico ou teórico, mas também sob o aspecto físico que pode abrir brechas para ataques pela exploração de falhas arquiteturais e lógicas. Aqui, estamos falando da segurança de serviços. Os dois modelos se encontram, na vida real.
Exemplo de ataque que representa mescla dos dois aspectos de segurança cibernética, aconteceu em 2015, quando o site de relacionamentos extraconjugais, Ashey Madison, teve os dados de mais de 37 milhões de clientes – três milhões do Brasil – vazados. Ao expor essas contas, hackers disponibilizaram dados potencialmente embaraçosos, como nomes, registros financeiros e outras informações confidenciais. Foram registrados entre os usuários, casos de suicídio, de divórcios e de pagamento de fortunas para preservação de identidades.
As falhas no nível da privacidade ou da segurança dos serviços vinham se dando, até pouco tempo, pela via tecnológica ou por intermédio de relações sócio pessoais (engenharia social). Agora, no início de 2018, uma nova fonte de exploração apareceu.
Trata-se da descoberta de uma feição arquitetural da construção dos principais chips e processadores do mercado (mobile, plataforma baixa e mainframe). Os fabricantes de processadores, principal estrutura física de funcionamento dos computadores, utilizam-se de um artifício de assunção de valores para posterior validação. Essa prática se chama speculative execution.
Essa conduta permite que o mercado do cibercrime (ciberativistas, fraudadores, terroristas, crackers e mercenários) se utilize de técnicas denominadas meltdown e spectre, para obter informações à revelia de seu titular. Trata-se do famoso vazamento de dados ou dataleaking. Com isso, tanto o aspecto “privacidade” quanto o aspecto “segurança de serviços” se veem confrontados e desafiados à busca de solução.
Como o mundo vai resolver esse problema?
A vulnerabilidade ainda não é corrigível, por ser física. Está em cada chip do mercado e em cada processador de computador que tem a feição arquitetural de hoje para atender as demandas de velocidade, mas que dá a oportunidade de ataque por pessoas mal-intencionadas de todo o tipo, ativistas, ciberativistas, terroristas, chantagistas, piratas etc. A solução real será a paulatina substituição e a adoção de medidas mitigadoras, até que isso ocorra.
Um terceiro nicho relacionado à segurança cibernética, é o chamado kriptocurrency, ou moeda ou meios de pagamento. Essa nova dimensão de ameaça não comunica com “privacidade” ou com “serviços seguros”, mas representa uma ameaça à segurança econômica com efeitos imediatos, pois as novas moedas eliminam a centralização do estado, permitindo fraudes contra cidadãos, contra o estado e os meios de controle, facilitando, por outro lado, a evasão de divisas, a lavagem de dinheiro e a sonegação. “Impossível saber-se oficialmente de quantos bitcoins dispõe uma pessoa, isso violaria o direito de privacidade do cidadão”, ressalta o coordenador estratégico de Ativos da Segurança da Informação (Cegsi) do Serpro, Ulysses Machado.
No entanto, a Receita Federal do Brasil já vem explicitando regras no sentido de que valores em bitcoin devem ser objeto de declaração.
O Serpro vai bem, obrigado!
Há muitos anos, a segurança era nativa na TI. Quando o Serpro nasceu era assim. Segurança era exercida “por obscuridade”. Poucas pessoas tratavam de TI e se acontecesse qualquer fato que colocasse em risco a segurança da empresa, esses especialistas seriam os responsáveis. Mas, isso nunca aconteceu.
Depois, com o surgimento da internet e da web, o mundo mainframe apresentou vulnerabilidades e com elas, vários aspectos de segurança cibernética, que representa uma das feições da segurança da informação.
Segundo Ulysses, hoje, segurança cibernética está em torno de todos os serviços que o Serpro presta aos seus clientes. Há sempre o cuidado com a forma de segregação desses serviços e a proteção dos dados, não só por parte da Cegsi, em nível estratégico, mas por parte das áreas de segurança em produção, por parte do desenvolvimento e das áreas de negócio. “A preocupação da empresa é grande e vai além do plano interno. Queremos que não só clientes, mas o cliente dos clientes, o cidadão, tenha tanto seus dados pessoais e privacidade respeitados, como também que esteja a salvo de falhas de serviço e protegidos contra fraudes e roubos”, ressalta Ulysses.
Segurança não rima com conforto
Segurança da Informação significa uma cultura de boas práticas no trato de todo o conjunto de soluções que o Serpro gera para o cliente. Firewalls, IPS, roteadores, anti-DDOS, monitoramento constante de rede, correlacionador de eventos, profissionais treinados em monitoração e em forense computacional. O Serpro faz tudo isso e muito mais. Mas ainda assim, a segurança pode falhar pelo elo mais fraco e responsável por 90% de falhas, as pessoas, e todo o esforço vai por água abaixo. “A mocinha do cinema sempre convida o vampiro para entrar”, exemplifica Ulysses.
Por isso, a empresa investe na busca da cultura de segurança da informação e faz com que o seu colaborador possa ter uma participação cibernética e não tecnológica. “Quando estamos trabalhando em nossa estação ou fazendo qualquer atividade, estamos atuando de forma cibernética. O Serpro investe para que a atuação interna seja responsável, consciente dos riscos e vulnerabilidades, cuja exploração pode prejudicar tanto o trabalho, como o próprio empregado”, revela Ulysses. E, completa, “significa chamar a atenção para coisas que nem sempre são agradáveis, como a troca periódica de senhas, que devem ser fortes, e o cuidado com os links que se acessa.”
Cibernética é governança
Cibernética é palavra que muitos têm usado no lugar de TI, apesar de ser parte importante da TI. É possível ter uma “coisa” tecnológica, que não é cibernética. Originalmente, “cibernética”, do grego “κυβερνήτης”, significa “pilotagem”, “condução”, “controle”, “coordenação”, “direcionamento”. E está ligada à ideia de “governança”.
A lei 13.303/2016 que trata das empresas públicas e de sociedade de economia mista, conclama as empresas a adotarem princípios de governança e controle, que significa garantir transparência, auditabilidade, comunicação adequada e integração entre os níveis decisório e executório.
Assim, o Serpro, alinhado a esse paradigma, programa e executa seu trabalho de acordo com o descrito nos planos estratégicos e de desenvolvimento de TI, além de construir indicadores e aperfeiçoar os serviços de segurança, como a recente reestruturação do Grupo de Resposta a Ataques (GRA) e do serviço de Forense Computacional.