Artigo completo - Centro de Investigação Jurídica do Ciberespaço

Os 5 maiores mitos sobre cibersegurança,
desmistificados
1
Peter W. Singer e Allan Friedman
"Um domínio de nerds.". Era assim que a Internet era vista no início dos anos 90, até que
todos começaram a usá-la e a depender dela. Não obstante, esta citação foi proferida, muito
recentemente, por um alto funcionário da Casa Branca americana, quando se pronunciava
sobre a forma como a cibersegurança é encarada no presente. É aqui, precisamente, que
reside o problema, mas também a solução desejada.
Vamos por partes. Todos nós, seja em que papel que desempenhamos na vida, tomamos
decisões de cibersegurança, que acabarão por redesenhar o futuro do mundo dos
computadores. Contudo, tendemos a considerar este tema como um exclusivo da
comunidade TI, fazendo-o, na maior parte das vezes, porque nos encontramos desprovidos
das ferramentas adequadas. Por exemplo, as terminologias básicas e os conceitos essenciais,
que definem o que é possível e ajustado, são menosprezados, ou pior, são distorcidos. Da
mesma forma, algumas ameaças são exponenciadas e exageradas, enquanto outras são
ignoradas.
Provavelmente, o maior problema reside mesmo na forma como usamos a Internet. Estamos
habituados a que ela resolva todas as nossas dúvidas, enquanto, no reino da cibersegurança,
os mitos do passado convivendo com a propaganda do futuro, lançam um véu sobre o que
realmente aconteceu e onde nos encontramos no presente. Se quisermos realmente obter
eficácia na segurança do mundo online, teremos, antes de mais, que proceder à sua
desmistificação.
1
Artigo traduzido para português por Nuno Teixeira Castro.
Mito 1: Cibersegurança é diferente de todos os desafios que já enfrentamos
É fácil sentirmo-nos assoberbados pelo ritmo, mais rápido que o da luz, das redes globais de
informação. No entanto, nada será verdadeiramente novo: Imagine-se o que sentiram os
victorianos quando as comunicações e as transações deixaram de ser feitas a cavalo e a
energia eólica e passaram a depender de redes de telegrafia. Logo de seguida, de rádios sem
fios. Não tiveram de lidar com o problema da regulação de toda esta vertiginosa novidade?
Algumas das lições da história poderão orientar-nos na busca de respostas às novidades da
nossa própria era. Não se trata apenas de aprender com a história da Internet e a forma como
aqui chegamos, mas, também, de aprender com outras questões, para além das TI.
Por exemplo, quando ponderamos o papel do Estado na saúde pública, deparamo-nos com
uma instituição, bem-sucedida, como os Centros de Controlo e de Prevenção de Doenças, os
quais têm sido fundamentais na prevenção, na sensibilização e educação, e na criação de
mecanismos de confiança de partilha de informação crítica.
Ou, numa outra perspetiva de bem global, na luta contra ameaças perpetradas por grupos
criminosos ou para-estaduais, recue-se aos tempos dos mares e das velas e veja-se como
piratas e corsários (por exemplo, com os quais no presente muito partilham alguns grupos
de hackers chineses) foram perseguidos, através de uma conjugação de esforços contra os
seus mercados e através da criação de normas internacionais.
Ou ainda, pensando sobre o problema de atuação de entes privados e sobre a partilha de
certas externalidades sobre um bem comum, poderemos socorrer-nos de instrumentos
jurídicos e económicos que foram utilizados para combater a poluição ambiental.
Ninguém há-de redescobrir a roda. Não há ajustes perfeitos, nem há soluções completas.
Apenas, muitas das questões que hoje enfrentamos não são assim completamente tão
novas.
Mito 2: “Todos os dias enfrentamos «milhões de ciberataques» ”
Esta afirmação foi proferida pelo General Keith Alexander, Chefe das operações militares
cibernéticas e de intelligence dos EUA, recentemente aposentado, perante o Congresso
americano em 2010. Curiosamente, líderes chineses fizeram reivindicações semelhantes
após os seus próprios hackers terem sido indiciados, apontando o dedo de volta para os
EUA. De facto, estes números têm tanto de verdadeiro como de informação absolutamente
inútil.
Contar ataques cirúrgicos individuais ou formas únicas de malware é como contar bactérias
- obtêm-se grandes somas rapidamente. O essencial, porém, é, por um lado o impacto, por
outro a fonte. Tanto mais que estas somas astronómicas fundem e confundem o leque real de
ameaças que enfrentamos, desde detetores e exploradores, antes de terem provocado
qualquer dano, apanhados por sistemas de defesa elementares, a tentativas de tudo, que vão
desde slacktivismo de protesto político a espionagem económica e relacionada com
segurança (sem que, notavelmente, se encontre algum «Cyber Pearl Harbor», como vem
sendo mencionado demasiadas vezes quer nos discursos políticos quer na propaganda
mediática pelos meios de comunicação tradicional). Digamos que assistimos a uma
combinação numérica de tudo, que vai desde crianças com pequenos «estalidos de
carnaval», a manifestantes com bombas de fumo, criminosos com espingardas, espiões com
pistolas, terroristas com granadas e militares com mísseis, pois todos usam a mesma
tecnologia: a pólvora.
Chocar a audiência invocando uma amálgama de números, em comunicados de imprensa
confusos, nunca será uma boa estratégia a seguir. Pelo contrário. Tal como no mundo real,
também no digital, uma boa estratégia deverá passar pela clarificação das ameaças online,
ponderando-se os riscos associados e priorizando como e quem melhor deve lidar com
elas.
Mito 3: Isto é um problema tecnológico
No mundo do suporte técnico, há uma velha piada sobre “PEBCAK” - Problem Exists
Between the Chair And Keyboard – ou «o problema existe entre a cadeira e o teclado». De
facto, a Cibersegurança cinge-se muito a pessoas e incentivos. Ou seja, existe uma
abundância de importantes soluções técnicas e de novas ferramentas para adotar, mas se as
organizações e as pessoas não estiverem dispostas a investir na sua proteção, continuarão
inseguras.
O passo mais importante que poderemos adotar será o da mudança da mentalidade do medo
e da ignorância (que nos conduz a medidas de índole «bala de prata» e incentiva falsas
esperanças sobre a vinda de um justiceiro montado num cibercavalo que nos irá salvar) para
o trabalho sobre o que é mais importante: Resiliência. Defesa e dissuasão são boas
perspetivas. Porém, enquanto usarmos a Internet, há-de sempre existir um risco associado à
nossa cibervivência, proveniente de cibercriminosos, de inimigos, ou até, simplesmente, de
uma boa old-fashioned má sorte. A chave reside na forma como podemos superar estas
ameaças e recuperar rapidamente de eventuais contratempos. O nosso lema deverá ser:
«Mantenha a calma e continue» («Keep calm and carry on»), perante os sistemas que
usamos, bem como para a nossa mente. Isto aplica-se, ainda e especialmente, perante os
decisores e propagandistas mediáticos do medo, nos seus avisos constantes de que a rede
elétrica vai ser tomada por cibercriminosos e desligada, ou que a Bolsa será suspensa
porque foi posta offline. Surpreendentemente, um animal, o esquilo, é responsável por
centenas de falhas de energia por ano. Até já conseguiu suspender a negociação no
NASDAQ por duas vezes. Se conseguimos sobreviver no mundo real às versões de Rocky
and Bullwinkle (Alceu e Dentinho), também poderemos, certamente, tornar-nos mais
resilientes contra os temidos, mais das vezes ficcionados, perigos do cibermundo.
Mito 4: A melhor (Ciber) Defesa é um melhor (Ciber) Ataque
Alguns líderes do Pentágono já referiram a possibilidade de uma dupla de adolescentes
poderem perpetrar um ataque cibernético de consequências WMD («weapons of mass
destruction»), enquanto bebericam umas latas de bebidas energéticas da moda na cave da
casa dos seus pais,. Um relatório aponta mesmo que este tipo de ataque vai dominar o
«futuro próximo». Este cenário catalítico tem justificado que o Pentágono gaste 2,5 vezes
mais dinheiro, do seu orçamento anual, em investigação ciber-ofensiva do que em ciberdefensiva.
A realidade é, porém, bem mais complexa. O famoso Stuxnet, uma arma digital que sabotou
o programa nuclear iraniano, revelou, por um lado, os perigos de uma nova geração de
ciberameaças, mas, por outro, demonstrou que a complexidade das competências e recursos
exigidos para a sua implementação, vão muito para além de meras bebidas açucaradas. «Red
Bull dá-te asas», mas jamais uma instantânea perícia para conduzir um ataque de nível tão
avançado. A criação do Stuxnet revelou um pouco de tudo, desde captação e análise de
intelligence, a conhecimentos avançados de engenharia e de física nuclear.
Mais importante é notar que, à semelhança das anteriores, também esta não será a melhor
estratégia. Não estamos perante a Guerra Fria de uma qualquer relação binária, em que
apenas é necessário fazer frente a outro Estado, que disponha de meios similares e de
possibilidades de participar no jogo. Perante a existência de diversos agressores
disseminados por esse ciberespaço a investir em avanços ofensivos, a nossa primeira reação
é contra-atacar. Digamos que se assemelha um pouco à compra de um kit de pedras bem
afiadas para melhor protegermos a nossa casa de vidro de tornados ou das crianças do
bairro. Poderá a afirmação não ser tão apelativa como o mito a descreve, mas, de facto,
tanto no futebol como na cibersegurança, a melhor defesa é mesmo uma boa defesa.
Mito 5: «Hackers» são no presente a maior ameaça que paira sobre a Internet
Sem dúvida que existem cibercriminosos, espalhados pela Internet, fazendo e planeando
coisas más. Contudo, se não tivermos cuidado, a cura poderá revelar-se pior que a doença.
Embora, presentemente, objecto das mais variadas ameaças, a Internet depende de um
ecossistema muito próprio, fundado na confiança. Não obstante, é por aqui, também, que
entram em cena o cibercrime, onde cibercriminosos exploraram as falhas da empresa Target
Corp., a captação de metadados pela NSA, a Grande Firewall chinesa e a lista negra de mais
de 82 mil websites russos. Todos eles trabalham contra a confiança, contra o regime aberto,
contra o modelo de governance coletivo representado pela Internet que conhecemos e que
adoramos.
Em resposta às «ameaças» online, muitos governos têm reclamado maior controlo,
regulação e reformas deste modelo próprio de governance da Internet. A pretexto da ordem
e segurança interna têm procurado limitar a liberdade de expressão e a espontaneidade da
sociedade civil, assim como a coberto da segurança e soberanias nacionais erguido barreiras
comerciais técnicas.
Devemos ter muito cuidado com todas as propostas legislativas que nos queiram
proteger dos perigos online, pois elas poderão acabar por destruir o instrumento de
mudança política, económica e social mais poderoso das nossas vidas, se não de toda a
história do Homem.