Todos os dias de alguma forma vimos presenciando incidentes de segurança da informação sendo noticiados na grande mídia, desde roubo de informações, invasões, ataques distribuídos de negação de serviço (DDoS), até espionagem. Vírus, worms, ransomwares, keyloggers, trojans e malwares de todos os tipos surgem em uma velocidade na qual é impossível catalogá-los, monitorá-los e tratá-los individualmente. Então, para que tenhamos uma resposta e tratamento adequados e os danos desses incidentes sejam mitigados, é necessário que surja um novo paradigma onde o usuário é parte fundamental e o governo atua em seu papel regulador e fiscalizador, com as devidas contribuições da academia e da indústria. Caso contrário, os danos podem ser não apenas individuais ou de algumas empresas em específico, mas catastróficos para toda a sociedade.

Recentemente, em escala global tivemos o WannaCry, que causou algum estrago especialmente em hospitais, mas muito mais comoção do que dano efetivamente, apesar de ter podido ser evitado facilmente, onde bastava aplicar as correções do sistema operacional que já se encontravam disponíveis dois meses antes da difusão desse cryptoworm, e do desespero de alguns gestores que desligaram suas redes e computadores. No passado tivemos dezenas de incidentes com diversos diferentes malwares como I Love You, Melissa, Sasser, Blaster, Code Red, Conficker, Zeus, Stuxnet, entre outros, que geraram muito mais problemas, mas não tiveram a mesma repercussão de agora, talvez por terem ocorrido em um momento de pouca, ou quase nenhuma conscientização.

Por isso, hoje os criminosos vivem em uma época conhecida como a Era de Ouro do Hacking, em que se destaca o crescimento do MMO (Motivação, Meio e Oportunidade). Na parte da motivação existem diversas teorias e pouco consenso, não sendo clara a relação entre desemprego e crime, mas muitos identificam como fator uma possível descrença no sistema jurídico. O meio tem como fatores a facilidade em se perpetrar crimes pela internet e a indevida sensação de segurança pelos criminosos. A oportunidade está presente no grande número de vítimas que podem ser atingidas com um único clique, as quais possuem um baixo nível de conscientização, ainda instalando e baixando softwares piratas e sem manter seus dispositivos atualizados, e também na migração do dinheiro do mundo real para o virtual.

Importante destacar que incidentes de segurança da informação não são causados apenas por criminosos virtuais, mas também diversas empresas, e até mesmo países, que estão roubando dados e informações (incluindo os seus), alguns que muitas vezes você sequer sabia que existiam. Além disso o crime organizado, que está internacionalmente estruturado, possui um elevado poder de ataque e invasão, pode ser oriundo literalmente de qualquer lugar do planeta. Outras origens, como por exemplo os chamados hacktivistas e script kiddies, também tem causado algum estrago.

Vivemos em uma era em que muitas empresas não cobram nenhum valor monetário pelos serviços que lhe oferecem, mas em que ao mesmo tempo o ditado de que não há almoço grátis nunca foi tão verdadeiro. O Big Brother do 1984 de George Orwell chegou com força no final do século passado e agora já está com todo o vigor. A privacidade do cidadão nunca foi tão violada, e muitos governos estão trabalhando arduamente para proteger o cidadão. Notadamente, e de impacto global, a União Europeia instituiu novas regras de proteção de dados (General Data Protection Regulation – GDPR) que entrarão em vigor em 25 de maio de 2018.

Assim, fica a questão: será que estamos verdadeiramente conscientes da importância das nossas informações pessoais que são objetos de análise, interpretação, correlacionamento, arquivamento e data mining? Parece que a cada dia esse conceito de privacidade se torna mais débil. Enquanto esse é um tema bastante discutido no Canadá, EUA, Alemanha e diversos países, no Brasil só temos alguns projetos que se arrastam no Congresso Nacional e sequer temos uma Autoridade Nacional de Proteção de Dados ou legislação correlata.

Como agravante temos o medo, a incerteza e a dúvida, do inglês FUD (Fear, Uncertainty, Doubt), que são elementos comumente empregados para se obter algum resultado desejado. Como tal, também são utilizados na segurança da informação para buscar mais investimentos, maior participação dos usuários e maior engajamento dos legisladores, mas trazem consigo um risco de desviarem de problemas maiores ou mais importantes. Quando alguém famoso possui fotos ou vídeos íntimos expostos na Internet, ou dados de políticos de alto escalão são apresentados em informações vazadas de agências estrangeiras, isso causa uma grande sensibilização, mas a legislação e os discursos não devem ser elaborados apenas para impressionar eleitores, e sim para trazerem medidas efetivas e eficazes de segurança da informação.

A legislação assume também um papel importante na segurança da informação na medida em que pode obrigar as empresas a aplicarem processos e executarem procedimentos de segurança e de notificação de incidentes, os quais são muitas vezes relegados justamente pela falta de obrigatoriedade. Os fabricantes e desenvolvedores também precisam com urgência atuar para fornecer seus produtos com a devida segurança, e não soluções ou produtos que possam ser facilmente explorados. A exigência de escadas de incêndio nos edifícios, assim como de extintores e outros mecanismos de segurança predial, somente surgiu após muitas tragédias que poderiam ter sido evitadas, mas as quais ocasionaram a criação de leis que obrigam a observância da segurança predial e pessoal.

A presença da tecnologia da informação é total na vida de qualquer pessoa, mas possui diversos riscos de privacidade e de crimes que veem se apresentando, e assim, observamos que a segurança da informação chegou à sua idade adulta, não podendo ser mais tratada como criança. Isso, inclusive, levou um grande número de empresas a pensar na figura do Chief Security Officer (CSO), que agora ocupa um lugar de destaque na diretoria, sendo o profissional responsável por cuidar da segurança da informação e tem preocupações distintas do Chief Information Officer (CIO) que cuida da manutenção e suporte da Tecnologia da Informação e Comunicação (TIC). Infelizmente, o cargo de CSO (ou também CISO – Chief Information Security Officer) ainda é pouco comum no Brasil, e ainda mais raro em órgãos públicos.

No Brasil as forças policiais não dispõem de efetivo e nem condição suficiente para tratar todos os incidentes de segurança da informação, então, certamente, é melhor que as próprias empresas tenham condições de atuar em alguns casos que podem dispensar a atuação judicial aliviando essa demanda e o acúmulo de material a ser periciado, mas também preservando as evidências com a devida cadeia de custódia, se o caso vier a ser judicializado. Ainda assim, o reforço e a ampliação de vagas de peritos de tecnologia da informação nos órgão públicos é essencial, especialmente para atuarem em crimes mais graves, de maior repercussão, que requeiram maior especialidade ou até mesmo de maior impacto para os interesses coletivos ou individuais difusos.

Ademais, é essencial que a educação digital seja incorporada ao ensino fundamental e médio, em um modelo parecido com o que é implementado na Rússia, em que o ensino de informática é obrigatório nas escolas. Naquele país são lecionados inúmeros conteúdos relacionados à tecnologia da informação, além de matemática e física ensinadas e cobradas em um alto nível. Um resultado facilmente observável desse currículo, são os ótimos resultados dos alunos russos em competições internacionais de programação competitiva. Naturalmente, isso também repercute de forma positiva para o conhecimento e a segurança da informação, em que o pensamento formado irá impactar até mesmo em uma melhor percepção dos riscos inerentes ao mundo digital.

Junta-se a isso, que além dos importantes investimentos das empresas e os órgãos públicos em mecanismos de proteção como antivírus, firewall de próxima geração (NGFW), gerenciamento de eventos e informações de segurança (SIEM), sistemas de detecção/prevenção de invasão (IDS/IPS), redes privadas virtuais (VPN), anti-spam, filtro de conteúdo, firewall de aplicação Web (WAF), gerenciamento de patches, gerenciamento de acesso e identidades (IAM), prevenção de perda de dados (DLP), gerenciamento unificado de ameaças (UTM), entre vários outros, os usuários também ter precisam consciência de que segurança da informação é um trabalho conjunto. Todos precisam estar cientes dos riscos da utilização de TIC e saberem como os golpes são implementados e como podem ser evitados.

A nossa sociedade já é bastante digital, e uma adequada segurança da informação poderá ser alcançada com uma efetiva transformação no pensamento sobre como esse mundo digital opera e como os criminosos e espiões atuam. Para isso, é essencial uma apropriada educação por todos, o que certamente inclui a instrução nas escolas e capacitação e treinamentos nas empresas e órgãos públicos, além da legislação e investimento governamentais. São essas medidas que farão toda a diferença em tornar o Brasil apenas um alvo cibernético ou se queremos de fato que ele se torne um país do futuro, caminhando na linha de frente junto aos países inspirando a tecnologia adotada em todo o mundo.

Eduquem as crianças e não será necessário punir os adultos.”
Pitágoras