Algumas tendências tecnológicas prometem tornar nossas vidas mais fáceis e criar modelos de negócio inovadores; ao mesmo tempo, porém, elas tornam a vida dos profissionais de segurança da informação ainda mais desafiadoras. Confira alguns exemplos.
Responda rápido: toda inovação tecnológica é benéfica? Se você retrucar essa questão sem pensar muito, provavelmente a resposta será positiva. De fato, novas tecnologias são criadas justamente para facilitar o nosso cotidiano, tornando as tarefas rotineiras mais simples, agilizando o acesso a informações e automatizando afazeres que nem sempre são agradáveis. O internet banking nos livrou das quilométricas filas nas agências físicas; os aplicativos de ride-sharing dispensaram a procura por um ponto de táxi e assim por diante.
Porém, como diria um famoso personagem do mundo das histórias em quadrinhos, são com os grandes poderes que surgem as grandes responsabilidades. Uma inovação tecnológica — e aqui podemos incluir um novo segmento de gadgets, um novo protocolo, um novo padrão de conectividade e assim por diante — quase sempre abrirá novas portas para o crime cibernético, ampliando ainda mais a superfície de ataques. E isso, é claro, significa que precisamos atualizar constantemente nossas abordagens de proteção.
Neste artigo, separamos algumas tendências tecnológicas que, embora estejam envoltas em um gigantesco hype tanto pela comunidade técnica quanto pelos usuários finais, podem simbolizar desafios adicionais de segurança cibernética.
IoT e 5G
Comecemos pelo clássico: não é de hoje que especialistas em cibersegurança compartilham preocupações a respeito do crescimento do mercado de Internet das Coisas (Internet of Things ou IoT, no original em inglês). Estamos falando da tendência de adicionar recursos de conectividade em aparelhos que, até então, eram 100% analógicos. Fechaduras, câmeras, carros, lâmpadas, geladeiras, aspiradores de pó autônomos e até comedouros para animais de estimação passam a ganhar um endereço IP e fazer parte da rede mundial de computadores.
Embora os benefícios sejam atraentes (imagine poder iniciar uma limpeza de seu apartamento a partir de qualquer lugar, através de poucos toques em um app de smartphone?), tal mercado preocupa sobretudo pela falta de padronizações. Cada gadget possui seu próprio firmware e muitas vezes os fabricantes não tomam os devidos cuidados relacionados com a segurança dos protocolos de comunicação, deixando portas abertas no processo de, por exemplo, comunicação entre aplicativo, servidor e client. Com isso, fica fácil para um cibercriminoso interceptar esse fluxo de dados.
Com a popularização das redes 5G, esse problema se torna ainda mais grave, já que os dispositivos IoT passam a ter uma conexão direta com a internet, deixando de passar por um roteador — o que ainda era uma linha mínima de segurança e visibilidade para tal tipo de aparelho. Essas conexões diretas fora das redes domésticas e corporativas também dificultam a visibilidade de ativos, especialmente em escritórios e plantas industriais, dificultando a correta gestão de tais aparelhos.
Regulamentos de proteção de dados
Tornou-se comum que um país possua suas próprias legislações de proteção de dados para resguardar a privacidade do internauta. Tais normas (podemos citar como exemplo a europeia General Data Protection Regulation e a brasileira Lei Geral de Proteção de Dados), na teoria, garantem que as empresas descuidadas sejam devidamente punidas com graves sanções no caso de um episódio de vazamento de informações, por exemplo. Pode parecer algo unicamente benéfico, mas especialistas já discutem a eficácia de tais regulamentos e até mesmo propõem que eles causem um efeito contrário.
Basta uma rápida análise: o número e a gravidade dos vazamentos de dados não diminuíram desde a criação de tais leis. Pelo contrário, eles só aumentaram em grau e frequência. E, como constatado pelo recente estudo Cost of a Data Breach 2022, da IBM, os prejuízos das empresas com esse tipo de incidente crescem ainda mais com as multas aplicadas pelos órgãos reguladores. Como resultado, esse custo acaba sendo repassado para os consumidores finais no formato de preços mais altos em produtos e serviços.
Claro, não estamos de forma alguma demonizando as legislações de proteção de dados. Porém, a abordagem puramente punitiva já se provou ineficaz, servindo apenas para criar uma pressão negativa adicional sobre as equipes de segurança da informação.
Um mundo híbrido
A hiperconectividade alterou drasticamente os modelos de negócio praticados pelas empresas, de forma que o físico está cada vez mais integrado com o digital. As experiências se complementam sem emendas, o que costuma ser interessante para os consumidores.
Porém, as brechas criadas por tais estratégias híbridas são preocupantes. Vamos tomar como exemplo a indisponibilidade de serviços governamentais críticos para o exercício da cidadania — a pouco tempo atrás, o sistema brasileiro de emissão de comprovantes de vacinação contra a COVID-19 foi derrubado e permaneceu inacessível durante dias.
Imagine que o mesmo ocorra com infraestruturas críticas como transporte, distribuição de água e de energia, oleodutos, gasodutos etc. Não é à toa que plantas industriais são uma das principais preocupações dos últimos tempos — especialmente se levarmos em conta que tais ambientes são alvos frequentes em ataques patrocinados por governos estrangeiros, seja em um conflito aberto ou velado.
Esses são apenas alguns exemplos de tendências tecnológicas que, embora benéficas e necessárias, precisam estar no radar de profissionais do setor. Vale a pena atentar-se a tais pontos e participar de discussões para resolver tais problemas.