Esta segunda-feira (17) foi marcada pelo primeiro dia da RSA Conference 2021 (RSAC21), tradicional conferência sobre segurança da informação fundada em 1991 pela RSA (Rivest–Shamir–Adleman), empresa responsável pelo sistema criptográfico homônimo. Em formato digital, o evento deste ano foca-se no tema resiliência: a capacidade das organizações de manter suas atividades mesmo perante as adversidades que estamos vivendo perante a transformação digital acelerada pela pandemia do novo coronavírus (SARS-CoV2).
- RSAC21 | Como placas 'fantasmas' podem interferir em sensores automobilísticos
- Zero trust: proteger sua empresa é não confiar em ninguém!
- Quando o firewall não é o suficiente: a importância da descriptografia SSL/TLS
Logo na palestra de abertura, Rohit Gai, CEO da companhia, agradeceu os profissionais que estão na linha de frente na batalha contra tal crise pandêmica e afirmou, enfático, que “ser resiliente não é o suficiente”. Para o executivo, estamos vivenciando uma mudança radical na forma que pensamos e fazemos a segurança da informação, sendo importante não confiar em ninguém e realizar auditorias a respeito de seus parceiros e fornecedores de negócios. “É como peças de dominó posicionadas muito próximas umas das outras — se alguém cair, levará todo o resto”, afirma.
Gai também ressaltou que hoje temos uma quantidade absurda de soluções de segurança, mas o excesso delas pode nos tornar lentos e improdutivos, sendo importante focar apenas nos maiores riscos — ele acredita que, em um futuro próximo, contaremos com recursos de priorização artificial graças ao crescimento de tecnologias como o machine learning.
Por fim, citando o caso emblemático de Marcus Hutchins (hacker ético que iniciou sua carreira no crime e se tornou um “herói” após frear o ransomware WannaCry), o CEO também ressaltou a importância de trazer diversidade para o mercado e incentivar a colaboração da comunidade e entre as próprias empresas. “Quando caímos juntos, aprendemos juntos”, afirma.
Difícil de engolir
Essa visão foi a mesma trazida por Chuck Robbins, chairman e CEO da Cisco. Ressaltando o aumento na superfície de ataques cibernéticos por conta de tecnologias emergentes e tendências mercadológicas (como o WiFi 6, o 5G e o trabalho remoto), Robbins comentou sobre como precisamos de maior visibilidade e sobre a importância de não apenas treinar novos profissionais, mas também garantir que continuemos evoluindo o nosso próprio conhecimento. “Precisamos criar padrões de segurança para o que sabemos que virá no futuro”, afirmou.
Com uma opinião similar, em um bate-papo descontraído, Jimmy Sanders (diretor de segurança da informação da Netflix) e Angela Weinman (gerente global de governança, risco e compliance da VMware) elencaram “três verdades difíceis de engolir sobre cibersegurança”. A primeira delas é justamente a que Robbins comentou: não estamos visualizando os riscos corretamente, sendo necessário enxergar as coisas em um ângulo mais amplo.
A segunda “verdade” é que estamos usando soluções e práticas de segurança obsoletas, que não fazem nada além de desacelerar nosso cotidiano. Novamente, os executivos bateram na tecla da inclusão: quanto mais pessoas à mesa e quanto mais pontos de vista, mais fácil será pensar em novas soluções. “Você precisa estar preparado para jogar qualquer coisa fora”, diz Angela, garantindo que essa é uma “técnica de sobrevivência” para evoluir processos e metodologias rapidamente.
Batendo na tecla da colaboração, Jimmy ressalta: segurança não é um esporte de só um jogador. Para ele, profissionais da área são “heróis” que, juntos, podem alcançar coisas que uma empresa sozinha não seria capaz. “Nós precisamos de suas ideias, precisamos de sua colaboração”, afirma.
O novo (e instável) normal
Para Laura Koetzle (vice-presidente da Forrester Research), se você acha que as mudanças culturais, comportamentais e mercadológicas causadas pela pandemia já acabaram, você está gravemente equivocado. Para a especialista, teremos pelo menos cinco adaptações essenciais que as empresas vão precisar enfrentar ao longo dos próximos anos enquanto migramos para o novo — e instável — normal.
Primeiramente, os consumidores se preocuparão mais com privacidade e conveniência, obrigando as companhias a desenvolverem soluções “no-touch”, investir em soluções antifraude, aumentar o orçamento para tais demandas e trabalhar em tecnologias adaptativas em aplicações com foco em melhorar a acessibilidade. Além disso, as experiências híbridas serão cada vez mais comuns — algo que, a priori, causará o surgimento de uma série de iniciativas com baixa qualidade de customer experience.
Com o tempo, a qualidade de tais experiências tende a aumentar, no fim, contaremos com iniciativas antecipatórias às necessidades do cliente; mas, é claro, sempre com foco em privacidade. Outra adaptação certeira é que empresas e governos darão mais atenção a formatos de trabalho que, até então, eram impensáveis; já percebemos que companhias que possuem alto nível de empatia com seus colaboradores em home office possuem maior vantagem criativa. Com o passar dos anos, legisladores vão tornar esse formato algo mais concreto e, a longo prazo, a redistribuição do trabalho vai acabar com a hiper-urbanização.
Para que isso ocorra, porém, precisamos que a ideia de voltar ao escritório “atinja os níveis de privacidade que os colaboradores querem, trocar ferramentas temporárias de trabalho remoto por soluções permanentes para trabalho 100% remoto e de replanejar os riscos do insider malicioso no modelo híbrido”.
Prosseguindo com as adaptações, as empresas vão cada vez mais surfar na onda da disrupção, acelerando a transformação digital, criando novos modelos de negócios e gerando um novo ciclo de inovação que não será necessariamente incentivado pelo novo coronavírus. Laura ressalta, porém, que surfar na onda da disrupção significa substituir soluções antigas de segurança, investir em cloud security e em segurança de OT (para linhas de produção automatizadas) ou até mesmo usar blockchain para gerenciamento de risco de terceiros.
Por fim, a resiliência se tornará um diferencial competitivo. Se hoje os empreendedores estão focados em riscos essenciais, em breve as cadeias de suprimentos vão focar em redundância, flexibilidade e sustentabilidade. No futuro, contaremos com a ajuda da inteligência artificial para auxiliar no gerenciamento de riscos corporativos, auxiliando a lidar com incertezas e ameaças sistêmicas com decisões baseadas em dados (data-driven).
Olhando para longe... Para 2030
Se enxergar mais longe para ter maior visibilidade de riscos e mitigar ameaças é algo necessário, porque não enxergar daqui a dez anos? Foi com essa proposta que a pesquisadora Dr. Victoria Baine, da Universidade de Oxford, e Rik Ferguson, vice-presidente de pesquisas de segurança da Trend Micro, apresentaram o projeto 2030, que visa vislumbrar como será o crime cibernético ao final desta década que estamos vivendo — levando em consideração, é claro, os avanços tecnológicos atuais.
Automação, inteligência artificial, uso de dados na cadeia de suprimentos, transversalidade entre o físico e o digital, aumento no uso de redes neurais adversárias (GANs), manufatura aditiva (3D e 4D), a adoção massiva de 5G/IoT e ambientes virtuais imersivos são alguns fatores que vão moldar a sociedade para 2030.
Estamos falando de uma sociedade altamente tecnológica, no qual dispositivos vestíveis estão cada vez mais integrados ao seu corpo, obtendo dados vitais e até rastreamento hábitos comportamentais. A comida é “impressa” e a educação infantil é focada no processamento e não na aquisição de conhecimento. As empresas utilizam um número absurdo de sensores inteligentes. As cidades e governos tomam decisões baseados em dados e usam dinheiro 100% virtual.
De acordo com Victoria, estamos imaginando um cenário oriundo de “um processo criativo, mas baseado em evidências científicas”. Nesse mundo hipotético, ataques “simples” como roubo, manipulação e envenenamento de dados pode causar interrupções em linhas de produção inteiras, tal como impedir o funcionamento de serviços de distribuição de energia, transportes etc. As tecnologias imersivas (incluindo realidade aumentada e virtual) facilitam a propagação de fake news geradas por GANs; por fim, a corporificação de dispositivos pode fazer com que um analista de cibersegurança seja responsável pelo bem-estar físico de um cidadão. Um insider malicioso pode ser uma pessoa ou um algoritmo.
Como bem explicado por Rik, “são cenários possíveis, mas não inevitáveis”; porém, o executivo afirma que “incertezas não são justificativas para despreparo”, e, por isso, deixou o convite para os profissionais interessados em participar da discussão sobre o projeto 2030.
Segurança, mas com produtividade grátis
Andrew Hewitt e David Holmes, analistas da Forrester Research, dedicaram vários anos estudando os benefícios da arquitetura de segurança de confiança zero (zero trust). Durante muito tempo, a falta de budget foi a “desculpa” usada por muitos profissionais do setor para não adotar a estratégia; porém, com a pandemia do novo coronavírus e a necessidade de implementar o trabalho remoto, as organizações perceberam que esse é o melhor escopo a ser adotado.
Para a dupla, mais do que auxiliar as empresas no trabalho de proteger dados sensíveis e aplicações (sejam elas on-premise ou na nuvem), o zero trust também dá fim a um problema crônico da área: a eterna batalha entre segurança da informação e produtividade. Em uma pesquisa da própria Forrester, foi constatado que a maioria (34%) dos colaboradores dizem que ignoram políticas de segurança porque precisam interagir com pessoas fora da empresa; 33% afirmam que é o jeito mais eficiente de fazer o que é preciso fazer e 31% dizem que as políticas são muito restritas ou “irracionais”.
Como bem pontuado por Andrew, a falta de produtividade causada por um número muito algo de soluções de segurança deve ser encarada como um problema grave, já que é capaz de sufocar a inovação. “As organizações vão gastar meses ou anos tentando adotar novas tecnologias de forma segura”, diz o executivo. Com a zero trust, os colaboradores têm acesso a facilidades como latência menor, acesso direto à nuvem, single sign-on e autenticação sem senha com direito a biometria comportamental — tudo isso em um ambiente muito mais seguro do que as clássicas VPNs.
Manipulando mentes
“O objetivo deles é manipular tudo o que você acredita. Quando lemos, clicamos e compartilhamos, damos muito dinheiro aos manipuladores”, afirmou Theresa Payton, da Fortalice, em sua palestra sobre desinformação online. Autora de um livro sobre o assunto, Theresa citou diversas campanhas de fatos falsos que foram disseminadas ao longo dos últimos anos e alguns de seus impactos — em uma pesquisa no Reino Unido, por exemplo, foi constatado que 8% dos jovens acredita que a tecnologia 5G ajuda a propagar o novo coronavírus.
A especialista afirma que a maioria dessas campanhas são criadas por criminosos, forças políticas adversárias ou simples “trolls” que querem fazer dinheiro. Usando ferramentas open source (NodeXL, Botometer e CrowdTangle), ela foi capaz de rastrear uma rede de desinformação e perceber que uma das estratégias usadas pelos manipuladores é se infiltrar em grupos de interesse segmentados. Se eles conseguirem moldar a opinião de pelo menos uma pessoa, a campanha pode ser bem-sucedida — em um dos casos, um grupo de apenas 30 malfeitores conseguiu atingir mais de 94 mil internautas.
Para Theresa, falta uma colaboração maior entre as grandes corporações de tecnologia, os governos e a população em si. “Se você ver algo, diga algo”, simplifica.
I.A.s podem hackear?
Fechando o primeiro dia da RSAC21, o escritor e jornalista Bruce Schneier levantou uma questão bastante interessante: devemos nos preocupar com inteligências artificiais atuando como “hackers” em um futuro próximo? O especialista, vale pontuar, usou a palavra “hack” em sua mais ampla definição: a exploração de brechas e buracos em um sistema, seja um software com milhões de linhas de código ou um sistema financeiro e até mesmo social. Enquanto os seres humanos possuem uma definição bem-estruturada de contextos e implicações, o mesmo não é válido para essas consciências digitais.
“I.A.s modernas são como caixas pretas. É impossível saber como elas chegaram a uma conclusão”, afirma Schneier, citando exemplos práticos de algoritmos que foram criados para identificar doenças antes mesmo que médicos humanos pudessem encontrá-las. O autor até mesmo fez um paralelo com o famoso livro “O Guia do Mochileiro das Galáxias”, onde um supercomputador é construído por uma população avançada com o objetivo de responder a pergunta fundamental sobre a vida, o universo e tudo mais.
Spoilers para quem leu tal obra — a máquina ofereceu a simples resposta de “42”, mas não pôde explicar o porquê, já que seu objetivo era calcular apenas a resposta e nem mesmo seus criadores sabiam exatamente o que estavam perguntando. Qualquer sistema nada mais é do que um conjunto de regras e as inteligências artificiais serão bem mais habilidosas do que nós em pensar fora da caixa para encontrar formas de transpô-los, justamente porque elas não estão em uma caixa para começo de conversa.
“I.A.s vão hackear sistemas de uma forma que não imaginamos. Se existirem problemas, inconsistências e buracos, as inteligências vão achá-los. Já estamos vendo isso. Os algoritmos já estão recomendando conteúdos extremos porque as pessoas respondem mais a eles, e ninguém precisou ensiná-los a isso”, ressalta o especialista. Claro, essa mesma capacidade de trabalhar “sem uma caixa” pode ser usada para finalidades benéficas, incluindo a detecção de falhas em legislações que possam ser consertadas antes que alguém as utilize. Ainda assim, é uma visão bastante macabra e preocupante.
Confira o que mais já publicamos sobre a RSA Conference 2021: