Estou no setor de seguran\u00e7a cibern\u00e9tica h\u00e1 mais de 15 anos. Durante esse tempo, e junto com outros veteranos de seguran\u00e7a da informa\u00e7\u00e3o, presenciei a ascens\u00e3o do MID (medo, incerteza, d\u00favida) em primeira m\u00e3o. Tenho de admitir, funcionou -o medo realmente ajudou a vender produtos de seguran\u00e7a. Como qualquer rem\u00e9dio forte, no entanto, o MID teve efeitos colaterais.<\/p>\n
Como ind\u00fastria, n\u00e3o podemos escapar do MID porque somos viciados nisso. Para n\u00f3s, ele se manifesta quando nossos clientes exigem provas de que o que estamos lhes dizendo n\u00e3o \u00e9 apenas mais uma poss\u00edvel viola\u00e7\u00e3o, e sim um perigo real. Infelizmente, a melhor prova de que um perigo \u00e9 real ocorre quando algo ruim acontece. \u00c9 por isso que a m\u00eddia se viciou em MID tamb\u00e9m. Quanto mais milh\u00f5es de d\u00f3lares algu\u00e9m perder, melhor ser\u00e1 a hist\u00f3ria.<\/p>\n
E a\u00ed, entram em cena os reguladores, com sua tend\u00eancia a reagir de forma exagerada e impor regulamentos r\u00edgidos e multas. Isso efetivamente coloca os pesquisadores de seguran\u00e7a, desenvolvedores de produtos, profissionais de marketing, m\u00eddia e reguladores em uma armadilha estrat\u00e9gica que, na teoria dos jogos, \u00e9 chamada de dilema do prisioneiro: situa\u00e7\u00e3o na qual todos os jogadores devem usar estrat\u00e9gias aqu\u00e9m do ideal porque, caso contr\u00e1rio, perderiam. No caso da ind\u00fastria de seguran\u00e7a da informa\u00e7\u00e3o, usar essa estrat\u00e9gia significa gerar ainda mais MID.<\/p>\n
Para sair dessa armadilha, precisamos entender uma coisa: o futuro n\u00e3o pode ser constru\u00eddo com base no medo.<\/p>\n
O futuro de que estou falando n\u00e3o \u00e9 distante. Rob\u00f4s j\u00e1 est\u00e3o dirigindo caminh\u00f5es e perambulando por Marte. Eles escrevem m\u00fasica e criam novas receitas de comida. Esse futuro est\u00e1 longe de ser perfeito a partir de v\u00e1rias perspectivas, incluindo a da seguran\u00e7a cibern\u00e9tica, mas estamos aqui para estimul\u00e1-lo e n\u00e3o impedi-lo.<\/p>\n
Eugene Kaspersky disse recentemente que acredita que \u201co conceito de ciberseguran\u00e7a em breve se tornar\u00e1 obsoleto e a ciberimunidade tomar\u00e1 o seu luga<\/a>r\u201d. Pode soar estranho, mas tem um significado muito mais profundo do que parece. Deixe-me ir um pouco mais fundo no conceito de ciberimunidade<\/em>. Na ciberseguran\u00e7a, costum\u00e1vamos lidar principalmente com esta \u00faltima possibilidade. Quando os sistemas de TI de nossos clientes sucumbiam \u00e0 infec\u00e7\u00e3o, precis\u00e1vamos estar preparados com solu\u00e7\u00f5es. Mas \u00e9 a\u00ed que o v\u00edcio em MID come\u00e7ou, com fornecedores de seguran\u00e7a provendo al\u00edvio imediato para doen\u00e7as graves. Esse sentimento de \u201csuperpoder\u201d provou ser viciante para os fornecedores de seguran\u00e7a da informa\u00e7\u00e3o. Algo como: \u201cSim, \u00e9 hora dos antibi\u00f3ticos pesados, porque, pode confiar, o problema \u00e9 realmente s\u00e9rio\u201d. Mas usar antibi\u00f3ticos pesados s\u00f3 faz sentido quando a infec\u00e7\u00e3o j\u00e1 entrou no organismo \u2013 e isso, todos n\u00f3s concordamos, est\u00e1 longe de ser um cen\u00e1rio ideal. Em nossa met\u00e1fora de ciberseguran\u00e7a, teria sido melhor se o sistema imunol\u00f3gico pudesse ter interrompido essa infec\u00e7\u00e3o antes.<\/p>\n Hoje, os sistemas de TI tornaram-se muito heterog\u00eaneos e n\u00e3o podem ser vistos fora do contexto dos seres humanos \u2014 aqueles que operam os dispositivos e os que interagem com eles. A demanda por \u201ceducar o sistema imunol\u00f3gico\u201d tornou-se t\u00e3o grande que, na verdade, estamos vendo uma tend\u00eancia de priorizar a presta\u00e7\u00e3o de servi\u00e7os \u2014 at\u00e9 mesmo sobre o produto, que costumava ser prim\u00e1rio. (O \u201cproduto\u201d hoje em dia \u00e9, em muitos casos, uma solu\u00e7\u00e3o personalizada, algo adaptado \u00e0s especificidades do sistema de TI para o qual foi projetado.)<\/p>\n A compreens\u00e3o desta vis\u00e3o n\u00e3o veio de uma s\u00f3 vez. Assim como com a vacina\u00e7\u00e3o, n\u00e3o \u00e9 uma abordagem \u00fanica, mas sim uma s\u00e9rie de tentativas de vacina\u00e7\u00e3o, todas voltadas para o mesmo objetivo: uma ciberimunidade mais forte para um futuro mais seguro.<\/p>\n Entendemos que o conceito de ciberimunidade seja recebido com ceticismo. A primeira pergunta que espero ouvir \u00e9: \u201cPodemos realmente confiar na vacina e<\/em> em seu fornecedor?\u201d A confian\u00e7a \u00e9 de suma import\u00e2ncia, e acreditamos que simplesmente dar nossa palavra n\u00e3o \u00e9 suficiente. Se os clientes de uma empresa de ciberseguran\u00e7a quiserem ver a seguran\u00e7a e a integridade do software, t\u00eam todo o direito de exigir isso \u2014 na forma de c\u00f3digo-fonte. N\u00f3s oferecemos isso<\/a>, e tudo que os clientes precisam \u00e9 de um par de olhos atentos e um PC para analisar como as coisas funcionam. Precisamos de um PC em condi\u00e7\u00f5es higienizadas para essa visualiza\u00e7\u00e3o de c\u00f3digo, contudo, para garantir que os observadores n\u00e3o possam adulterar o c\u00f3digo por conta pr\u00f3pria. Assim como voc\u00ea pode procurar opini\u00f5es de v\u00e1rios m\u00e9dicos, ter uma vis\u00e3o confi\u00e1vel de terceiros tamb\u00e9m \u00e9 importante. Com as solu\u00e7\u00f5es de TI, esse visualizador externo pode ser representante de uma empresa de auditoria Big Four<\/a> capaz de explicar o que esses bits e bytes realmente significam para o seu neg\u00f3cio.<\/p>\n Outro componente importante \u00e9 a capacidade do sistema imunol\u00f3gico de resistir a ataques. O software de seguran\u00e7a cibern\u00e9tica pode ter falhas. A melhor maneira de aprender \u00e9 exp\u00f4-las \u2014 a hackers white-hat (hackers \u2018do bem\u2019), que encontram falhas e relatam-nas aos fornecedores. A ideia de oferecer um pr\u00eamio por encontrar um bug no software, introduzida pela primeira vez em 1983, foi absolutamente brilhante, pois reduziu bastante os incentivos financeiros para os black-hat (que exploram falhas ou vendem para outros cibercriminosos). No entanto, os white-hats exigem garantias de que a empresa que investigam n\u00e3o vai denunci\u00e1-los e process\u00e1-los.<\/p>\n
\nCiberimunidade \u00e9 um \u00f3timo termo para explicar nossa vis\u00e3o de um futuro mais seguro. Na vida real, o sistema imunol\u00f3gico de uma organiza\u00e7\u00e3o nunca \u00e9 perfeito, e v\u00edrus ou outros objetos microbiol\u00f3gicos malignos ainda encontram maneiras de engan\u00e1-lo, ou mesmo de atac\u00e1-lo. No entanto, o sistema imunol\u00f3gico tem uma caracter\u00edstica muito importante: aprende e se adapta. Ele pode ser \u201ceducado\u201d por meio de vacina\u00e7\u00e3o sobre poss\u00edveis perigos. Em tempos de perigo, podemos ajud\u00e1-lo com anticorpos prontos.<\/p>\n
\nAntes de tudo, um futuro mais seguro s\u00f3 pode ser constru\u00eddo sobre uma base segura. Acreditamos que isso se torna poss\u00edvel quando todos os sistemas s\u00e3o projetados desde o in\u00edcio tendo a seguran\u00e7a em mente<\/a>. Aplica\u00e7\u00f5es reais nas ind\u00fastrias de telecomunica\u00e7\u00f5es e automotiva j\u00e1 est\u00e3o testando nossa abordagem vision\u00e1ria. Os fabricantes de carros est\u00e3o especialmente interessados em seguran\u00e7a, nossa miss\u00e3o de \u201cconstruir um mundo mais seguro\u201d \u00e9 fundamental. No mundo automotivo, seguran\u00e7a significa realmente seguran\u00e7a.<\/p>\n