Investimento do país em segurança digital: errar o alvo é muito fácil
O governo brasileiro está correto em sua preocupação com os serviços de comunicação do país, após as revelações, feitas pelo ex-agente da CIA Edward Snowden, de que os Estados Unidos estariam monitorando também o tráfego de dados e voz do Brasil. Em tempos de crise surge também a oportunidade, e nunca faltam interessados em pedir dinheiro para construir uma monstruosa “solução”. Mas, em segurança digital, isso precisa ser feito com muita cautela.
O principal motivo é que os problemas de segurança digital nem sempre são fáceis de serem compreendidos. Quando não se compreende bem o problema, não há chance de uma solução aceitável e correta ser desenvolvida. E isso é muito fácil de acontecer.
Durante uma palestra em um evento, um especialista em segurança do governo brasileiro declarou que domínios (endereços) de sites do governo foram movidos para outras terminações, como “.mil.br”. De acordo com ele, isso daria mais segurança aos sites e os protegeria de ataques de negação de serviço – que são aqueles que tiram um site do ar por meio do esgotamento de recursos. A informação está completamente errada – mudar o endereço legível do site não vai ajudar de forma alguma com esse tipo de ataque. A mudança, pelo menos, custa bem pouco ou até nada, então se tratou apenas de uma medida inócua.
No entanto, conforme as questões se tornam mais complicadas, outras soluções absurdas – e mais caras – tendem a aparecer. E em um momento no qual se busca uma solução rápida, quando soluções rápidas não existem, essas medidas caras e desnecessárias acabam conseguindo espaço. Exemplo: a agência governamental dos Estados Unidos que destruiu até mouses para se livrar deu uma infecção de vírus em sua rede, resultado de uma falha na comunicação entre os especialistas em segurança do departamento do governo e a agência.
Quanto ao monitoramento dos Estados Unidos, nem se sabe com toda a certeza como ele funciona. Um problema desconhecido dá margem para muitas “inovações” nada relevantes.
Antes de se pensar em pesados investimentos em tecnologia nacional e infraestrutura, é preciso olhar para as pessoas e os procedimentos de segurança existentes. Não é incomum que um departamento de segurança seja ignorado por estar se “intrometendo” em outro departamento. Não compreender que a ajuda de uma equipe de segurança é “bem-vinda” apenas dificulta a identificação dos problemas cotidianos.
Outro motivo que exige cautela, especialmente em questões de segurança nacional, é que a comunicação é apenas uma pequena parte do todo que não pode ser pensada separadamente. É verdade que hoje muitos dos cabos de fibra que transmitem as comunicações brasileiras passam pelos Estados Unidos, o que facilita a espionagem. Mas colocar novos cabos de fibra submarinos, para criar novas comunicações com a Ásia e Europa que não dependam dos Estados Unidos, também não resolve o problema.
Isso porque os Estados Unidos possui, desde 2005, o submarino USS Jimmy Carter. Esse submarino, de acordo com uma reportagem da agência de notícias Associated Press, possui equipamentos para monitorar a comunicação que passa por cabos de fibra ótica.
Não há dúvida de que a tecnologia existe: em 1970, um cabo soviético foi grampeado. A única dúvida é como a comunicação coletada pode ser analisada e copiada para ser enviada aos agentes de inteligência do país. No caso do cabo soviético, os dados eram manualmente coletados no local e armazenados em fita pelo equipamento que realizava o grampo.
Logo, é preciso pensar na questão de segurança física desses cabos. Ou então conviver com a ideia de que o cabo que transmite os dados nunca poderá ser confiável. E se vamos conviver com a insegurança dos cabos, então também não é preciso instalar cabos novos – pelo menos não pela questão da segurança. Há ganhos em infraestrutura, mas então são esses ganhos que precisam ser considerados e não a “segurança”.
Situações em que grandes investimentos em segurança são feitos sem investimentos comparáveis em equipes para manter e operar esses sistemas são bastante comuns. Isso porque a venda de produtos e serviços de segurança é sempre atrativa e simples, enquanto os processos de segurança são complicados. Ou seja, adquire-se algo sem pensar que aquilo terá um custo de manutenção e de mudança na rotina de quem trabalha na empresa ou organização. Quando um gerente ou diretor avalia o que fazer, adquirir o produto ou e a tecnologia aparece como uma saída óbvia. Mas, por si só, acaba sendo inútil.
O Brasil tem ainda um grande atraso cultural envolvendo a privacidade e a proteção de dados pessoais. Nenhum investimento mudará isso no curto prazo. Todas as soluções são lentas, nem sempre precisam ser caras, mas precisam ser muito bem pensadas. Errar o alvo é muito fácil.
Nenhum comentário
Postar um comentário