A 26ª edição do WRNP (Workshop RNP) começou nesta segunda-feira (19) em Natal (RN) e a cibersegurança foi um dos temas abordados. No painel Priorização de Vulnerabilidades com Foco em Risco Real, Christine Hoepers, gerente-geral do CERT.br — grupo de pesquisa responsável por coordenar respostas a incidentes de segurança na internet —, e Ítalo Cunha, professor da Universidade Federal de Minas Gerais (UFMG), falaram sobre como saber quais falhas em códigos e processamento de dados realmente representam perigo.
Eles destacaram que o volume de vulnerabilidades técnicas é tão grande que se tornou impossível corrigir todas, mesmo em grandes companhias. Christine apresentou dados que mostram que mais da metade das organizações no mundo consegue corrigir apenas cerca de 15% das falhas de segurança por mês. “No fundo, fazer gestão de vulnerabilidades é entender o que está rodando no meu ambiente, decidir o que tem que ser feito primeiro e agir rápido”, afirmou Christine. “Mas isso muda muito dependendo do contexto. A mesma falha pode ser crítica para uns e irrelevante para outros.”
Ao longo das últimas décadas, as organizações se guiaram por pontuações como o Common Vulnerability Scoring System (CVSS), um índice técnico que mede a gravidade das falhas. Mas, de acordo com os especialistas, nem sempre reflete a urgência real de correção. “O CVSS nunca foi pensado para priorizar correção. Ele é uma referência técnica, mas não considera onde a vulnerabilidade está nem o impacto operacional dela”, explicou Christine.
Para tentar otimizar o volume de falhas e explorar novos caminhos, modelos baseados em inteligência artificial (IA) estão sendo estudados no Brasil, como explicou Ítalo Cunha. “Todas as vulnerabilidades críticas, quando analisadas no contexto de um laboratório, mostram comportamentos e urgências diferentes. Nosso objetivo é construir um sistema de priorização que leve isso em conta”, explicou o pesquisador. “Se uma falha foi resolvida rapidamente ou envolveu muita troca de mensagens entre os analistas, isso pode indicar maior prioridade”.
O grande desafio, segundo ele, é conseguir dados suficientes — e sensíveis — para treinar a IA com precisão. “Só conseguimos ensinar a máquina se tivermos um histórico confiável. Mas obter esses dados é difícil porque envolvem ambientes reais de operação e dados sensíveis”, destacou Cunha.
Apesar do entusiasmo com as novas possibilidades, os especialistas foram cautelosos. Christine lembrou que a IA também pode ter falhas. “Tem gente achando que a IA vai resolver tudo, mas ela também pode criar código com vulnerabilidades. Segurança precisa sempre de um ser humano na operação. O importante é saber usar a IA como ferramenta, não como solução mágica”, alertou.
Educação em cibersegurança
No Palco Inova, o professor da Universidade Federal Fluminense (UFF) Igor Moraes apresentou o Comitê Técnico de Cibersegurança da RNP, formado por pesquisadores que ajudam a definir soluções para problemas reais em segurança digital.
Para ele, a educação em cibersegurança deve ser o principal investimento das organizações. “Precisamos aumentar a massa crítica de pessoas que sabem atuar com proteção no mundo digital”, disse Moraes, que destacou o programa Hackers do Bem. A iniciativa da RNP, em parceria com Senai-SP, Softex e recursos do MCTI, forma gratuitamente profissionais capacitados em cibersegurança, além de criar um hub nacional para promover a colaboração e o intercâmbio de informações na área.