A crise na segurança digital

"Crise" tem muitos significados, então cabe deixar claro desde já: o setor de segurança da informação não está em pânico nem perdeu seu norte. Mas uma série de circunstâncias e incertezas vem formando um caldo pouco animador para os próximos anos, e é preciso estar a par desses acontecimentos para que seja possível oferecer soluções digitais e conectadas com a confiabilidade que os consumidores e cidadãos esperam. 

A pandemia da Covid-19 foi mais um ingrediente neste caldo, mas não o único. Os ataques cibernéticos e seus impactos também vinham em trajetória ascendente: em 2017, o vírus WannaCry escancarou fragilidades técnicas em alguns serviços essenciais, mostrando o quanto estamos dependentes da tecnologia e da conectividade – seja no transporte público, na educação ou na saúde. 

A busca por profissionais foi aumentando desde então, soando um alerta da escassez de mão de obra para o setor – e o home office deixou tudo ainda mais confuso. É claro que ele aumentou a demanda por conectividade e por canais seguros de comunicação, estimulando revisões até em políticas de segurança da informação que antes não contemplavam acessos remotos e diversos. Mas não parou por aí. 

Depois que o Facebook caiu, em outubro de 2021, a rede social revelou que um dos desafios para a normalização se deu na locomoção e acesso físico dos engenheiros até os roteadores que precisavam ser reconfigurados – a empresa, acostumada a realizar manutenções remotas, não esperava por um cenário em que a própria rede estivesse indisponível. 

Isso é evidência de uma mudança no mercado de trabalho. Se o roteador e os servidores precisam ocupar um espaço físico em algum lugar, o profissional não tem sempre essa limitação. Nem as restrições de viagem impediram que os especialistas em tecnologia e segurança buscassem e encontrassem empregos em qualquer lugar do mundo – e trabalhando de casa. 

Com a escassez de profissionais e a concorrência por mão de obra se tornando cada vez mais global, encontrar e adotar soluções (ainda que sejam boas práticas "simples", encontradas em qualquer manual) ficou cada vez mais difícil. 

Demanda sem consciência 

O menu "iniciar" do Windows nasceu com o rótulo de "Sistema", mas os testes de usabilidade não foram bons: quem nunca tinha usado um computador na vida não sabia o que fazer diante do teclado e do mouse. Quando a Microsoft testou o rótulo "Iniciar", muitos usuários arriscaram o primeiro clique, abrindo o menu que dava acesso ao sistema. 

O rótulo do botão sumiu no Windows Vista, mas a lição sobre usabilidade permanece. O que é pouco intuitivo, ainda, são os riscos envolvidos e os cuidados que ela exige. Da mesma forma que o menu de sistema virou "iniciar", há muitas palavras do ramo cujo significado tem histórias pouco intuitivas. 

O usuário consciente sabe recepcionar uma novidade – entender como um serviço funciona, conferir as opções de segurança e deixar tudo ajustado para evitar surpresas. Mas não é assim para todos. O encanto das facilidades muitas vezes ofusca a visão para os riscos – seja um aplicativo engraçadinho, um cadastro de promoção ou um CPF na farmácia, não é sempre que todos perguntam por que as coisas são assim. 

Não se pode achar estranho, então, que nem todos desconfiem de mensagens fraudulentas nem que seja difícil instruir a nova geração a respeito do risco de mecânicas de vício em jogos eletrônicos ou algoritmos de engajamento que funcionam como predadores da nossa atenção. A tecnologia não previu todo os riscos da sua própria adoção. 

Legislação ajuda, mas é limitada 

Quando as pessoas têm dificuldade para impor seus interesses, essa tarefa passa para a legislação. Em dezembro, a jornalista Kara Swisher publicou um artigo de opinião no New York Times dizendo exatamente isso: o Congresso precisa atuar mais no setor de tecnologia. 

No Brasil, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor em agosto. Inspirada em leis já existentes na Europa e em alguns estados americanos, ela provoca uma transformação na cultura das empresas – muitas enxergavam dados pessoais como meros arquivos e planilhas, e não como propriedade de um cidadão. Mesmo três anos após a sanção do texto, o significado disso não está totalmente claro para todos. 

E os sistemas nem sempre nos dão a capacidade de fazer valer os direitos garantidos. Somos obrigados a aceitar ou recusar "cookies" a cada site visitado, embora a tecnologia para fazer isso automaticamente exista há décadas. É bom que a LGPD e outras leis semelhantes (como a GDPR na Europa) exijam o consentimento das pessoas, mas a que estamos consentindo com um clique em "Aceitar"? 

Como o botão "Iniciar", "aceitar" é muito intuitivo. Mas onde foi parar a ideia do clique consciente, que é tão importante para a segurança? 

Tirar o controle das pessoas (seja adotando algoritmos que decidem tudo por elas ou tentando burlar configurações do navegador) nos deixou o legado de uma web hostil. A via digital é "acelerada", sem dúvida, mas cabe indagar qual fração dessa velocidade se deve ao desconhecimento das políticas de dados e privacidade ("a sinalização") que rege a troca de informação. 

Aliás, ao contrário da sinalização das rodovias, não existem padrões para a sinalização da web. Nem os ícones de segurança são os mesmos em diferentes sistemas e navegadores. Pessoas conscientes e informação de qualidade podem reduzir o impacto e a taxa de ataques cibernéticos, mas este não é um problema fácil de resolver, principalmente sem criar barreiras para a inovação. 

A convergência das soluções 

Por mais diversos que sejam os problemas, há muita convergência quando se fala de soluções. 

Educar melhor a nova geração, lembrando que segurança digital começa cedo – como propôs o evento do DISI em 2021, promovido pelo CAIS da RNP –, vai render profissionais preparados no futuro. 

Pessoas mais conscientes e interessadas em segurança contribuem com a maturidade dos sistemas quando pressionam o mercado a priorizar o tema, além de atuarem como barreiras contra os ataques cibernéticos. 

E, se não há especialistas suficientes nas tecnologias mais recentes, trazer visões de fora para o campo da segurança e da tecnologia, com diversidade humana e de aptidões, pode ajudar a desarmar o "apagão tecnológico". E a pluralidade pode contribuir com sistemas mais humanos, simples, previsíveis e resilientes. 

É claro que temos que melhorar em tecnologia, diminuindo a chance de erro humano e seus impactos – e isso contribui com toda a cadeia, do usuário ao administrador de sistema. E se problemas acontecerem, é preciso saber como avaliar os impactos e acionar um plano de recuperação. É a soma desses elementos que dá às pessoas as garantias necessárias para integrar ainda mais a tecnologia em sua rotina.   
 

Analista de segurança sênior da RNP

 

 

;