Qualquer dispositivo conectado à rede é uma porta de invasão
Paulo Santos, gerente de soluções da Axis Communications
À primeira vista, as ameaças cibernéticas podem facilmente levar empresas e governos a uma sensação de impotência. Por definição, qualquer dispositivo conectado à rede é uma porta para invasores. Muitos desses dispositivos são montados por uma empresa X num país usando componentes de uma empresa Y de outro país, criados por uma fabricante Z em outro continente, sem qualquer garantia sobre essa cadeia global.
Há o risco constante de funcionários comprometerem o sistema, até mesmo por espetar um pen drive estranho numa porta USB. E, tomadas todas as medidas possíveis de prevenção, vale lembrar que os hackers sempre estarão um passo à frente. Parece um pesadelo sem fim, mas muito pode ser feito.
Não por acaso, só na América Latina existe uma escassez de 136 mil profissionais de cibersegurança, segundo estudo Cybersecurity Workforce Study (2018), publicado em agosto último. Eles estão sendo requisitados para, entre outras coisas, criar estratégias de redução de riscos para empresas e órgãos governamentais, evitando, dentro do possível, reduzir a performance dessas instituições, comprometer operações, gerar interrupções com perdas milionárias e afetar suas reputações. E aí está a chave para a questão: a proteção completa é inalcançável, mas muito pode ser feito.
Em outubro último foi realizado um evento em São Paulo voltado justamente para apontar as possibilidades já existentes de proteção contra ataques cibernéticos. Um dos pontos levantados foi o caso de câmeras IP fabricadas como OEM, ou seja, como junção de componentes de terceiros. Detectada uma vulnerabilidade, a quem deve ser atribuída a responsabilidade?
A reportagem de capa da revista Bloomberg Businessweek, de outubro último, mostrou que um microchip do tamanho de um grão de arroz foi inserido secretamente nas placas mãe de servidores que acabaram sendo usados por grandes empresas norte-americanas. Segundo fontes ouvidas pela reportagem, essa manipulação já no hardware teria sido feita na China. Mas, as empresas e governos podem fazer escolhas mais ou menos arriscadas, dependendo da criticidade de suas operações e do nível de ceticismo que puderem aplicar à escolha de seus parceiros tecnológicos.
Em meio a riscos cibernéticos crescentes e insolúveis em sua totalidade, as escolhas tecnológicas de empresas e governos devem ser orientadas pela confiabilidade. Os profissionais de TI devem partir de uma postura cética, indo além do discurso de cada fabricante. É importante estudar desde como o design dos produtos pode facilitar o acesso não autorizado de dados até como cada fabricante costuma responder a falhas de segurança tornadas públicas. Acima de tudo, os fabricantes precisam ter em seu DNA o compromisso com a comunicação de suas falhas de forma proativa e transparente.
Embora seja um valor intangível, o principal recurso disponível para empresas e governos diminuírem riscos cibernéticos é a confiança baseada no histórico dos parceiros tecnológicos.
É gerente de soluções na Axis Communications, desde 2012. Formado em Engenharia Elétrica pela Faculdade de Engenharia São Paulo, o executivo possui ainda o título de especialização em administração pela FGV. Antes de ingressar na Axis, Santos atuou na Xylem e na Siemens.
