“A falha de segurança dos processadores Intel é um fato gravíssimo, principalmente no método: como é possível colocar produtos tão vulneráveis no mercado?”. Para explicar os fenômenos cibercrime e cíber segurançadeixando desde o último caso sensacional depois de um 2017 em que apenas na primeira metade do ano (e contando apenas os casos confirmados) os ataques cibernéticos cresceram 8,35% globalmente, é Gabriel Faggioli, diretor científico do Observatório de Segurança e Privacidade da Informação da Politecnico di Milano, presidente da Clusit (associação italiana de segurança da informação) e CEO da P4I, empresa de consultoria do grupo Digital360. “Como nos proteger? Sempre baixando as atualizações disponíveis e nos informando mais. Nas palavras de Tobagi, hackers não são samurais invencíveis."
Vamos começar com o caso mais recente: o dos processadores "falidos" de três gigantes de TI como Intel, Amd e Arm, que poderiam expor bilhões de PCs a ataques de hackers. O que realmente aconteceu?
“Antes de tudo, vamos deixar uma coisa clara desde já: neste caso não se tratava de ataques, mas de vulnerabilidade do sistema tecnológico. Uma grande falha de segurança envolveu bilhões de equipamentos em todo o mundo, todos produzidos recentemente, colocando em risco os dados de empresas e pessoas contidos em equipamentos de TI. Potencialmente nada poderia acontecer se não houvesse pessoas desonestas no mundo, mas infelizmente este não é o caso e, portanto, perigos importantes e generalizados não podem ser excluídos. No entanto, o aspecto mais grave não é tecnológico, mas metódico: colocar no mercado produtos com vulnerabilidades tão graves equivale a vender carros que não travam mesmo em caso de chuva normal. Como esse problema pode ter sido negligenciado em pesquisa, design e desenvolvimento?”.
Quem são os alvos mais sensíveis e como eles podem se proteger?
“Qualquer um, porque as operações de cibercrime, vamos lá malwares al Phishing que são os mais difundidos, jogam em grandes números. Bilhões de pessoas são atingidas, talvez sem atingir ninguém em particular, esperando que alguém caia nessa. Obviamente, os idosos estão em risco, mas paradoxalmente também os jovens que usam muito mais ferramentas eletrônicas e, apesar de terem mais experiência no uso prático, muitas vezes prestam pouca atenção porque são menos propensos à desconfiança e à reflexão antes da ação. A dica é sempre baixar todas as atualizações disponíveis, desde o sistema operacional até o navegador, e depois saber mais. Isso também deve ser uma tarefa do público: é hora de o ensino de informática entrar nas escolas de forma permanente”.
O relatório da Clusit (Associação Italiana de Segurança da Informação) destaca que os riscos do cibercrime ainda estão ligados principalmente aos prejuízos econômicos que podem causar às vítimas. Quais são os vários tipos de riscos?
“Em 75% dos casos, os cibercriminosos visam suas vítimas com o objetivo de extorquir dinheiro. Apenas em pequena escala, no entanto, isso ocorre por meio de intrusão em sistemas de pagamento eletrônico, que são cada vez mais seguros hoje, enquanto na maioria das vezes são golpes perpetrados por e-mail, jogando com o engano. Por exemplo, relembro o caso do golpe nigeriano, mas também outros que viraram moda em 2017. Por isso insisto na necessidade de mais informações. Depois, há cyberbullying, danos à imagem, roubo de dados pessoais, roubo de identidade. E espionagem."
Aqui, em 2017, a ciberespionagem cresceu muito, chegando às manchetes com casos como o Russiagate: pode se tornar a nova fronteira do cibercrime?
“É difícil dizer se será uma nova tendência predominante. Certamente os casos conhecidos cresceram 126% em um ano, mesmo que ainda sejam numericamente poucos do total, embora muito importantes como o do Russiagate. No entanto, estou convicto de que a prática pode continuar a alastrar-se, não só no âmbito geopolítico, mas também no empresarial, como instrumento de concorrência desleal”.
Quem geralmente está por trás do hack?
“Organizações criminosas, de todo o mundo, que agora fazem dela uma fonte segura e substancial de renda. Depois os lobos solitários, e até mesmo alguns Estados, como a Rússia e a China, ainda que naturalmente o neguem”.
Voltando às falhas tecnológicas, que são as que podem favorecer o cibercrime: muitos acusam os grandes nomes do Vale do Silício de adotar uma atitude muito superficial sobre o assunto. Concordar?
“Eu não diria que há descaso absoluto, mas abordagens um pouco despreocupadas às vezes parecem existir, mesmo que a difusão massiva de equipamentos conectados traga o problema para dentro de casa não só dos grandes nomes do Vale do Silício, mas também de todas as empresas que criam ou solicitam a realização de produtos e serviços informáticos e telemáticos. Eles poderiam fazer mais? Definitivamente sim, mas acho que sim: há uma conscientização crescente, graças também à atenção da mídia que os casos contínuos que surgiram recentemente estão recebendo”.
Em vez disso, os dados do Clusit dizem que é precisamente a Europa que é vulnerável a ataques cibernéticos. Por que e como ele está tentando resolver o problema?
“Na Europa há mais vítimas, mas é normal, porque alguns países, incluindo a Itália, sofrem com um atraso histórico na informatização, em comparação com a América do Norte, mas não só. A informatização também significa cultura da informática, e nisso estamos atrasados, ainda que passos importantes estejam sendo dados. A legislação em discussão no Parlamento Europeu (denominada lei de cibersegurança) deverá fortalecer a ENISA, a Agência Europeia para a Segurança de Redes e Informação, e deverá conduzir a um quadro orgânico de certificações de segurança informática para produtos e serviços. É um bom passo."
É a Itália?
"Está ficando melhor. Em primeiro lugar, a atenção do público aumentou: o governo cessante aprovou o novo plano nacional de proteção cibernética e segurança da informação. As medidas mínimas de segurança de TIC para administrações públicas que a AgID (Agência para a Itália Digital) adotou nos últimos meses também estão indo bem. Sempre acreditei que a administração pública italiana é muito fragmentada em termos de organização de infraestruturas e aplicações de TI com consequente aumento de custos e riscos de TI. Em vez disso, penso que seria adequado centralizar a gestão de infraestruturas e aplicações para permitir racionalização, poupança de custos e maior segurança. De fato, não há dúvida de que apenas players que contam com economias de escala importantes conseguem investir adequadamente: basta pensar nas plataformas de computação em nuvem mais importantes do mundo, como o Dropbox. Nenhum indivíduo privado, freelancer ou mesmo qualquer PME ou grande empresa pode pagar investimentos tão maciços e contínuos em segurança. A terceirização e a agregação tornam os sistemas mais seguros e eficientes. De qualquer forma, o caminho é certo, mesmo que eu tema que os recursos possam acabar: são necessários bilhões para proteger a AP”.
Em vez disso, no nível corporativo?
“No high end, ou seja, entre as maiores empresas, acredito que a questão da segurança informática está agora na ordem do dia. As PMEs, por outro lado, estão ficando para trás. O tema é que os investimentos em segurança de TI são muito baixos: os gastos com TIC (Tecnologias de Informação e Comunicação) na Itália foram de 66 bilhões em 2016. O Politécnico de Milão estimou que desses 66 bilhões, menos de 1 bilhão foi destinado à segurança, ou seja, 1,5 % (0,05% do PIB): muito pouco. Afinal, quem de nós confiaria em nós para comprar um carro sabendo que o fabricante dedicou apenas um recurso em 100 para sua confiabilidade?”.
Por fim, uma provocação: falamos de atraso tecnológico, mesmo na Itália, mas às vezes é justamente a difusão da tecnologia em áreas cada vez mais amplas que determina um risco maior. De fato, o relatório Clusit também inclui o trabalho inteligente, a Internet das coisas e a Indústria 4.0 entre os fatores de perigo…
“É fisiológico, porque aumenta a superfície de ataque, mas a tecnologia não deve ser demonizada. É como se, para evitar acidentes de carro, voltássemos a andar de carruagem. Certamente cabe às empresas tornar os produtos cada vez mais seguros e cabe ao público definir regras e contribuir para a educação dos cidadãos. Mas infelizmente sempre haverá problemas, como em tudo: por descuido, ignorância, desinformação. Precisamos de cultura e compreensão dos riscos e, portanto, capacidade de perceber onde é melhor parar para o seu bem, mas também para o dos outros”.
