Verdade, de acordo com as notícias da manhã de ontem? Falso, de acordo com a negação divulgada diretamente pelos assistentes de computador de Sogei ontem à tarde? O alegado ataque hacker à Receita Federal, com o habitual ritual de ameaças para divulgar dados roubados na ausência de um resgate substancial, é mais um parafuso na segurança dos grandes sistemas informáticos que hoje possuem a essência das nossas vidas. Acontece, desnecessário negá-lo. Mesmo os grandes abaixam a cabeça e pagam, dizem os especialistas. Como isso pode acontecer? Mesmo um sistema teoricamente superprotegido como o da torre de controle fiscal italiana, criado e gerenciado pela Sogei, um estimado gigante público de TI, pode ser vulnerável? Corrado Giustozzi, um dos principais especialistas italianos em segurança cibernética, jornalista, escritor, divulgador, pioneiro das primeiras soluções integradas no mundo da web, responde ao FIRSTonline.
Algum sistema de computador está exposto ou alguém pode se considerar seguro?
A verdade é que todos os sistemas de computador estão expostos a um ataque. Seu nível de segurança só pode ser relativo. Se eu tiver que me defender de um colega de trabalho, as barreiras podem ser relativamente baixas, se um serviço secreto estiver nos atacando, as barreiras devem ser muito maiores. Aqui também está a eterna luta entre tecnologias de ataque e defesa cada vez mais sofisticadas. Nada é certo, até porque há um fator oculto que não é facilmente controlável: o erro humano. O problema muitas vezes está nas pessoas, nos comportamentos, no descuido que abre brechas. Não estou falando do problema específico do ataque à Receita Federal, real ou presumido. Quem se defende está sempre em desvantagem.
Como está a Receita Federal?
É verdade o que eu disse. O carro é sofisticado. É administrado nos melhores níveis. Mas isso não é suficiente para mantê-lo a salvo de qualquer possível ataque.
Existem exemplos a seguir para aumentar os níveis de segurança de qualquer maneira?
Difícil de responder. Pensemos nas grandes instituições que tratam de segurança e descobrimos que mesmo esses assuntos considerados inatacáveis na verdade não sabem. Um exemplo? Há alguns anos uma organização criminosa, porque é disso que se trata e considero impróprio chamá-los de hackers, violou o site da CIA roubando dados e aplicativos que foram usados até para desenvolver novos malwares.
O que mais pode ou deve ser feito para se defender, pelo menos conter o risco?
É uma questão de encontrar o melhor compromisso entre necessidades e escolhas também muito diferentes entre si. Pensemos no que aconteceu e está a acontecer nas administrações locais e nas suas relações com a administração pública: há receios de que os pequenos municípios não consigam gerir os seus sistemas informáticos e há planos para centralizar a gestão dos seus recursos em alguns centros nacionais para melhor controlá-los e protegê-los. Mas aqui está o outro lado: todos os dados são centralizados em alguns lugares. Resumindo, todos os ovos na mesma cesta. Com o resultado de criar uma via preferencial para quem deseja atacar esses sistemas, que podem se concentrar em poucos grandes núcleos mesmo que teoricamente melhor protegidos.
É melhor voltar a parcelar os recursos de TI?
Não. Este é precisamente o exemplo do melhor compromisso, em todo o caso não decisivo: centralizar é o mal menor, ainda que não seja a solução perfeita.
Nunca pague, recomendam as autoridades. Mas, no caso de um ataque, muitos cedem, talvez negando ter feito isso. Como podemos ter certeza de que as vítimas não pagarão o resgate, talvez disfarçando-o como um conselho para limpar os sistemas de hackers?
Problema gigantesco, que tem óbvias analogias com o dos sequestros. Com a diferença que aqui é realmente difícil verificar se o resgate dos dados roubados foi pago ou não. Existem carteiras de bitcoin, triangulações, justamente o mascaramento com consultoria de desinfecção. Nos tempos quentes dos sequestros, foi aprovada uma lei sobre o congelamento de bens como forma de dissuadir o grande negócio dos sequestros. Alguns estão pedindo um padrão semelhante para o setor de dados de computador. Receio que seja difícil de implementar. Como bloquear os fundos de uma grande empresa sem imobilizá-la? Eu colocaria o problema de outra forma: pagar o resgate é o último recurso e, em todo caso, não se deve estar despreparado para essa eventualidade. Uma eventualidade que deve no entanto ser tida em conta. Um pouco como acontece, por exemplo, na prevenção de incêndios. Porque muitas vezes as práticas param na prevenção e não na preparação e planejamento dos comportamentos a serem adotados no caso de um ataque bem-sucedido. E aqui as orientações são conhecidas mas nem todos as aplicam com o devido cuidado, a começar por uma estratégia eficaz e contínua de backup de dados. O que permite que seja restaurado a qualquer hora e em qualquer lugar. Assim os dados são salvos, porém seguros. Claro que permanece o problema da difusão por parte de quem os roubou, que é a técnica utilizada pelos criminosos nos últimos casos de roubo.
Precisamente. O que fazer?
A única medida de segurança viável é o uso da criptografia, operação nada simples e invocada apressadamente por muitos como uma panaceia. Aqui também, a segurança está longe de ser garantida. Se o disco rígido for roubado naquele momento, se bem criptografado é praticamente inviolável. Mas se eles roubam dados que são criptografados em sua fase operacional junto com sua chave de criptografia, o que é frequentemente o caso, a segurança não é garantida de forma alguma.
