.
Opinião O setor de tecnologia está falhando em segurança cibernética. O gasto global com esse material é de US$ 190 bilhões por ano, um quarto do orçamento de defesa dos Estados Unidos. Isso não resultou em cerca de US$ 7 trilhões em danos cibercriminosos anuais. As pessoas gostam de dizer que os dias do Velho Oeste da internet acabaram, mas nesses números um cofre de banco de Dodge City de 1875 parece Fort Knox.
Onde está o xerife? Existem muitos posses; sem fim de empresas pequenas e grandes vendendo segurança pelo alqueire. Firewalls, scanners, heurísticos, intrínsecos, comportamentais, gerenciados, gerenciais, na nuvem, no local, você pode misturar e combinar as palavras-chave e comprar cada nova ideia. O que você não pode fazer é tornar seus sistemas seguros.
Se você quer uma aposta segura em segurança cibernética, é que as coisas não vão mudar tão cedo sem alguma mudança fundamental na forma como o mercado funciona – se é que 40 anos de falhas constantes podem ser considerados funcionando.
Temos tão poucos motivos para confiar no que está sendo oferecido ou naqueles que o oferecem. Várias histórias na semana passada mostram isso: a Apple, que faz uma grande aposta na segurança intrínseca da plataforma, está indo para o tribunal por ignorar o consentimento do usuário e coletar dados do aplicativo silenciosamente de qualquer maneira. A Microsoft, mesmo anunciando o extensão de sua plataforma de segurança para Linux, revela que se atrapalhou com os interruptores em sua infraestrutura de serviço e tirou o acesso crítico aos negócios de seus clientes. Esses são os figurões da cidade, mas não sabem atirar direito.
É quase como se não pudéssemos contar com o setor privado para nos proteger contra o crime. Adivinha só: nós nunca poderíamos e nunca iremos. O Estado tem que assumir esse papel – geralmente tarde, geralmente mal e geralmente contra a vontade daqueles que gostam que seus crimes sejam mantidos no setor privado, mas geralmente com melhor efeito do que as alternativas.
A governança pública e o policiamento do cibercrime são uma mistura. Depois de mais ou menos uma década de travessuras, a maioria das legislaturas chegou na década de 1990 a definir e proibir o uso indevido de computadores por pessoas não autorizadas. Se você for pego, há pelo menos um livro para jogar em você. É a captura que é o problema.
Agências estatais concentram-se em áreas onde a TI é usada para promover crimes mais tradicionais – drogas, extorsão, roubo organizado e lavagem de dinheiro internacional, todas essas coisas divertidas. Menos ainda o cibercrime que depende da capacidade característica da Internet de permitir que pequenos grupos operem em escala para cometer maldade centrada em dados e passar rapidamente de um alvo para outro. O policiamento eficaz aqui precisa replicar o que funciona no mundo físico: habitar os locais onde os crimes ocorrem, trabalhar com o consentimento da população em geral e tornar-se proficiente com as ferramentas, processos de pensamento e redes humanas dos criminosos.
Você confiaria à polícia – por extensão, ao estado – seus dados, pessoais ou corporativos? Um pouco problemático aí, especialmente com tantos governos constantemente insistindo em forçar padrões de criptografia abertos, quer você goste ou não. No entanto, essa é a acomodação que alcançamos com o estado ao longo de centenas de anos de serviços postais e telecomunicações da velha escola. Nós até consentimos com o aumento maciço em nossa superfície de vulnerabilidade legal que surge quando compramos um carro.
E há pontos em nossas vidas virtuais em que a confiança só precisa ser dada, se não na bondade inerente das organizações, mas pelo menos na capacidade de repreender qualquer contravenção. Mesmo com criptografia de ponta a ponta e sem ataques maliciosos ativos, seu ISP e provedores móveis sabem muito sobre você. Execute serviços na nuvem como uma organização ou use uma VPN como um indivíduo, e isso é muito mais confiança implícita.
Com atenção à transparência, responsabilidade e prestação de contas, a abordagem do estado para controlar o cibercrime seria muito mais eficaz. O cibercrime e seu controle são, no fundo, um problema de aquisição de dados e reconhecimento de padrões, como todas as investigações, e quanto mais você puder fazer de ambos, melhor poderá ser – e maiores serão os riscos de abuso.
Com que tipo de coleta automatizada de dados você consentiria, se conhecesse e confiasse no propósito, na natureza e nos limites disso? Se houvesse um sistema nacional de segurança de terminais, você aceitaria? Como você decidiria? São questões muito difíceis que vão ao cerne do contrato social, mas é uma conversa que teremos que ter conosco e com os políticos.
A criminalidade não acabou quando o Velho Oeste conquistou seu estado de direito, e nunca conseguimos a polícia que realmente queremos, apenas aquela que podemos tolerar. Sabemos que não podemos tolerar a segurança cibernética que exige um investimento do tamanho do orçamento de defesa em troca de uma onda global de crimes. Precisamos de um xerife melhor: vamos fazer a descrição do cargo. ®
.
