.
Opinião Algumas ideias funcionam melhor que outras. Tomemos como exemplo a DARPA, a Agência de Projetos de Pesquisa Avançada de Defesa dos EUA. Lançado pelo presidente dos EUA, Dwight Eisenhower, em 1957, em resposta ao Sputnik, a sua função é criar e testar conceitos que possam ser úteis para frustrar os inimigos. Ao longo do caminho, ajudou a criar GPS, satélites meteorológicos, tecnologia de PC e algo chamado Internet.
O atual presidente do país, Joe Biden, roubou descaradamente a ideia da DARPA (só que sem o material mortal em favor da saúde) para modelar uma nova agência de pesquisa para ajudar a população humana a otimizar melhor os sacos de carne em que nascemos. Nasceu a ARPA-H.
ARPA-H é uma entidade fascinante; confira esta entrevista em vídeo com seu diretor inaugural. A sua missão é encontrar áreas da ciência e tecnologia da saúde que tenham potencial para causar um efeito grande e duradouro na população, mas que não tenham atraído a atenção comercial ou académica. Tendo encontrado de dez a 20 deles, o ARPA-H dá aos gerentes de projeto dinheiro, autonomia e apoio e aperta o botão Iniciar. A ideia é criar algo que possa sobreviver na natureza, atraindo investimentos suficientes para concretizar a ideia inicial.
Isto não se limita de forma alguma ao desenvolvimento de medicamentos ou tecnologia para os pacientes utilizadores finais, mas também à criação de ferramentas e quadros que possam acelerar esses desenvolvimentos em todos os níveis. Se isso faz a saúde funcionar melhor e ninguém ainda está fazendo isso, então está à disposição – certamente incluindo a segurança cibernética. Afinal, há anos que isso adoece os profissionais de TI da saúde.
O recentemente anunciado projeto UPGRADE é, no fundo, uma fera automatizada de desenvolvimento de segurança sobre-humana. Irá procurar vulnerabilidades e determinar quando aplicar correções, chegando mesmo a apresentar novas mitigações, tudo no contexto dos sistemas de saúde e da sua elevada sensibilidade a perturbações. Um dos principais componentes é o gêmeo digital, onde a estrutura faz experiências em uma imagem espelhada do sistema que está protegendo. Os gêmeos são muito populares na pesquisa médica, então isso é adequado.
Também é possível pensar no UPGRADE como o início da imunologia digital: as analogias médicas são populares na segurança cibernética, e por boas razões. Tal como o sistema imunitário humano, é desesperadamente necessário. Se funcionar um pouco, as suas aplicações fora do sector da saúde serão imediatas e óbvias. A imunidade coletiva, quando sistemas suficientes são protegidos para tornar improdutivos os ataques em desenvolvimento, seria uma coisa maravilhosa. Se isso funcionar.
Dada a dimensão e a importância do mercado potencial fora da saúde, para não mencionar o bem moral de isolar os criminosos na linha de comando, porque é que nenhum grupo comercial conseguiu ainda fazê-lo? Incontáveis bilhões fluem dentro de grandes empresas de tecnologia e de capital de risco. ARPA-H está iniciando o UPGRADE com US$ 50 milhões, o que é muito para os humanos, mas um erro de arredondamento na megabinge de IA da Microsoft ou na desconcertante caixa de óculos VR do Meta.
Uma das razões pelas quais ninguém havia investido muito dinheiro nisso é que nenhuma grande empresa de tecnologia se preocupa com a segurança, exceto com seus próprios serviços e produtos. As empresas que trabalham em diversas plataformas não têm recursos para se arriscar em projetos grandes e arriscados. O ARPA-H, por outro lado, foi projetado até para testar coisas que irão falhar. O progresso é construído sobre o fracasso, assim como a evolução é construída sobre a morte.
Na verdade, o UPGRADE enfrenta uma série de desafios que podem impossibilitar o seu caminho do conceito ao comércio. Veja a ideia do gêmeo digital; é muito poderoso e permite maneiras totalmente novas de testar de forma segura, automática e confiável. No entanto, criar um gêmeo digital de um ambiente complexo é difícil e acompanhar as mudanças é ainda mais difícil. Da mesma forma, aplicar patches automaticamente parece uma ideia muito boa, e é. Até você descobrir quão pouco apoio existe para fazer isso de forma consistente, muito menos testar e identificar a cascata de problemas que podem se seguir. Muitos dispositivos conectados em rede são caixas fechadas: você não pode espelhar o que não pode ver, muito menos consertar.
O que falta na imunologia digital é o que faz com que os sistemas imunológicos biológicos funcionem em primeiro lugar – componentes comuns e vias comuns. Há uma enorme diversidade nas criaturas vivas, mas uma enorme semelhança nos níveis celulares e internos. Os patógenos aproveitam isso para subverter a saúde do hospedeiro, enquanto o sistema imunológico do hospedeiro utiliza isso para implantar defesas comuns contra uma ampla gama de tais ameaças.
Isso está faltando em TI – ou melhor, embora haja um alto nível de designs similares fazendo trabalhos semelhantes, é muito difícil encontrá-lo em todos os produtos. Não existe uma API comum para patches e atualizações. Não existe uma linguagem de design comum para descrever o que qualquer coisa faz. Esse nível de visibilidade sistémica está totalmente ausente, tornando a salvaguarda e a gestão essenciais extremamente difíceis para humanos ou máquinas.
Assim, o UPGRADE será tão difícil de fazer funcionar quanto é desesperadamente necessário. Irá encontrar-se num ambiente hostil criado por uma indústria que não vê qualquer responsabilidade em torná-la melhor e não tem motivação para mudar.
É necessário mudá-lo, e para isso podemos recorrer a uma analogia final entre as criaturas de silício e de carbono – evolução e sobrevivência do mais apto. Mudanças no design que melhor correspondam a um ambiente modificado favorecem aqueles que podem mudar em detrimento daqueles que não podem.
Um modelo de software é muito mais fácil de mudar do que qualquer outro. A FOSS não espera permissão para mudar, nem o faz no interesse exclusivo dos motoristas comerciais. Está literalmente aberto à equipe UPGRADE pedir aos desenvolvedores de código aberto que ajudem a criar e adotar a linguagem de baixo nível de segurança sustentável. É claro que o sistema terá de funcionar com a realidade de hoje, mas também ajudará a moldar essa realidade.
Se um dispositivo ou serviço for inerentemente mais seguro num ambiente de segurança automatizado do que a sua concorrência, é muito preferível. A coevolução é uma ideia muito poderosa e o código aberto é especialmente adequado para a dança. Não seria a primeira vez que as regras do jogo seriam alteradas, e a segurança cibernética precisa desesperadamente dessa mudança. ®
.
