.
CIBERUK O CTO do Centro Nacional de Segurança Cibernética (NCSC), Ollie Whitehouse, iniciou o segundo dia da festa anual do órgão de vigilância cibernética da Grã-Bretanha, CYBERUK, com um discurso inflamado sobre o mercado de tecnologia, desmontando-o para demonstrar por que ele acredita que é o responsável por muitos dos problemas de segurança da indústria está enfrentando hoje.
Num discurso e apelo à indústria, que ecoou muitos dos pontos defendidos pela diretora da CISA, Jen Easterly, na RSA, na semana passada, Whitehouse trovejou: “Sabemos como construir tecnologia ciber-resiliente. Se olharmos para CHERI, existe um mecanismo de abordar a segurança da memória e as bases de código legadas até a ferrugem e similares. Sabemos como fazer isso tecnicamente.
“O desafio é que temos realmente um problema de mercado e produzimos o nível de tecnologia ciber-resiliente que realmente queremos e que realmente precisamos. Então, temos que nos perguntar: por que isso não está sendo realizado na prática?”
Ele apontou para o aumento de cerca de 14 por cento nas vulnerabilidades divulgadas e registadas, aquelas de que as agências de inteligência têm conhecimento, isto é, para ilustrar o ponto.
“Sabemos que existem vários adversários que acumulam vulnerabilidades e não as divulgam da forma que desejamos, e este é um crescimento composto”, disse ele.
“Da mesma forma, a alegada eficácia de segurança das soluções não é concretizada na prática, seja numa solução isolada ou em operações. Temos reivindicações, não correspondendo à realidade.”
A presença de classes de vulnerabilidade com décadas de existência permeia o software até hoje, como a recente onda de bugs de travessia de caminho, mas elas não são atribuídas tanto ao desenvolvimento lento quanto à dívida tecnológica – que é apenas uma parte do mercado quebrado.
“Temos níveis de dívida técnica, níveis extremamente elevados nas organizações e na tecnologia em geral. E a vulnerabilidade quando é encontrada, essa dívida técnica é muitas vezes muito, muito superficial.”
Uma das principais questões em torno da dívida tecnológica é que, embora possamos medi-la, a indústria precisa de impor um custo de negligência aos fornecedores falidos, e não simplesmente permitir-lhes escapar a essa responsabilidade através dos seus termos e condições.
A ideia de responsabilizar os fornecedores desta forma e garantir que haja sanções significativas para falhas de segurança é um princípio fundamental do que seria uma reforma ideal do mercado, na opinião de Whitehouse, e é um princípio que a indústria mantém há anos.
Essa visão é, obviamente, a mesma dos seus homólogos da CISA. Na semana passada, na RSA, Easterly sugeriu que o governo federal deveria desempenhar um papel para garantir que os fornecedores enviassem produtos seguros.
Existe, claro, a possibilidade de que o dinheiro que os governos pagam pelo software não seja suficiente para ser uma alavanca suficientemente forte para a mudança.
Se um fornecedor pode se dar ao luxo de perder uma venda governamental e ao mesmo tempo manter sua infinidade de clientes existentes, nada o impedirá de simplesmente recuar e se recusar a fazer as mudanças que o setor precisa.
É aí que entra a legislação e, até certo ponto, a regulamentação. Se o ónus do custo da negligência for imputado aos fornecedores, então provavelmente terá de vir através do sistema jurídico. No entanto, o processo regulamentar e legislativo é muitas vezes demasiado lento para se adaptar às mudanças da indústria tecnológica.
Por outro lado, os fornecedores que demonstram proatividade na adoção de práticas de segurança melhoradas, como a segurança desde a conceção, devem ser incentivados a fazê-lo. Esses incentivos provavelmente se concentrarão na transparência em torno dos componentes de software e da dívida técnica, e na recompensa negativa de evitar punições por más práticas.
Esta discussão nem sequer aborda a sempre presente questão da segurança no software de código aberto, que é uma fera completamente diferente.
Fundamentalmente, o mercado no seu estado atual é impulsionado pelo valor e pelo custo, argumentou o CTO do NCSC. “Esse é o inimigo da segurança cibernética”, disse Whitehouse, e o custo é tudo na sala de reuniões.
A fadiga cibernética é comum entre os tomadores de decisão empresariais – muitos querem apenas poder investir uma quantia fixa, talvez em apenas alguns anos, e ter a segurança resolvida para sempre. É claro que não funciona assim, por isso é necessário que haja incentivos adequados para garantir que o foco na segurança seja mais uma maratona do que uma corrida.
Longe das atuais ameaças à segurança, que são muitas, há também uma onda de tecnologias interessantes no horizonte. Goste ou não, as interfaces homem-máquina estão a chegar, por exemplo, mas Whitehouse abordou esta questão de uma forma que questionou se a indústria da segurança está devidamente configurada para acolher essa tecnologia no mundo com segurança.
“Não temos um desafio tecnológico. Sabemos como construir tecnologia resiliente à segurança cibernética. Temos um desafio de mercado fundamental para fazê-lo. Portanto, a forma como incentivamos esse mercado a fazê-lo será responsabilidade de todos nós no próximo período, se conseguirmos quero finalmente vencer.” ®
.
