Há algum tempo, um post no blog da Errata Security chamou minha atenção. Com o sugestivo título de “Cyberspyes #2” (http://erratasec.blogspot.com/2009/04/cyberspies-2.html), o autor comentava sobre uma notícia falsa, uma barriga no jargão do jornalismo, publicada nos dias 8 e 9 de abril, sobre supostas invasões à rede de distribuição de energia elétrica dos Estados Unidos por espiões russos e chineses. A notícia saiu em midias importantes dos Estados Unidos: Wall Street Jornal, BBC News, Reuters e CNN. Como a característica principal da Internet é a velocidade da informação, comprometendo obviamente sua qualidade, a noticia foi replicada em diversos blogs e sites mundo afora. A revelação da barriga saiu da própria comunidade de segurança, incluso de profissionais independentes que são contratados para testar os sistemas de infraestrutura norte-americanos.
Notícias sobre invasões digitais e cyberwar saem a toda hora, há muitos anos. Algumas são verídicas, outras simplesmente alarmistas. Mas nessa história da suposta espionagem à rede elétrica dos Estados Unidos, o artigo mais interessante foi publicado ainda em abril no site do Economist (http://www.economist.com/opinion/displaystory.cfm?story_id=13527677). Nele o jornal discute a possível origem da notícia falsa: uma disputa interna entre diferentes órgãos de segurança interna dos Estados Unidos por espaço e fundos dentro do novo orçamento que o governo Obama irá definir para segurança digital. Caso o Economist esteja correto, essa versão é mais assutadora que a notícia de espionagem e vulnerabilidade da infraestrutura do país mais poderoso do mundo. Os próprios responsáveis pela segurança nacional estariam plantando notícias, e imagina-se o que mais, para desfrutar de mais poder e dinheiro.
Alguns dias antes desse fato, a CNN publicou um artigo sobre as vulnerabilidades do “Smart Grid”, a rede de distribuição elétrica inteligente, iniciativa criada para reduzir custos e aumentar e eficiência do sistema. O objetivo do Smart Grid, uma iniciativa em escala global, porém prioridade do governo dos Estados Unidos, é modernização das redes de transmissão e distribuição de energia através do emprego de uma série de equipamentos e software. O título do artigo “Smart Grid pode ser vulnerável a hackers” soa um tanto óbvio para especialistas de segurança, e possui um tom alarmista desnecessário. A modernização via o Smart Grid irá adicionar novas vulnerabilidades ao sistema que controla energia, seja qual for o país que o implemente, não porque seja ruim, mas porque qualquer sistema de informática ou transmissão de dados possui vulnerabilidades, tal qual redes de telefonia VoIP, internet banking e votação eletrônica. O fato desses sistemas possuirem vulnerabilidades não significa que não devam ser usados, e sim que devem ser implementados controles para mitigar o risco dessas delas serem exploradas. Alardear que a implantação deve ser retardada até que suas vulnerabilidades sejam sanadas não faz nenhum sentido. Se fôssemos seguir a regra não teriamos hoje em dia nem a web mais básica.
Então sempre é bom recordarnos de alguns conceitos elementares, que nunca ficarão obsoletos:
1. Qualquer sistema de informática possui vulnerabilidades
2. Qualque sistema possa ser invadido por alguém que possua conhecimento, acesso e motivação para tal. Não há sistema 100% seguro.
3. Risco é o resultado da equação vulnerabilidades x ameaças x valor do ativo. Portanto o aumento do nível de vulnerabilidades não significa que os riscos serão aumentados irremediavelmente. Novas vulnerabilidades são compensadas por controles que reduzem a exposição a ameaças.
4. Se o dito ativo ou sistema não possui valor, e não pode ser usado para invadir outros sistemas, esqueça. Não desperdice dinheiro com ele.
5. O guia dos investimentos deve ser o valor dos ativos. Identificando-se os ativos mais importantes deve-se atuar sobre vulnerabilidades e ameaças.
Esses fatos são uma boa oportunidade para procurar em nossas empresas ocorrências semelhantes. Boas idéias não devem ser descartadas somente porque possuem riscos. Estes devem ser tratados. É função da área de segurança procurar o equilibrio e indicar o caminho com menor risco para implementar a idéia. Normalmente boas idéias estão associadas a bons negócios e uma má implementação, não segura, pode simplesmente destrui-la. Assim a área de segurança se torna uma peça fundamental para os negócios de qualquer empresa: viabilizar seus negócios através de meios digitais. Qualquer coisa diferente disso é paranóia inútil. Por outro lado, ignorar a importância das medidas de mitigação de riscos, portanto da área de segurança, nos novos negócios e implementações, achando que as tecnologias tem a segurança nelas embutidas é achar que o mundo é cor de rosa. Pura inocência.
Uma das coisas que mais atrapalham a implementação bem sucedida de controles de segurança são as disputas entre departamentos, muito similar às disputas entre os órgãos do governo americano. Elas, além de nada ajudar, ainda pioram a situação porque ajudam a manter abertas vulnerabilidades que podem ser exploradas, as janelas de oportunidade dos hackers. O nível de segurança e vulnerabilidade deve ser divulgado como é, nem a mais, nem a menos. Esconder vulnerabilidades ajudam invasores, sejam programas ou pessoas, já que as falhas omitidas não são corrigidas. Disputas internas quase sempre levam a empresa a gastar onde não deve, com prioridades erradas.