Dean Coclin (*)
A pandemia tem perturbado nossas vidas de muitas maneiras diferentes, seja no aspecto pessoal, social ou empresarial. Agora contamos com a internet e muitas plataformas online para mantermos contato com nossa família, amigos, além da possibilidade de comprar serviços e produtos online. Para muitas empresas, a COVID-19 acelerou projetos de migração de sistemas para a nuvem e também de suporte ao trabalho remoto.
Com as organizações migrando para serviços online e oferecendo suporte a um número sem precedentes de funcionários trabalhando remotamente, a abordagem de perímetro tradicional e os modelos de segurança cibernética não são mais válidos. Essa abordagem assume que todos os dispositivos, serviços e usuários dentro de uma determinada área podem ser confiáveis, enquanto todos aqueles fora não são. No entanto, o limite agora, de fato, desapareceu.
Por outro lado, os brasileiros têm enfrentado casos graves de vazamento de dados e fraudes. O mais relevante foi o roubo de dados de 223 milhões de pessoas. Esse número é maior que a população do país, estimada em 212 milhões, pois inclui dados sobre os falecidos. As informações expostas incluem CPF, nome, sexo e data de nascimento, além de tabela com dados do veículo e lista de CNPJs. A fonte de dados ainda é desconhecida.
. IoT e confiança – Somando-se a esse desafio, está a revolução da Internet das Coisas (IoT), que apresenta uma miríade de problemas em relação à confiança nesses dispositivos. Agora temos TVs, luzes, carros e muito mais conectados à Internet. E essa lista de dispositivos conectados, inteligentes ou não, continue crescendo a cada dia. Alguns desses dispositivos IoT são conectados a ambientes corporativos: aquela smart TV na sala de reuniões, por exemplo.
Esses dispositivos, por sua vez, também são frequentemente conectados à plataforma do fornecedor para suporte, atualizações ou recursos de processamento adicionais. Portanto, de fato, nossos sistemas corporativos agora precisam confiar em um dispositivo de Internet das Coisas que, por sua vez, está conectado a uma plataforma de fornecedor fora de nosso perímetro e de nosso controle direto.
Além disso, nem todos os fornecedores de Internet das Coisas investem tempo ou esforço apropriado para criar segurança em seus produtos. Existem muitos exemplos de dispositivos com autenticação fraca, ou com credenciais padrão definidas neles ou, então, fornecedores não têm meios apropriados para atualizar os dispositivos de segurança. O crescimento das redes 5G suportará o crescimento dos dispositivos IoT, o que só agravará ainda mais esse problema.
. Indo além da tríade de segurança – Os três pilares padrão de segurança – confidencialidade, integridade e disponibilidade – precisam agora ter um quarto pilar. Esse pilar é a confiança. Como podemos confiar nos serviços online que usamos? Como podemos confiar nos sistemas que estamos acessando? Como podemos confiar no dispositivo que acessa nosso ambiente? E como podemos confiar nas atualizações, mensagens e outras interações que nossos computadores conduzem diariamente, muitas vezes em segundo plano e muitas vezes sem nossa intervenção?
A confiança não é algo que aparece magicamente. A confiança, por sua própria natureza, precisa ser desenvolvida e nutrida com o tempo. É construído com base em interações positivas e reforçado ao longo do tempo, repetindo essas interações positivas. No entanto, embora possa levar algum tempo para construir a confiança, essa confiança pode ser perdida rapidamente devido a uma má interação ou evento.
Em 1987, após a assinatura do Tratado de Forças Nucleares de Alcance Intermediário, o então presidente dos Estados Unidos, Ronald Reagan, quando questionado sobre como poderia ter certeza de que a União Soviética cumpriria o acordo, usou a frase “confie, mas verifique”. Esta frase, uma brincadeira com um antigo provérbio russo real, “Doveryai, no proveryai”, destaca que não se deve aceitar cegamente a confiança pelo valor de face, mas procurar evidências de apoio de que a confiança está sendo mantida.
. Certificados digitais é o caminho – Os certificados digitais são uma pedra fundamental na construção da confiança de que precisamos para conduzir nossa vida pessoal e empresarial de maneira segura. Os certificados digitais podem ajudar a proteger os dados em trânsito nas redes ou em repouso. Eles também podem fornecer um mecanismo forte para autenticar indivíduos e dispositivos, incluindo dispositivos IoT, em nossos sistemas para que possamos ter certeza de que estamos nos comunicando e nos conectando com aqueles em quem confiamos.
É importante observar que os certificados digitais por si só podem não ser suficientes para construir e manter os níveis de confiança exigidos. No passado, certificados digitais mal gerenciados e suas chaves associadas foram abusadas por agentes mal-intencionados. Os criminosos roubaram certificados de empresas confiáveis e os usaram para assinar digitalmente atualizações de software ou realizar outras atividades mal-intencionadas. Como qualquer ativo valioso, as chaves privadas de certificados digitais precisam ser protegidas de forma adequada.
No mundo pós-pandemia, continuaremos experimentando um aumento no número de pessoas e organizações que aproveitam o trabalho remoto, engajando-se no emprego de novas plataformas online e na implantação de dispositivos IoT em residências e escritórios. Isso levará a um aumento no número de certificados digitais que uma organização terá que gerenciar. Com a erosão do perímetro de segurança, esses certificados digitais precisarão ser emitidos, renovados, revogados e gerenciados continuamente para garantir sua integridade.
A escala e o volume absolutos de certificados digitais a serem gerenciados exigirão que as organizações empreguem soluções escalonáveis para gerenciar certificados digitais perfeitamente na nuvem privada ou pública, no local ou por meio de uma solução de gerenciamento hospedada pela CA. No mundo digital, precisamos construir confiança, mas precisamos ter plataformas escalonáveis e automatizadas para gerenciar e verificar essa confiança.
(*) – É Diretor Sênior de Desenvolvimento de Negócios da Digicert (www.digicert.com).
