169 views 13 mins

Metaverso: 4 perguntas que todo CISO precisa fazer

em Tecnologia
sexta-feira, 29 de abril de 2022

O metaverso está chegando – e mais cedo do que imaginamos. Segundo o Gartner, até 2026, um quarto das pessoas passará pelo menos uma hora por dia no metaverso, seja para trabalhar, fazer compras, estudar ou como forma de entretenimento.

David Fairman (*)

Essa é uma ótima notícia para as empresas, porque isso deve desbloquear novos modelos de negócios e formas de trabalho que agregarão valor de formas inimagináveis, transformando a interação das empresas com os clientes. 
Apesar disso, sob a perspectiva de segurança corporativa, este ambiente é um desafio. Hoje em dia, a maioria das empresas ainda luta para proteger os dados e a infraestrutura que possui. No mundo multidimensional, isto se tornará muito mais complexo.  
O metaverso ainda é um alvo em movimento. Estamos agora mais ou menos em uma fase semelhante ao ciclo de vida de desenvolvimento, como no início dos anos 1990 para a internet. Mas ao contrário dos anos 1990, hoje temos uma ideia muito melhor do tipo de ameaças que podem surgir em ecossistemas digitais poderosos, e isso significa que podemos nos preparar melhor para o que está por vir. A chave é começar agora, contando com o esforço de toda a indústria para discutir os desafios e mitigá-los antes que se tornem um problema. 
E quais serão os riscos do metaverso? Muitos já estarão familiarizados com os atuais desafios de segurança das organizações digitais. Este mundo paralelo trará desafios semelhantes, apenas adaptados às diferentes formas de envolvimento, interação e acesso que surgirão com os ambientes virtuais imersivos. Com isso em mente, acredito que há quatro perguntas-chave que todos os CISOs e equipes de tecnologia devem começar a fazer desde já. 
É possível proteger PII e outros dados sensíveis?  
É preciso assegurar as informações pessoais identificáveis (PII), e essa já é uma exigência premente para as empresas, graças às regulamentações de proteção de dados. 
O metaverso não altera as obrigações das empresas para proteger as PII, conforme estabelecido em leis. O que ele faz é aumentar exponencialmente a quantidade de informações pessoais e outros dados sensíveis, que as empresas coletam, armazenam e conseguem fornecer experiências metaversivas. Muitos desses dados virão de tecnologias que geram uma neblina digital e física que define o metaverso, como dispositivos biométricos, alto-falantes e microfones inteligentes e fones de ouvido de realidade virtual (VR). A governança dos dados, a segurança de endpoints e das redes e muito mais além disso serão muito mais importantes com o aumento de PII – e tais capacidades devem ser entregues de uma forma que não retarde o desempenho das redes. Afinal de contas, as pessoas perderiam rapidamente o interesse em um ambiente lento e desregulado. 

Como autenticar usuários? 
Outro desafio atual das tecnologias empresariais é como verificar a identidade das pessoas quando elas acessam serviços digitais sensíveis, como aplicações bancárias ou redes corporativas. Hoje isso é feito geralmente com a autenticação multifatorial, mas esta abordagem não funcionará, pois estamos entrando em um mundo de avatares que irão povoar ambientes 3D em tempo real. É impraticável que uma pessoa desista de sua sessão virtual e tire seu fone de ouvido para completar uma transação de autenticação no mundo real. Portanto, as empresas e organizações do setor público precisarão de maneiras infalíveis para ter certeza de que o avatar de uma pessoa está sendo controlado por essa pessoa, e que o avatar não foi falsificado. Como os usuários poderão saber se essa é realmente a outra pessoa com a qual esperam interagir, quando se parecem e agem igual ao avatar original? E como confiar no fluxo dessas identidades entre várias plataformas metaversivas ? 
Há várias formas de se fazer isso. Por exemplo, há uma série de abordagens emergentes que utilizam a biometria para construir uma linha de base de comportamentos e maneirismos do usuário que são tão exclusivos para indivíduos quanto as impressões digitais, e que podem ser usadas para alertar automaticamente as equipes de segurança caso o avatar de um usuário se comporte de forma anormal. Outras abordagens potenciais envolvem o uso do reconhecimento do padrão da íris para ligar um avatar único a um fone de ouvido individual de VR ou incorporar identificadores ÚNICOS codificados nos avatares para proteger contra falsificações. E ao longo da evolução dessa tecnologia, outros mecanismos e abordagens surgirão. 

Podemos proteger os usuários contra bullying, assédio e exploração? 
Hoje, as áreas mais sombrias das plataformas de mídias sociais estão inundadas de agressão, intimidação, assédio e exploração. Não há dúvidas que estas pragas afetarão também o metaverso – e como uma experiência 3D imersiva, os efeitos psicológicos desse comportamento provavelmente serão ainda mais devastadores para as vítimas. Os avatares são extensões do usuário e estão intrinsecamente ligados à identidade. Para muitas pessoas, uma experiência no metaverso será tão real quanto o que vive no dia a dia. E será ainda mais quando inovações como luvas e outros mecanismos tácteis trouxerem a sensação de toque ao metaverso.  
Mesmo nesta fase incipiente, estão surgindo desafios importantes. Por exemplo, após reclamações de usuárias sobre a plataforma Horizon Worlds, alegando que seus avatares foram apalpados, a Meta Platforms criou um “limite pessoal”, que coloca um escudo de quatro pés ao redor de seus avatares. Todas as empresas precisam considerar onde se encontram as fronteiras entre os mundos físico e virtual, a responsabilidade de cuidado que devem aos usuários e como equilibrar a segurança dos usuários com a usabilidade do metaverso. Mas e se houver vulnerabilidades no código e os limites puderem ser comprometidos? Que responsabilidade a empresa terá, caso este mecanismo de segurança falhe? 
Em última análise, a solução deste problema exigirá uma legislação clara em torno do que não é permitido nos reinos digitais, combinado à capacidade de policiar novas leis. Mas como isto deve acontecer? Quem será a autoridade central nestes ambientes que atravessam as fronteiras jurisdicionais entre plataformas? As empresas podem ajudar com suas próprias equipes moderadoras, como fazem agora para conteúdo abusivo em plataformas de mídias sociais. Além disso, como uma opinião do World Economic Forum estabelece, uma solução também será “encontrar maneiras de incentivar melhores comportamentos e talvez recompensar as interações positivas.” 

Como administrar as superfícies de ataque? 
É fato que o metaverso só aumenta o desafio de administrar a superfície de ataques, somado à tradicional preocupação com o aumento de dispositivos e dados.  Ele virá com uma ampla gama de hardware que será anexado às redes corporativas, cada uma vulnerável à sua própria maneira, e todas com necessidade de supervisão e gerenciamento de segurança.  
É uma verdade em termos de segurança que as pessoas são muitas vezes o elo mais fraco de uma empresa e, de fato, a engenharia social é responsável pela maioria dos ataques de sucesso. Em mundos imersivos e virtuais, a manipulação psicológica e a difusão de informações errôneas que os criminosos podem usar de várias maneiras nefastas se tornam mais fáceis. Por exemplo, o Metaverso da Sensorium Corp já foi usado para espalhar fake news sobre vacinas.   
Hoje, treinar as pessoas sobre as ameaças à segurança e como evitar cair nas armadilhas colocadas por nossos adversários é tão importante quanto colocar em prática proteções cibernéticas robustas. No futuro, é provável que esse tipo de treinamento inclua técnicas e programas de resiliência psicológica sobre como detectar comportamentos manipuladores ou coercitivos. Em todos os momentos, as pessoas devem se sentir apoiadas e capazes de relatar qualquer coisa que as deixem desconfortáveis.  

A segurança do metaverso começa agora  
As perguntas acima são apenas alguns dos desafios que virão e é bom ver que alguns de nós já estão falando sobre isso e ajudando a refletir sobre o assunto. Há muitos mais, como evitar o uso indevido de mundos virtuais por terroristas (bases de treinamento altamente eficazes para possíveis ataques) e combater esquemas de fraude que visam ativos virtuais. Mas os líderes não devem tomar nenhum desses fatores como motivo para não explorar a novidade.  
Não se enganem, o metaverso provavelmente terá um impacto tão grande no mundo quanto a Internet quando surgiu. As empresas que não se envolverem provavelmente terão dificuldades para competir nos próximos anos. Mas há uma necessidade urgente de reunir a indústria de segurança em um esforço colaborativo para discutir soluções para as diversas batalhas que estão por vir. Além disso, acredito que nós, profissionais de cibersegurança e risco digital, somos os mais equipados neste momento para conduzir nossas empresas nestes desafios e apoiamos a agenda digital – para organizações, indústrias e a sociedade em geral. Sabemos que será um ambiente difícil e complexo, mas podemos aproveitar e aplicar a expertise que já possuímos e temos algum tempo para nos preparar. Quanto mais questionamentos fizermos agora, maior será a chance de que o metaverso proporcione o máximo benefício com o mínimo de risco. 

(*) É CSO da Netskope para Ásia-Pacífico.