Portal O Debate
Grupo WhatsApp

A Sony, a criptografia e o cinto de segurança

A Sony, a criptografia e o cinto de segurança

14/05/2011 Divulgação

Em 2010, os EUA atingiram o menor número de mortes no trânsito por Km rodado desde que esse índice foi criado em 1950.

Contribuíram para essa redução de casualidades diversos fatores, dentre os quais se destacam os controles de segurança passiva, no que é fundamental o uso do cinto de segurança. No Brasil, desde a promulgação do Código de Trânsito Brasileiro, em 1998, pesquisas mostram a crescente adoção do uso do cinto de segurança pelos motoristas brasileiros, contribuindo para a redução de casualidades em nosso país.

A indústria automobilística é centenária e não começou a construir carros pensando em preservar a vida dos motoristas. Isso somente começou a ocorrer após os primeiros acidentes. Hoje, a indústria automobilística é um modelo no emprego de controles de segurança, na convocação de produtos defeituosos para conserto, no teste de colisão de seus produtos e, até mesmo, na padronização da comunicação com o mercado. Sabemos, é claro, que muito se deve à regulamentação e a legislação, que amadureceram junto com a indústria.

Por outro lado, a indústria de sistemas de informação está em sua infância ou talvez, sendo generoso, na sua pré-adolescência. Novos métodos e processos destrutivos ainda são desenvolvidos, novas tecnologia e novas ferramentas são lançadas anualmente, automatização de desenvolvimento e testes ainda está distante; mais distante ainda está a automatização de projetos e a padronização de controles de segurança.

Isso ainda é agravado, no caso específico do Brasil, com a ausência de leis para a proteção de informações particulares e a tipificação de crimes cometidos com o uso de computadores e sistemas de informação (crimes eletrônicos).

Mas o que a Sony e todos nós podemos aprender com a experiência da indústria automobilística?

Antes de tudo e principalmente, que um produto vendido para 50 milhões de pessoas que não protege os dados confidenciais dessas pessoas possui um “defeito de fábrica”.

Saiba que, após a análise pelo serviço secreto dos EUA de mais de 900 casos similares ocorridos nos últimos 6 anos, 84% deles foram considerados de “baixa dificuldade” pela ausência de controles adequados. Não será nenhuma surpresa se a causa do vazamento de dados da Sony for uma causa banal, corriqueira na vida de analistas de segurança. Para ilustrar, não será surpresa se a causa do vazamento for uma senha de administrador exposta em um arquivo em um servidor acessível via internet.

Quase 15 dias após o incidente, a Sony informou que tomará as seguintes medidas:

a) criará uma diretoria de segurança da informação, b) aperfeiçoará os sistemas de detecção e prevenção contra intrusão, c) implantará firewalls adicionais e d) aperfeiçoará o uso de criptografia.

Acerta a Sony agora, pois a criptografia é a técnica que deveria ter sido usada para proteger os dados que vazaram. Seu nome deriva do grego kryptós, "escondido", e gráphein, "escrita" e existem diversas formas de criptografia, usadas há mais de 3.000 anos. Uma das técnicas mais curiosas consistia em raspar a cabeça do mensageiro, tatuar a mensagem no couro cabeludo, esperar o cabelo crescer e enviar o mensageiro até o destino através de um país inimigo.

De lá para cá, a humanidade evoluiu muito e matemáticos desenvolveram técnicas muito mais sofisticadas para proteger informações. Essas técnicas ainda hoje são classificadas como tecnologia sensível, junto com armas e produtos químicos perigosos, e alguns países até mesmo proíbem o uso de criptografia por seus cidadãos.

No entanto, hoje, a internet popularizou o uso de criptografia. Por exemplo, nenhum acesso a banco via internet é feito sem o uso de criptografia, pois não seria seguro.

A criptografia é o mais importante controle passivo de segurança da era da informação. É como um cinto de segurança em um automóvel. Um carro pode ter airbags, mas se o motorista não usar o cinto de segurança, o airbag será inútil e, até mesmo, perigoso. Um sistema de informação pode ter muitos controles de segurança para proteger dados sensíveis, mas se não usar criptografia, eles podem se mostrar inúteis.

Não há justificativa técnica para que um sistema proteja o número do seu cartão de crédito, mas – por exemplo – não proteja o seu nome, endereço, estado civil, idade e escola de seus filhos. Apenas a ausência de obrigatoriedade pode explicar que exames médicos, dados telefônicos, dados judiciais, cadastros governamentais e similares sejam armazenados sem criptografia.

Espera-se que o exemplo da Sony sirva de alerta, pois a despeito da existência da norma internacional ISO27001 (chancelada pela ABNT) que regula como selecionar e implantar 133 controles de segurança, entre eles a criptografia de dados sensíveis, observamos um mercado mais focado em corrigir do que prevenir.

No entanto, a correção sempre custa mais caro. E pode custar muito caro neste caso em que vazaram dados de 77 milhões de clientes e os serviços estão suspensos há mais de 15 dias. Quem continuará recomendando o produto da Sony? O que vai pensar o cliente quando estiver comprando o seu próximo produto e for escolher entre Sony, Microsoft, Nintendo, Samsung, Apple?

* Dinamérico Schwingel - Mestre e Bacharel em Ciência da Computação, Certified Information Security Manager



Indulto x Interferência de Poderes

As leis, como de corriqueira sabença, obedecem a uma ordem hierárquica, assim escalonadas: – Norma fundamental; – Constituição Federal; – Lei; (Lei Complementar, Lei Ordinária, Lei Delegada, Medida Provisória, Decreto Legislativo e Resolução).


Você e seu time estão progredindo?

Em qualquer empreitada, pessoal, profissional ou de times, medir resultados é crucial.


Propaganda eleitoral antecipada

A propaganda para as eleições neste ano só é permitida a partir do dia 16 de agosto.


Amar a si mesmo como próximo

No documentário “Heal” (em Português, “Cura”), disponível no Amazon Prime, há um depoimento lancinante de Anita Moorjani, que, em Fevereiro de 2006 chegou ao final de uma luta de quatro anos contra o câncer.


O peso da improbidade no destino das pessoas

O homem já em tempos pré-históricos se reunia em volta das fogueiras onde foi aperfeiçoada a linguagem humana.


Mercado imobiliário: muito ainda para crescer

Em muitos países, a participação do mercado imobiliário no Produto Interno Bruto (PIB) está acima de 50%, enquanto no Brasil estamos com algo em torno de 10%.


Entender os números será requisito do mercado de trabalho

Trabalhar numa empresa e conhecer os seus setores faz parte da rotina de qualquer colaborador. Mas num futuro breve esse conhecimento será apenas parte dos requisitos.


Quais os sintomas da candidíase?

A candidíase é uma infecção causada por uma levedura (um tipo de fungo) chamada Candida albicans.


Entenda o visto humanitário para ucranianos

A invasão da Ucrânia pela Rússia, iniciada em 24 de fevereiro, já levou mais de 4 milhões de ucranianos a deixarem seu país em busca de um lugar seguro.


Exigência de vacina não é motivo para rescisão indireta por motivo ideológico

Não se discute mais que cabe ao empregador, no exercício de seu poder diretivo e disciplinar, zelar pelo meio ambiente de trabalho saudável.


A governança de riscos e gestão em fintechs

Em complemento às soluções e instituições financeiras já existentes, o mercado de crédito ficou muito mais democrático com a expansão das fintechs.


6 passos para evitar e mitigar os danos de ataques cibernéticos à sua empresa

Ao longo de 2021 o Brasil sofreu mais de 88,5 bilhões (sim, bilhões) de tentativas de ataques digitais, o que corresponde a um aumento de 950% em relação a 2020, segundo um levantamento da Fortinet.