Contribuíram para essa redução de casualidades diversos fatores, dentre os quais se destacam os controles de segurança passiva, no que é fundamental o uso do cinto de segurança. No Brasil, desde a promulgação do Código de Trânsito Brasileiro, em 1998, pesquisas mostram a crescente adoção do uso do cinto de segurança pelos motoristas brasileiros, contribuindo para a redução de casualidades em nosso país.

A indústria automobilística é centenária e não começou a construir carros pensando em preservar a vida dos motoristas. Isso somente começou a ocorrer após os primeiros acidentes. Hoje, a indústria automobilística é um modelo no emprego de controles de segurança, na convocação de produtos defeituosos para conserto, no teste de colisão de seus produtos e, até mesmo, na padronização da comunicação com o mercado. Sabemos, é claro, que muito se deve à regulamentação e a legislação, que amadureceram junto com a indústria.

Por outro lado, a indústria de sistemas de informação está em sua infância ou talvez, sendo generoso, na sua pré-adolescência. Novos métodos e processos destrutivos ainda são desenvolvidos, novas tecnologia e novas ferramentas são lançadas anualmente, automatização de desenvolvimento e testes ainda está distante; mais distante ainda está a automatização de projetos e a padronização de controles de segurança.

Isso ainda é agravado, no caso específico do Brasil, com a ausência de leis para a proteção de informações particulares e a tipificação de crimes cometidos com o uso de computadores e sistemas de informação (crimes eletrônicos).

Mas o que a Sony e todos nós podemos aprender com a experiência da indústria automobilística?

Antes de tudo e principalmente, que um produto vendido para 50 milhões de pessoas que não protege os dados confidenciais dessas pessoas possui um “defeito de fábrica”.

Saiba que, após a análise pelo serviço secreto dos EUA de mais de 900 casos similares ocorridos nos últimos 6 anos, 84% deles foram considerados de “baixa dificuldade” pela ausência de controles adequados. Não será nenhuma surpresa se a causa do vazamento de dados da Sony for uma causa banal, corriqueira na vida de analistas de segurança. Para ilustrar, não será surpresa se a causa do vazamento for uma senha de administrador exposta em um arquivo em um servidor acessível via internet.

Quase 15 dias após o incidente, a Sony informou que tomará as seguintes medidas:

a) criará uma diretoria de segurança da informação, b) aperfeiçoará os sistemas de detecção e prevenção contra intrusão, c) implantará firewalls adicionais e d) aperfeiçoará o uso de criptografia.

Acerta a Sony agora, pois a criptografia é a técnica que deveria ter sido usada para proteger os dados que vazaram. Seu nome deriva do grego kryptós, "escondido", e gráphein, "escrita" e existem diversas formas de criptografia, usadas há mais de 3.000 anos. Uma das técnicas mais curiosas consistia em raspar a cabeça do mensageiro, tatuar a mensagem no couro cabeludo, esperar o cabelo crescer e enviar o mensageiro até o destino através de um país inimigo.

De lá para cá, a humanidade evoluiu muito e matemáticos desenvolveram técnicas muito mais sofisticadas para proteger informações. Essas técnicas ainda hoje são classificadas como tecnologia sensível, junto com armas e produtos químicos perigosos, e alguns países até mesmo proíbem o uso de criptografia por seus cidadãos.

No entanto, hoje, a internet popularizou o uso de criptografia. Por exemplo, nenhum acesso a banco via internet é feito sem o uso de criptografia, pois não seria seguro.

A criptografia é o mais importante controle passivo de segurança da era da informação. É como um cinto de segurança em um automóvel. Um carro pode ter airbags, mas se o motorista não usar o cinto de segurança, o airbag será inútil e, até mesmo, perigoso. Um sistema de informação pode ter muitos controles de segurança para proteger dados sensíveis, mas se não usar criptografia, eles podem se mostrar inúteis.

Não há justificativa técnica para que um sistema proteja o número do seu cartão de crédito, mas – por exemplo – não proteja o seu nome, endereço, estado civil, idade e escola de seus filhos. Apenas a ausência de obrigatoriedade pode explicar que exames médicos, dados telefônicos, dados judiciais, cadastros governamentais e similares sejam armazenados sem criptografia.

Espera-se que o exemplo da Sony sirva de alerta, pois a despeito da existência da norma internacional ISO27001 (chancelada pela ABNT) que regula como selecionar e implantar 133 controles de segurança, entre eles a criptografia de dados sensíveis, observamos um mercado mais focado em corrigir do que prevenir.

No entanto, a correção sempre custa mais caro. E pode custar muito caro neste caso em que vazaram dados de 77 milhões de clientes e os serviços estão suspensos há mais de 15 dias. Quem continuará recomendando o produto da Sony? O que vai pensar o cliente quando estiver comprando o seu próximo produto e for escolher entre Sony, Microsoft, Nintendo, Samsung, Apple?

* Dinamérico Schwingel - Mestre e Bacharel em Ciência da Computação, Certified Information Security Manager