Extrair as promessas dos fornecedores não resolverá a segurança cibernética. Extrair dentes pode
Opinião Dizer que a segurança cibernética é muito boa é como dizer que as peças do Starliner da Boeing funcionam principalmente – é verdade, mas você ainda vai dormir no escritório. Além disso, é questionável se algum deles está melhorando.
Jen Easterly deveria saber. Como chefe da Agência de Segurança Cibernética e de Infraestrutura (CISA) do governo dos EUA, ela vê quando as coisas quebram, por que elas quebram e o que acontece depois. Ela está tão infeliz quanto um astronauta da ISS sentindo uma forte brisa. Como ela diza qualidade da segurança do software tem sido ruim, é ruim e continuará ruim até que fornecedores e clientes comecem a levá-la a sério.
Ela também diz que a indústria é culpada por dar aos cibercriminosos nomes legais de gangues e deveria, em vez disso, rotulá-los de Evil Ferrets e similares. Quem não gostaria de ser um Furão Maligno? Dê-lhes números longos e enfadonhos, como incidentes de segurança cibernética, e observe seus egos murcharem.
De volta à parte boa, Easterly diz que muitos fornecedores de software assinaram o compromisso de entregar produtos mensuravelmente melhores até o próximo ano, o que seria bom se algo acontecesse, caso não o fizessem. Seria ainda maior se algo acontecesse com as empresas que não se inscreveram. Aqui, Easterly sugere que a compra corporativa de software e serviços deve depender do cumprimento por parte dos fornecedores de tais compromissos.
Não é excessivamente cínico notar que, de vez em quando, nesta nossa grande indústria, as empresas de software fazem promessas que não cumprem. Às vezes, os departamentos de TI optam por acreditar nisso, não porque acham que se tornarão realidade, mas porque isso preenche uma caixa agora e proporciona uma transferência plausível de culpa mais tarde. Isto não é de forma alguma universal ou mesmo verdadeiro, mas protege os agentes do fracasso das consequências. Ninguém quer consertar as válvulas do propulsor. Quem sofre quando uma organização é atingida por ransomware? Ninguém nos fornecedores e ninguém na alta administração.
Promessas e intenções piedosas são aceitáveis, mas você pode dizer até que ponto a indústria realmente é séria observando o quanto ela está investindo em trabalho duro, suor duro e muita reflexão para resolver o problema. A CISA pode estar distribuindo folhas de figueira, mas onde estão os esforços de pesquisa e desenvolvimento intersetoriais? Quem está gastando tempo e dinheiro analisando exatamente por que a segurança cibernética é tão falha e quais são as falhas metodológicas que a mantêm assim?
Simplesmente não é visto como um problema real. Poderia ser feito se volts suficientes fossem aplicados nas partes traseiras direitas. Se as seguradoras se recusassem a cobrir não apenas as perdas comerciais decorrentes de seguranças instáveis, mas também não estendessem a cobertura se os padrões não pudessem ser comprovados em vigor. Padrões que incluíam responsabilidade contratual para fornecedores. Menos que uma regulamentação completa, mais que um exercício de desvio de culpa. Se as consequências doerem como arrancar dentes, a indústria responderá – e só assim.
Essa resposta obrigaria necessariamente toda a indústria a trabalhar em conjunto na partilha de dados, métodos de teste e até ferramentas de concepção e verificação para tornar a segurança cibernética uma disciplina de engenharia adequada. Existe até um modelo de como isso pode funcionar, em uma parte da tecnologia onde as consequências são impossíveis de evitar: os semicondutores.
Vender milhões de peças físicas que não funcionam é infinitamente mais doloroso do que enviar software desleixado. Um fabricante de chips terá muita sorte se conseguir lançar um patch de firmware que melhore as coisas. Caso contrário, ela terá que lidar com as empresas clientes para recall ou reparo, mesmo supondo que isso seja possível. É por isso que cada etapa da produção de chips é projetada, validada e examinada até os limites do possível, gerando terabytes de dados para análise intensa – um cenário que não é familiar às empresas de software.
Mesmo isso não é suficiente. À medida que mais e mais dispositivos são construídos a partir de chips de diferentes fundições de silício, a validação da peça final forçou uma cooperação sem precedentes entre concorrentes tradicionais. Isto foi muito além dos compromissos e da piedade, com a adoção de novas ferramentas, protocolos e processos. Quer ver os LLMs fazendo uma diferença real em um setor que precisa deles? Aqui você vai.
Ninguém está dizendo que tornar o software seguro está no mesmo nível de dificuldade que enviar peças de bilhões de transistores que absolutamente devem funcionar, ou que há muita sobreposição em qualquer um dos detalhes de qualquer um dos empreendimentos. Mas é a prova de que a criação de regras de concepção e regimes de testes para sistemas extremamente complexos está ao nosso alcance quando as consequências de não o fazer são suficientemente assustadoras.
A segurança cibernética não parece tão assustadora, o que é ainda mais assustadora. Se a guerra cibernética, os ataques à infraestrutura, os dados roubados de milhões de indivíduos e os bilhões extorquidos todos os anos não forem suficientes, então – horror dos horrores – os pacotes de bônus do C Suite devem estar em jogo. É tão crítico.
Não se sabe como seria uma indústria de software reformada verdadeiramente comprometida com a segurança cibernética. Teria que estar aberto a pequenas startups e de código aberto, comprometido com pesquisa e inovação contínuas e ter o tipo de honestidade que a realidade exige. Um milagre com certeza, apenas um que sabemos que podemos fazer. Vamos encontrar um eletrodo grande o suficiente para que isso aconteça. ®
