Por Fernando Martins, head of security, Natech
Muito há a corrigir pelo estimado legislador, no que se refere a segurança neste setor de negócio. Alguns temas nesse âmbito são quase um tabu sobre o qual “não se deve” falar, como revistas a pessoas e viaturas, especificações para sistemas de segurança, transporte de canábis, registo criminal, formação obrigatória, entre outros.
O que me traz a estas linhas hoje é a cibersegurança que, para este setor de negócio, continua a ser uma folha em branco. Não será esta uma atividade exposta de modo particular a este tipo de ameaça?
Muito honestamente, quem se dedica por vocação à segurança, de uma forma global, tem sempre dois ou três problemas que são uma constante:
- Ninguém nega a sua importância, mas nunca dão a importância devida;
- Os problemas só acontecem aos outros;
- No que foi, tanto quanto sei, o primeiro estudo (pelo menos mais estruturado) sobre cibercrime, data de 1999, através do Computer Security Institute (fundado em 1974!) em parceria com o gabinete de São Francisco (EUA) do FBI. O editor era Richard Power, do qual retive para sempre duas questões fundamentais. Primeiro, como havia a forte consciência de que ninguém, no mundo empresarial, queria assumir que tinha sofrido um ataque, Richard Power começava o seu questionário com a pergunta: “Que saiba, já sofreu algum ataque informático?”. Deste modo, quebrava o gelo dando espaço à continuação do estado de negação. Todos podiam dizer que não sabiam. Segundo, nas suas apresentações públicas acabava com a seguinte interrogação: “Isto é o que se sabe sobre hacking, os seus personagens e grupos organizados. Como será com quem se torne profissional e patrocinado por um Estado?”. Hoje já há muita informação sobre isso, e os Estados já divulgam que têm mesmo equipas especializadas no setor.
Outra referência enorme no setor, que faleceu recentemente, foi o Professor Ross Anderson. Do seu trabalho académico em (verdadeira) Engenharia de Segurança, nunca ouvi referência em Portugal. Professor Universitário em Cambridge e Edinburgh, publicou a primeira edição do seu livro sobre o tema em 2001. Sobre Segurança Física, a sua abordagem e estudo do fator do comportamento humano é fundamental para poder projetar qualquer modelo conceptual de um sistema de gestão de segurança.
Se este fator é determinante para a Segurança Física, na Segurança Lógica é a pura diferença entre o sucesso e o fracasso de um sistema de gestão de segurança, nomeadamente no seu aspeto holístico. Este aspeto trata a verdadeira integração de sistemas, que muitos continuam a ver apenas como interligação, o que é uma coisa completamente diferente.
1+1 ser igual a mais que 2 (o resultado de uma solução global ser superior à simples soma das suas partes), é algo que só se consegue na Segurança se for estudado o fator comportamento humano. Bem, o que tem a ver isto tudo com cibersegurança e segurança integrada neste setor de negócio? Logo por azar tem pessoas, matéria-prima e produto final que no mínimo desperta a curiosidade dos mais incautos, e onde abundam as oportunidades para ir por caminhos tortuosos. Correndo sempre o risco de estar completamente errado, diria que nunca como antes é necessário ter um modelo de segurança que inclua a componente física, a componente lógica e um outro tema tabu, as informações de segurança, nomeadamente sobre o fator humano.
Nunca uma ação errada esteve tão perto de um clique, de um humano, num computador ou telemóvel, das mais diferentes formas. Mas o problema não está apenas no utilizador final, nem na mais recente tecnologia de computação, ou nos fantásticos programas de integração de sistemas. O problema começa na comunicação entre as pessoas envolvidas num projeto destes. Por exemplo, quem sabe o que é um PSIM (Physical Security Information Management) sabe o que é um SIEM (Security Information and Event Management), e vice-versa? Será que ambos sabem que é a mesma coisa, mas em mundos diferentes, o Físico e o Lógico? Mas vamos supor que sabem, e que existe a tecnologia maravilhosa que integra as duas coisas. Quem for especialista em alguma destas ferramentas, sincera e humildemente peço ajuda para me explicarem onde tipicamente aí entram, de forma holística, as informações de segurança? Qual a ferramenta OSINT (Open Source Intelligence) que recolhe e analisa os dados de fontes abertas, que podem ajudar a projetar e manter um sistema de segurança? Há sequer algum trabalho de investigação, ou apenas palavras bonitas numa apresentação académica ou empresarial?
Utilizemos esta questão, no mais elementar sistema de segurança: anti-intrusão. Enquanto no mundo da segurança física se coloca sensores de movimento para detetar a presença humana, na segurança lógica compara-se padrões conhecidos de intrusão para detetar a tentativa de uso de um deles. Nenhum destes sistemas faz o que o outro faz. O primeiro porque não é alimentado com informação sobre os padrões de ameaça que se vão conhecendo, o segundo porque seria inconclusivo apenas detetar a presença de movimentos.
Na segurança corporativa, (num vulgarmente chamado alarme contra roubo), o simples detetor de intrusão está completamente ultrapassado em relação a outras tecnologias, como a análise de vídeo, enquanto (num vulgarmente chamado antivírus) um detetor de programas informáticos ofensivos é muito pouco para se efetivamente saber se houve uma intrusão, pois a presença digital de uma ameaça vai muito para além disso. Ambos tentam analisar o comportamento humano, sem que deste exista uma análise de informações de segurança sobre o mesmo. Até lá, boa sorte, que eu também preciso dela.
Toda a gente conhece bem os problemas e as soluções.
