A cibersegurança está em foco! De acordo com o último levantamento do Gartner sobre o tema, os gastos globais com segurança e gerenciamento de riscos representarão cerca de US$ 215 bilhões em 2024. Além disso, a “privacidade de dados e a segurança de nuvem” continuarão como destaques nas organizações, registrando taxas de crescimento de mais de 24% ao longo do ano.
Porém, à medida que os recursos investidos na área são potencializados e as regulamentações de ética e privacidade de dados são aprimoradas, o universo das ameaças, vulnerabilidades e ciberataques também se sofistica.
Sabendo da complexidade desse cenário e da necessidade de discutir a cibersegurança para além do óbvio, a ESR convidou Fabio Wladimir Monteiro Maia, principal technical manager no CESAR School, e Francisco Marcelo Marques Lima, especialista da ESR/RNP, para debaterem as principais questões sobre cibersegurança em TI.
Confira, abaixo, 4 aspectos relevantes abordados nesse novo webinar gratuito. Boa leitura!
4 perguntas sobre cibersegurança que você precisa desvendar agora!
1) Criptografia quântica vs criptografia tradicional: qual a relação entre elas?
De acordo com Fabio Wladimir Monteiro Maia, o termo “criptografia quântica” descreve outro paradigma de computação, diferente do clássico e tradicionalmente usado. É o chamado paradigma de computação quântica, pautado em um princípio físico de funcionamento dos computadores.
Enquanto os computadores clássicos operam de acordo com a física e o eletromagnetismo clássicos, os computadores quânticos são projetados para explorar fenômenos quânticos que não ocorrem dentro da primeira dinâmica, assim, há sempre uma incerteza que demanda observação. Antes dessa etapa, o sistema encontra-se em um estado de sobreposição, no qual ele não é nem uma coisa nem outra, caso das hipóteses de emaranhamento de kubits.
A aplicação foi prevista inicialmente na década de 1980, quando se refletiu sobre a possibilidade de a física quântica ser utilizada de uma forma diferente no âmbito da computação e do processamento.
Dessa maneira, a computação quântica como se desenvolveu desde então refere-se ao potencial de aceleração das computações “tradicionais”. Ou seja, uma computação com necessidade “x” de processamento na abordagem clássica passa a demandar um esforço computacional muito menor em um sistema quântico, e é exatamente esse motivo que liga o termo aos estudos das criptografias!
Sabe-se que a criptografia moderna é baseada na dificuldade inerente à resolução de determinados problemas. O que garante que criptografias assimétricas, que fazem uso de chaves públicas e privadas, sejam dotadas de segurança é justamente a existência de alguns problemas matemáticos de alto grau de complexidade, como o logaritmo discreto, a fatoração de números inteiros e o problema do isomorfismo de curvas elípticas (ECDLP).
Os sistemas de criptografia Rivest-Shamir-Adleman (RSA), por exemplo, são seguros porque se baseiam na dificuldade de fatorar o produto de dois números primos muito grandes. A operação de potenciação utilizada na criptografia RSA é fácil de realizar, mas a operação inversa, que é a fatoração do número resultante, é considerada computacionalmente difícil, com chaves acima de 3.072 bits.
Quando uma nova forma computacional se estabelece, capaz de acelerar a dinâmica de resolução de problemas densos da computação clássica, tal qual a computação quântica, há também uma ameaça clara ao paradigma da criptografia moderna. Em outras palavras, a criptografia quântica coloca em risco algoritmos de autenticação e algoritmos de cifragem (os que protegem conteúdos de terceiros não autorizados), entre outros. Afinal, toda a internet e a segurança desse espaço baseiam-se em algoritmos criptográficos clássicos, que dependem de problemas matemáticos complexos serem resolvidos computacionalmente.
Com o aperfeiçoamento de uma computação que transforma diversos problemas digitais difíceis em questões simples, surge também a possibilidade de quebra de toda a criptografia associada à internet. Entretanto, mesmo que o contexto pareça preocupante, Fabio faz ressalvas quanto ao alarmismo relacionado com a pauta. Segundo o profissional, alguns conceitos sobre computação quântica ainda são difundidos erroneamente no meio digital, contribuindo para uma noção sensacionalista de sua abrangência a aplicabilidade. É o caso dos abaixo descritos:
- A computação quântica não acelera nenhum tipo de computação. Ela explora determinadas estruturas em um problema específico a ser resolvido. Por exemplo, as funções de hash, as quais são feitas executando várias vezes a função de embaralhamento de bits, representam operações matemáticas que não se traduzem em vantagem na lógica da computação quântica. Portanto, o que se tem no mundo fático é que o problema matemático a ser resolvido na computação quântica precisa ter certas características para realmente ser acelerado. Inclusive, tal demanda por elementos específicos capazes de ser combinados com computação quântica é o que forma a base da criptografia pós-quântica, responsável por desenvolver algoritmos criptográficos com uma estrutura matemática que não dá nenhuma vantagem à computação quântica.
- Os computadores quânticos existentes hoje em dia, como os da IBM, da Microsoft e do Google, possuem uma quantidade de kubits (bits na computação quântica) extremamente baixa. Isso ocorre, principalmente, por causa da dificuldade de estabilização de sistemas com números expressivos desses bits. Um paper recente observou que, para que um sistema RSA possa ser quebrado em um modelo de computação quântica em oito horas, são necessários, aproximadamente, 20 milhões de kubits, número muito superior ao recorde encontrado no mundo atual.
- À medida que a computação avança, os algoritmos também mudam, são atualizados e se tornam mais complexos, dificultando a aplicabilidade da computação quântica. A criptografia mais moderna dos dias de hoje, por exemplo, utiliza curvas elípticas, o que exige ainda mais kubits para um processamento quântico.
- A maioria dos projetos de criptomoedas, como o Ethereum, assume um compromisso de atuar por meio de um algoritmo mais moderno. Assim, a cada revisão e a cada ciclo, aumenta-se o tamanho da chave, o tamanho do algoritmo etc. É o caso também de algumas blockchains que já utilizam um algoritmo pós-quântico.
Tudo isso contribui para que o cenário da implementação prática da computação quântica e da possível desestabilização da criptografia clássica seja mitigado.
2) O que significa supremacia quântica?
O termo é utilizado quando uma tarefa comumente realizada com maior esforço no computador clássico é executada em tempo recorde no sistema computacional quântico. Trata-se, portanto, da demonstração e comprovação de que um mesmo problema resolvido em questão de horas em um sistema quântico exige muito mais tempo para ser solucionado em um computador clássico. Nessa ocasião, há uma validação da supremacia quântica em relação àquele problema específico. Entretanto, muitas vezes, os problemas comprovados nessas demonstrações são artificiais, viciando seu resultado.
Além disso, quando o estudo de demonstração é publicado, é comum que o argumento da supremacia quântica sobre determinado problema seja superado por algum outro pesquisador, que comprova ser viável a resolução do desafio, em tempo adequado, por meio da lógica clássica e de um algoritmo clássico desconhecido até então.
3) Como podemos enxergar a inteligência artificial em uso nas organizações, principalmente quando falamos de segurança da informação?
A inteligência artificial (IA) representa um fenômeno não só de tecnologia como também de mídia, sobretudo por causa da publicização do ChatGPT.
Com os novos contornos da transformação digital acelerada, profissionais de TI preveem que a IA generativa (a que produz conteúdo) seja capaz de transformar visceralmente a sociedade já nos próximos meses.
Embora tal popularização tenha ganhado força recentemente, os profissionais Fabio Monteiro Maia e Francisco Marcelo Lima destacam que a ferramenta já está presente há bastante tempo nas organizações, como nas análises de e-mail, que utilizam princípios de IA para fazer a detecção de spam. Ou seja, a IA, que já fazia parte da rotina dos especialistas em TI, agora será ainda mais empregada nesse ambiente, seja na perspectiva defensiva, seja no lado ofensivo, sendo o último o que mais tem se destacado.
Segundo os especialistas, a associação IA generativa + abordagens digitais ofensivas pode ocasionar o crescimento de ataques de engenharia social (aqueles capazes de hackear o próprio ser humano), visto que a tecnologia automatiza essa tarefa.
Até então, a engenharia social demandava a ação, a configuração e o gerenciamento humano contínuo. Com o advento da IA, essa lógica se altera e passa a viabilizar uma possível automatização da geração de golpes e ameaças e torná-los ainda mais específicos.
Os phishings direcionados, por exemplo, podem ser produzidos automaticamente, em escala industrial. Há também a previsão do aumento de chamadas telefônicas com áudios sintéticos, da propagação da deep fake, entre outros modelos de ataque.
Nesse contexto, pelo menos por enquanto, nota-se que o uso da IA prevalece no lado ofensivo. No defensivo, o desenvolvimento da IA ainda é direcionado para ferramentas de correlacionamento de evento, análise de logs, análise de tráfego de redes e detecção de intrusão. Porém, é preciso equilibrar essas forças e direcionar a IA generativa para o combate da sofisticação dos cibercrimes.
O que os especialistas do webinar ESR defendem é que, em breve, a IA será utilizada não só como um copilot para o invasor, como também representará um copilot para quem está preocupado com a segurança.
Nas mãos de quem tem bons fundamentos e experiência de mercado, a IA é uma excelente ferramenta!
4) Qual o risco da IOT dentro das organizações?
A internet das coisas (IoT) é uma pauta intrincada, pois, ao mesmo tempo que viabiliza ambientes inteligentes, integrados, dinâmicos e que facilitam a vida do usuário, também trata de dispositivos bastante frágeis em relação à cibersegurança.
Normalmente, os dispositivos de IoT têm baixo poder de processamento, e por possuírem recursos limitados de computação, refletem um desafio bastante robusto para a criptografia.
Os algoritmos criptográficos implantados em IoT são simples, pouco efetivos ou até inexistentes. Esse cenário é agravado quando observamos a quantidade de dispositivos IoT espalhados pelas redes em detrimento do número de artefatos computacionais disponíveis.
A equação posiciona os dispositivos IoT como vulneráveis, a exemplo dos aparelhos de ar-condicionado. Assim como muitos equipamentos industriais, os ares-condicionados não eram ligados à internet, dando ênfase à confiabilidade, e não à segurança. Quando migraram para a rede, o desenvolvimento adequado de mecanismos de segurança não acompanhou a mudança. Além disso, uma grande parte de dispositivos IoT não conta com atualização de framework ou acesso a suporte, o que indica ainda mais sua fragilidade e risco.
5) Além da tecnologia, que medidas as empresas e os indivíduos podem tomar para promover uma cultura de segurança cibernética a longo prazo?
Em relação a esse tópico, Fabio e Francisco compilaram algumas dicas principais:
- Não postar excessivamente nas redes sociais ou não postar informações pessoais, visto que aquilo que foi uma vez compartilhado não tem garantia de que não será recompartilhado;
- Realizar treinamentos constantes sobre o assunto;
- Focar o desenvolvimento da normatização e dos avanços regulatórios;
- Priorizar a construção de sistemas que levem em consideração a privacidade. Atualmente, há um incentivo de coleta, disponibilização e uso negocial de dados. É necessário dar espaço aos modelos de negócio que são pautados na minimização de dados e maximização da privacidade.
___________________________________________
ESR: a melhor escolha para especialização em TI
Além das 5 perguntas sobre cibersegurança abordadas anteriormente, você pode conferir outras no bate-papo completo da ESR!
No webinar gratuito “Cibersegurança em foco: Construindo um futuro mais seguro”, os especialistas continuam debatendo outras nuances relevantes sobre o tema, tais quais:
- Como o mundo tem visto a cibersegurança em ambientes críticos, como nos hospitais?
- Como ocorre a especialização CESAR School e ESR?
Acesse o link e veja o evento on-line na íntegra!
✍️ Você também pode gostar: Conheça todos os cursos de TI disponibilizados pela ESR e escolha a sua próxima capacitação aqui!