Shawn Henry, que se prepara para deixar o FBI depois de mais de duas décadas na agência, disse numa entrevista ao The Wall Street Journal que a abordagem atual tanto do governo quanto do setor privado para defender-se de hackers é "insustentável''. Os criminosos cibernéticos são simplesmente muito talentosos e as medidas defensivas muito fracas para impedi-los, disse ele.
Seus comentários não foram dirigidos a uma legislação específica, mas foram feitos num momento em que o Congresso americano considera dois projetos de lei concorrentes, concebidos para reforçar as redes de empresas de infraestrutura crítica do país, tais como usinas de energia e reatores nucleares. Embora poucos especialistas em segurança cibernética discordem sobre a necessidade de melhorias de segurança, defensores da iniciativa privada têm argumentado que as novas regulamentações incluídas em um dos projetos de lei provavelmente não aumentarão a proteção das redes de computadores.
Henry, que está deixando o governo para trabalhar em uma firma de segurança cibernética em Washington, disse que as empresas precisam fazer grandes mudanças na maneira que usam suas redes de computadores para evitar maiores danos à segurança nacional e à economia. Muitas empresas, desde grandes multinacionais a pequenas firmas iniciantes, falham em reconhecer os riscos financeiros e legais que estão tomando — ou os custos em que provavelmente já incorreram sem saber — ao operar com redes vulneráveis, disse.
"Não vejo como nós sairemos dessa situação sem fazer mudanças na tecnologia e mudanças no comportamento, porque o modelo atual é insustentável. Insustentável porque você nunca avança, nunca se torna mais seguro, nunca têm uma expectativa razoável de privacidade ou segurança'', disse Henry.
James A. Lewis, pesquisador sênior sobre segurança cibernética do Centro de Estudos Estratégicos e Internacionais, disse que, por mais sombria que a avaliação de Henry possa parecer, "eu sou na verdade ainda mais pessimista. Acho que perdemos a batalha de entrada [contra os hackers]". Lewis diz que não acredita que exista nos EUA uma única rede de computadores não restrita que seja segura.
"Há uma espécie de desejo deliberado de não admitir como as coisas estão ruins, tanto no governo quanto, certamente, no setor privado, então dá para entender porque [Henry] se sente frustrado'', acrescentou.
A lista de vítimas famosas de hackers inclui a Sony Corp. Segundo a empresa, no ano passado hackers tiveram acesso a informações pessoais de 24,6 milhões de clientes de um serviço de jogos online da empresa — parte de um ataque maior à Sony que comprometeu dados de mais de 100 milhões de contas. A Nasdaq OMX Group Inc., operadora da bolsa eletrônica Nasdaq Stock Market, também admitiu no ano passado que hackers haviam invadido parte de uma rede do grupo: a Directors Desk, um serviço para os conselhos de administração das empresas comunicar e compartilhar documentos. Já a firma de segurança na internet HBGary Federal foi infiltrada pelo grupo de hackers Anonymous, que roubou dezenas de milhares de e-mails internos.
Henry teve um papel fundamental na expansão dos poderes de segurança cibernética do FBI. Em 2002, quando o órgão se reorganizou para alocar mais recursos à proteção de redes de computadores, o FBI tinha quase 1.500 casos de hacking.
Oito anos depois, o número de casos crescera para mais de 2.500.
Henry disse que os agentes do FBI estão cada vez mais topando com dados roubados de empresas cujos executivos sequer sabiam que seus sistemas haviam sido violados.
"Descobrimos seus dados no meio de outras investigações", disse. "É um choque para eles. Em muitos casos, a invasão vinha ocorrendo por meses, em alguns casos por anos, o que significa que um adversário havia tido total visibilidade de tudo que ocorria naquela rede, potencialmente".
Henry disse que, embora muitos executivos de empresas reconheçam a gravidade do problema, vários outros não — o que é motivo de frustração para ele. Mas, mesmo quando a empresa reforça as defesas, seus sistemas seguem sendo invadidos, disse. "Estamos jogando na defesa há tempo demais […]. Só é possível erguer uma cerca até certa altura, e o que estamos vendo é que o ataque ultrapassa a defesa, e que o ataque é melhor que a defesa ", disse ele.
Henry disse que uma empresa precisa mudar certas coisas para criar redes de computadores mais seguras. Segundo ele, os dados de maior valor simplesmente devem ser mantidos fora da rede. Henry citou o caso recente da invasão de uma empresa não identificada na qual, segundo ele, o equivalente a dez anos de pesquisa e desenvolvimento, no valor de mais de US$ 1 bilhão, foi roubado por hackers.
Ele acrescentou que empresas precisam fazer mais do que apenas reagir a invasões. "Em muitos casos, a habilidade do adversário é tamanha que [o invasor] simplesmente salta por cima da cerca, e [a empresa] nunca ouve o alarme disparar", disse. Empresas precisam "sair à caça dentro do perímetro da rede", acrescentou.
Por DEVLIN BARRETT
Nenhum comentário:
Postar um comentário