0
0
As manchetes atuais nos lembram que a segurança importa, em todas as suas formas. O melhor para aqueles de nós na comunidade de cibersegurança é se as funções críticas de infraestrutura, as forças de defesa podem se comunicar, os cidadãos estão acessando informações verdadeiras e os fundamentos tecnológicos da segurança econômica e nacional podem ser confiáveis e estão disponíveis.
Os últimos 30 anos em cibersegurança foram caracterizados por duas forças opostas. Por um lado, há o desejo de impulsionar a segurança e a inovação na infraestrutura de informações. Por outro lado, há a caçada para encontrar vulnerabilidades e explorá-las por atividade criminosa ou interesse nacional.
Ao longo do caminho, desenvolvemos princípios, algumas regras e tentamos estimular as pessoas a adotar as melhores práticas. Estes incluem: Devemos assar segurança no produto no início; segurança é sobre pessoas, processos e tecnologia; a vantagem é com o ataque; defesa arquiteto em profundidade; usar uma abordagem de engenharia de sistemas para a segurança; e as empresas devem competir em segurança e privacidade.
Fazendo progressos
Samente, fizemos progressos no enfrentamento de muitos deles. Cada um deles é animado por vários fatos — a infraestrutura de informações é global; os produtos comerciais são construídos uma vez e vendidos globalmente; o mesmo produto comercial é utilizado pelos consumidores, infraestrutura crítica, governos e militares; e leis cibernéticas, regulamentos e parcerias público-privadas têm efeitos reais e globais.
Além da agora usual infinidade de propostas para melhorar o estado da segurança cibernética, várias propostas políticas envolvendo concorrência e afetando a segurança estão em análise. Como ex-executivo de cibersegurança e ex-chefe de gabinete da Divisão Antitruste do Departamento de Justiça, essas propostas de política de concorrência me chamaram a atenção.
Como antitruste, fico feliz em ver um foco na concorrência, que é fundamental para a economia. Como profissional de segurança, estou preocupado com as consequências não intencionais de algumas partes dessas propostas de política legislativa. Uma série de propostas de política de concorrência forçariam os produtores de telefonia móvel a permitir o download de aplicativos de celular não vetados em um dispositivo. Isso pode incluir aplicativos cheios de malware, projetados para obter e usar informações sobre você sem sua permissão, projetados para espioná-lo, roubar suas informações bancárias ou transformar seu telefone em um tijolo.
Permitir que aplicativos que não tenham sido examinados pelas lojas de aplicativos oficiais do telefone contornaria as verificações eficazes de segurança e privacidade de lojas de aplicativos técnicas e humanas agora em vigor para manter os consumidores, a infraestrutura crítica e os governos seguros. As lojas oficiais de aplicativos rejeitam mais de um milhão de aplicativos por ano e têm verificações e requisitos significativos de segurança e privacidade. Com 85% dos americanos usando smartphones, os benefícios de segurança documentados de apenas baixar de uma loja oficial de aplicativos (como indicado pelo DHS, NSA, NIST, GSA e agências cibernéticas globalmente), e a crescente onda de explorações de dispositivos que permitem esse “sideloading” de aplicativos, a consequência de segurança adversa não intencional desta política, se promulgada, é previsível, crítico, e evitável. Quaisquer que sejam as metas de política de concorrência que se possa tentar alcançar devem ser alcançadas sem prejudicar a segurança global.
As coisas não deveriam ser tão duras
Eu disse há muito tempo que você não deveria ser um oficial chefe de segurança da informação para usar a tecnologia; ele deve ser apenas seguro. Hoje em dia, mais de 75% dos incidentes de segurança surgem da engenharia social ou de um fator humano — somos enganados a clicar em um link que não deveríamos, ou enviar informações que não deveríamos, ou mudar uma configuração para deixar o bandido entrar. Dado que somos humanos, negar aplicativos não confiáveis o direito de viver em nossos dispositivos, em primeiro lugar faz sentido. Por causa dos maus atores de hoje, você não pode simplesmente alternar segurança dentro e fora – a experiência nos mostra que os bandidos realmente encontrarão uma maneira de enganá-lo para desligar a segurança (por exemplo, nas recentes campanhas criminosas FluBot e FakeSpy). As empresas não devem ser forçadas a baixar o nível de sua segurança.
Dado o interesse do governo em uma infraestrutura de informações segura, cabe às agências de segurança nacional compartilhar sua experiência com os formuladores de políticas sobre essas questões. Isso é particularmente verdade nesta situação, onde as empresas estão realmente fazendo o que todos nós pedimos para fazer: competir em segurança e privacidade. Estas não são questões triviais, e dado que esses produtos são usados em redes de consumo, infraestrutura crítica e militar, eles afetam tanto a segurança econômica quanto a nacional.
Assim, em tempos como estes, espero que tenhamos tempo para aplicar a “tela de segurança” necessária a todas as propostas políticas. Investigue os efeitos técnicos, práticos e reais do mercado e da segurança, e garanta que evitemos quaisquer consequências não intencionais — a segurança vital está em jogo.
FONTE: DARK READING