0
0
Com o surgimento de modelos generativos e modelos de linguagem grande (LLMs) em particular, e o aumento meteórico da popularidade do ChatGPT , mais uma vez há pedidos por mais regulamentação de segurança.
Como esperado, a reação imediata a uma tecnologia nova e inexplorada é o medo, o que pode resultar em uma reação regulatória exagerada. Embora eu ache que a regulamentação de segurança tem seus méritos, devemos lembrar que ela nem sempre traz mais segurança. Aqui estão alguns exemplos de regulamentos relacionados à segurança que pareciam uma boa ideia no início, mas obtiveram o resultado oposto.
PCI-DSS é um padrão de segurança desenvolvido pela indústria de cartão de crédito que se aplica a qualquer pessoa que queira passar cartões de clientes ou, mais tecnicamente, a qualquer pessoa que armazene, processe e/ou transmita dados do titular do cartão. A versão 1.1 do padrão foi desenvolvida em 2006 e exigia um comprimento mínimo de senha de sete caracteres. Isso pode ter sido bom o suficiente na época, mas o hardware padrão de hoje é capaz de quebrar essas senhas em qualquer lugar, de alguns dias a menos de um segundo.
Em março de 2022, o padrão foi atualizado para um comprimento mínimo de 12 caracteres (ou, se um sistema não suportar 12 caracteres, um comprimento mínimo de oito caracteres). No entanto, esse requisito é apenas uma prática recomendada até que se torne obrigatório em 31 de março de 2025. Mas, embora 12 seja melhor que sete, isso também se tornará crackável nos próximos anos.
A regulamentação de segurança que é muito específica fica desatualizada muito rapidamente.
A desvantagem de um regulamento ser geral
O outro lado da especificidade – ou seja, a regulamentação que é muito geral – também pode ter um efeito prejudicial na segurança. O Regulamento Europeu Geral de Proteção de Dados (GDPR) vem à mente como um exemplo de tal caso. O GDPR visa proteger as informações pessoais. De acordo com o regulamento, dados pessoais são quaisquer informações que digam respeito a um indivíduo vivo identificado ou identificável. Como você pode ver, a definição de dados pessoais é muito ampla e abrangente. Já foi decidido pelo Tribunal de Justiça da União Europeia que os endereços IP constituem dados pessoais do usuário . Não é de admirar, portanto, que os departamentos de segurança estejam em uma batalha constante com os departamentos jurídicos sobre a questão de quais logs podem coletar para manter a organização segura.
Como qualquer profissional da equipe azul lhe dirá, os logs são cruciais para fornecer visibilidade do ambiente que estamos tentando proteger. Sem logs, ficamos cegos para atividades benignas e também maliciosas na rede. No entanto, se os logs podem conter informações pessoais de funcionários, clientes e fornecedores, vale a pena ser mais seguro sob o risco de ser multado em até 4% do faturamento global? Infelizmente, devido à amplitude dos regulamentos, as organizações ajustam suas respostas a essas questões principalmente com base no conservadorismo do departamento jurídico.
Todo mundo tem uma opinião sobre a regulamentação
Finalmente, devemos também lembrar que qualquer regulamentação é produto de debates e negociações intermináveis entre diferentes partes interessadas, legisladores, lobbies políticos, indústria e grupos de interesse. Como tal, o projeto final de regulamento refletirá sempre os compromissos que foram feitos ao longo do percurso legislativo. Infelizmente para nós, no domínio da segurança, tais concessões criam segurança abaixo do ideal e aberturas regulatórias que podem ser exploradas por invasores.
Portanto, devemos lembrar que estar seguro e estar em conformidade com os regulamentos são duas coisas distintas. Não é por acaso que as organizações compatíveis ainda podem ser violadas, porque a conformidade não garante a segurança. Este resultado é bastante perturbador, uma vez que põe em causa a razão de ser fundamental da regulação da segurança. Se não existe para garantir que estamos realmente seguros, então por que se preocupar?
Há alguns anos, vários pesquisadores publicaram um artigo que analisava a eficácia da regulamentação que impôs a obrigatoriedade de cadeirinhas auto para crianças. De acordo com os pesquisadores, os estados dos EUA vêm aumentando gradualmente a idade em que as crianças são obrigadas a usar assentos de segurança infantil desde 1977. Como muitos carros de tamanho padrão não podem acomodar três assentos infantis na parte traseira, essas restrições aumentaram consideravelmente o custo de ter um terceiro filho. Os pesquisadores estimam ainda que 57 crianças a menos morreram em acidentes automobilísticos em 2017 como resultado dessas políticas em todo o país. Ao mesmo tempo, eles foram responsáveis pela queda de longo prazo das taxas de natalidade, que resultou em 145.000 nascimentos a menos desde 1980, com 90% dessa perda ocorrendo desde o ano 2000. É fácil ver então como as boas intenções regulatórias pode acabar tendo um efeito negativo.
Antes de impor mais regulamentações de segurança às organizações, devemos nos perguntar: estamos realmente melhorando a segurança ou apenas impondo mais regulamentações?
FONTE: DARKREADING