A corrida da segurança da informação sem os corredores principais
Humanos e tecnologia

A corrida da segurança da informação sem os corredores principais

A LGPD entrou em vigor no Brasil em 2020. De certa forma, o debate sobre segurança e privacidade das informações chegou ao país tardiamente, um gap de alguns anos para explicar aos utilizadores o significado de mudanças cobradas há bastante tempo. Agora que está aqui, quais as melhores decisões para os diversos caminhos colocados?

Atualmente os nossos dados pessoais fazem parte de um aglomerado de informações sujeitas a exposições. Isso ocorre porque a nossa segurança depende de terceiros, meros desconhecidos que detêm o controlo cibernético. Um exemplo disso é o momento em que aceitamos os termos de privacidade sem uma avaliação cuidadosa. Como cientista da computação, preciso, antes de tudo, explicar o significado desses termos: são normalmente associados a um site ou aplicação, como um documento cuja finalidade é informar as pessoas que eventualmente utilizarão os serviços sobre quais dados serão recolhidos e como isso ocorrerá. Pela importância, diria que é a porta de entrada de qualquer site ou aplicação que o leitor acederá.

Recentemente, o Whatsapp atualizou este documento, incluindo entre as mudanças a obrigatoriedade da partilha de dados recolhidos pelos seus familiares mensageiros, o Facebook, o Messenger e o Instagram. Rapidamente muitas opiniões surgiram nas redes, a maioria delas a reprovar essa obrigatoriedade e a expressar a vontade de migração para outros aplicações que julgam serem mais seguros.

Não, este texto não é sobre os termos de privacidade do Whatsapp, porém, abre uma lacuna para fomentar o debate sobre a Segurança da Informação e Privacidade. Será que existem, de facto, aplicações ou redes 100% seguros? Para responder a essa pergunta, preciso partilhar algumas vulnerabilidades da internet.

Primeiro, quase tudo que fazemos na internet é aberto, entre outras palavras, sem criptografia. Quando estamos a naveegar entre sites, a maioria das informações é enviada sem nenhuma segurança. Hoje, por exemplo, se utiliza serviços de e-mail, saiba que tem o mínimo de criptografia por trás que permite que a web não tenha acesso ao seu tráfego. Mas, se clicar em alguns links maliciosos essa segurança cai, como vemos constantemente nos casos de roubos de contas de Whatsapp que não têm a verificação de duas etapas.

O segundo ponto é a propagação intencional de links maliciosos para promover ataques a computadores e telemóveis, tirando proveito de múltiplas falhas em softwares ou deslizes de utilizadores inexperientes, com a finalidade de roubar informações bancárias e outros golpes no mesmo espectro.

A terceira vulnerabilidade é também um dos pilares da criação da Internet, diria. Trata-se da descentralização da arquitetura que, quando inicialmente formulada, não foi pensada para ter um “líder”. Na verdade, a segurança foi priorizada e com isso os protocolos foram baseados em princípios de como as conexões deveriam ser feitas, ou seja, obviamente os criadores não pensaram que pessoas mal intencionadas também fariam uso das redes.

Princípios – Livro Guerra Cibernética: A Próxima ameaça à Segurança

De facto, existem tantas outras vulnerabilidades, porém, essas três anteriormente citadas dizem muito sobre o cenário atual, quando falamos de Segurança da Informação não estamos apenas a falar sobre proteção de senhas. Estamos a debater sobre a entrada e o armazenamento das nossas informações pessoais em todos os âmbitos e por empresas e terceiros que não conhecemos. Pensar numa sociedade digital inclui pensar na união das vulnerabilidades preexistentes num mundo sem internet e que agora intensificam-se e agravam-se quando não são postas de maneira clara e acessível aos utilizadores.

A deficiência na existência de sites e aplicações quase 100% seguros — a cada código malicioso que é combatido, cinco são criados para diferentes objetivos — é uma área em constante mudança assim como todo o universo digital. Logo, o desafio das empresas e da sociedade digital é a comunicação sincera e transparente. Não é admissível que pressionemos o “OK” da caixa de sugestões sem ler os termos, assim como não há possibilidade para as empresas além de serem transparentes nas suas atitudes.

No meio de tudo isso, existem as regulações

Digo que as regulações estão no meio disso, pois atuam na intermediação, na comunicação entre os utilizadores e as empresas. A General Protection Data Regulation (GDPR, na sigla em inglês, ou Regulação Geral de Proteção de Dados) e a Lei Geral de Proteção de Dados (LGPD) passam a mensagem de que as empresas precisarão de se adequar às normas de recolha e utilização de dados pessoais, não sendo mais viável que a empresa escolha de que forma vai agir. O utilizador passa a opinar e reivindicar os direitos que tem.

Ainda há muito sobre o que se pensar sobre segurança e privacidade de informações, porém neste momento precisamos deixar acessíveis estes termos. Pensemos o seguinte: se uma pessoa não conhece a definição de uma palavra ou os seus usos, será que vai conseguir colocar essa palavra em alguma frase? Então, para além dos conteúdos, alertas e ponderações sobre o mundo digital, precisamos torná-lo acessível. O debate não pode acontecer somente na esfera dos investigadores e programadores, senão como iremos cobrar das pessoas o uso de aplicações mais seguras? Ou convencê-las a não partilhar os seus dados sem ler os termos?

Aliás, os termos também deveriam ser mais acessíveis visualmente, certo? Mas isso é uma conversa para outro artigo.

Artigo de Nina da Hora, Autor – MIT Technology Review Brasil

Tópicos