Vidas humanas dependem cada vez mais de segurança da informação: isso é um exagero?

Os profissionais de segurança da informação são responsáveis por um grande desafio: garantir a confidencialidade, a integridade e a disponibilidade das informações. Ataques cibernéticos tradicionalmente miram computadores, servidores e dispositivos móveis.

Será que, com a integração tecnológica e o mundo conectado e das coisas, ataques cibernéticos serão capazes de afetar diretamente vidas humanas? E com os carros autônomos, as infraestruturas críticas e a indústria 4.0?

Informações existem onde?

Informações existem em meio digital, em meio físico e na cabeça das pessoas, o que faz com que existam, naturalmente, as várias vertentes ou perfis em uma equipe tradicional de segurança da informação.

Há, por exemplo, os especialistas em avaliações de segurança, que focam mais em aspectos técnicos, com a realização de atividades como scanning e análise de vulnerabilidades, testes de invasão, engenharia reversa, inspeção de códigos, criptoanálise, análise de vulnerabilidades, análise estática de códigos ou criação de exploits.

Há também os especialistas em controle de acesso, com atividades que envolvem métodos de autenticação, gestão de acessos e identidades e a biometria, entre outros. Há ainda os especialistas em criptografia, os especialistas em segurança de redes, e os especialistas em governança, risco e conformidade.

E a relação entre as informações e as vidas humanas? Estão relacionadas essencialmente com os elementos do risco.

Vulnerabilidades levam a incidentes

Os riscos em segurança da informação envolvem vários elementos. De uma forma geral, um risco neste contexto é a probabilidade de um agente de ameaça explorar uma vulnerabilidade de um ativo, fazendo com que uma ameaça se torne um incidente de segurança, o que causa impactos para a organização.

O que estamos discutindo neste artigo é o impacto para vidas humanas, que podem existir de uma forma cada vez mais direta, e podem também ser consequência de uma reação em cadeia. E o que pode levar a esses impactos? Há alguns fatores importantes, relacionados à maior integração tecnológica, ao mundo conectado e das coisas, ao uso de novas tecnologias, e à fusão mais intensa entre o mundo físico e o mundo digital.

Estamos em uma nova era, em que não serão somente os computadores os alvos de ataques cibernéticos. Estarão em jogo – e já estão – os ataques a outros elementos que possuem ligação direta com as vidas humanas: carros autônomos, Internet das Coisas, infraestruturas críticas, medidores de energia inteligentes, casas inteligentes, câmeras IP e componentes da indústria 4.0.

Carros autônomos

Os carros autônomos ainda não estão na garagem de muitas pessoas, mas já há notícias sobre acidentes envolvendo carros semiautônomos e, o mais grave, sobre ataques cibernéticos a carros conectados. O potencial de impactos para vidas humanas envolvendo carros é grande, e deve ser considerado, apesar deste não ser normalmente um objetivo direto de crackers, que são movidos por dinheiro e, às vezes, pela fama.

No caso de incidentes de segurança envolvendo carros, os primeiros ataques demonstrados eram realizados com o cracker tendo acesso direto ao veículo, o que era considerado de pouco impacto, visto que a invasão física já estaria feita.

Já quando os ataques foram feitos remotamente, com manipulação online de volantes, motores e freios, a visão foi totalmente revisada, com as preocupações levando a indústria a estruturarem suas áreas de segurança da informação.

Internet das Coisas, medidores de energia e casas inteligentes, infraestruturas críticas

Com o mundo móvel e das coisas, a fusão entre o mundo físico e o mundo digital se torna mais evidente, o que faz com que haja uma ligação cada vez maior com as vidas humanas.

São dispositivos que são utilizados para monitoramento da saúde, para controlar diferentes elementos da casa, e também utilizados como vestimentas e como sensores diversos. Há ainda os medidores de energia inteligentes, que além de tudo abrem possibilidades para novas fraudes, e ainda há a necessidade de proteção de infraestruturas críticas, que envolve a segurança no nível dos países, e cresce em importância com as guerras cibernéticas e as integrações com novas tecnologias conectadas.

Tudo isso leva à natural ligação entre os ataques a estes dispositivos e a infraestruturas críticas com os impactos para as vidas humanas, que podem sofrer as consequências indiretas de um incidente de segurança. Há dois exemplos clássicos sobre isso. No primeiro exemplo, o Stuxnet afetou as centrífugas utilizadas para o enriquecimento de urânio em usinas iranianas, e neste processo já pode ter causado perda de vidas humanas, apesar de não ser possível essa confirmação. No segundo caso, os ataques ao sistema de energia elétrica da Ucrânia, no qual os sistemas de gerenciamento foram controlados e pelo menos 30 subestações foram desligados, também podem ter causado sérios problemas a vidas humanas como consequência, apesar de não ter havido, neste caso ainda, destruição física dos geradores de energia.

Um fator importante a considerar para a análise dos impactos é o tempo. No caso da infraestrutura crítica de energia, por exemplo, um ataque cibernético que dure bastante tempo pode afetar mais seriamente serviços como os hospitais, levando como reação em cadeia as consequências às vidas humanas. Já no caso de infraestruturas críticas de telecomunicações ou financeira, ataques cibernéticos afetam mais diretamente a economia, mas podem chegar às vidas humanas em uma cadeia de consequências, conforme o tempo do ataque vai aumentando.

Indústria 4.0

Os equipamentos industriais conectados trazem também, além da otimização da cadeia produtiva, várias necessidades de segurança da informação. A proteção dos projetos, que pode ser criada na matriz e distribuída digitalmente para as fábricas, passa a ser necessária em vários pontos.

Além disso, o que pode afetar as vidas humanas são os ataques cibernéticos direcionados aos equipamentos e robôs de produção. As consequências são indiretas, porém são situações não podem ser desprezadas em uma avaliação de riscos.

É exagero?

Crackers possuem como principal motivação os ganhos financeiros. Matar pessoas não resulta em dinheiro, e isso faz com que, “felizmente”, os objetivos tendam a continuar sendo os ataques visando roubos.

Porém, os ataques cibernéticos ganham uma nova dimensão com a Internet das Coisas, a indústria 4.0, os carros conectados e as infraestruturas críticas. Neste contexto de fusão entre o físico e o tecnológico, há muitas novas oportunidades, e com certeza veremos novas fraudes e novas necessidades de segurança da informação. Além disso, o uso de ataques cibernéticos para se cometer crimes contra pessoas é um cenário possível.

As possibilidades de se afetar diretamente (e indiretamente) as vidas humanas devem ser consideradas de uma forma responsável. Como profissionais de segurança da informação, temos que construir as proteções deste mundo que evolui constantemente, ajudando na segurança das empresas e dos países. E, cada vez mais, na segurança da própria vida humana.

Emilio Nakamura

Mestre em Ciência da Computação pela Unicamp, possui MBA Executivo e as certificações CISSP-ISSAP, ISSMP. Já proferiu treinamentos e palestras no Brasil, Alemanha, Austrália e Inglaterra. Contribui com a comunidade de segurança da informação e comunicação há mais de 18 anos, trabalhando e criando soluções para empresas dos setores de telecomunicações, financeiro, energia, governo e varejo. Autor do livro "Segurança de Redes em Ambientes Cooperativos" que está na 10. edição, possui pedidos de patentes em áreas como proteção de infraestrutura crítica, autenticação e segurança Web. Consciente do papel da segurança da informação na evolução dos negócios e das pessoas, tem aplicado sua experiência em projetos que envolvem arquiteturas e tecnologias de segurança para tornar os negócios e sistemas mais confiáveis tanto para os usuários quanto para as empresas.