Como prevenir ataques cibernéticos com a tecnologia blockchain
O grande crescimento dos ataques cibernéticos nos últimos anos exige soluções mais inteligentes na atualização tecnológica da infraestrutura empresarial
Lucas Josa
Publicado em 25 de setembro de 2021 às 13h40.
Última atualização em 27 de setembro de 2021 às 10h56.
Ainda me lembro do meu primeiro ataque cibernético quando tinha 12 anos. Um malware explorou uma falha no MS-DOS 6.22 e reformatou meu PC-XT.
Foi desesperador quando entendi o que aconteceu: saí correndo para comprar um antivírus na loja de informática mais próxima. Também me lembro que esse antivírus foi a coisa mais cara que já tinha comprado até aquele momento.
Embora essa história revele minha idade, aprendi duas lições com ela. A primeira é que atualizar constantemente sistemas operacionais, bancos de dados e aplicações é essencial para evitar incidentes. E a segunda é que negligenciar a segurança da informação pode ser oneroso.
Por exemplo, o ransomware utilizado nos ataques cibernéticos no STJ, Embraer e Ultrapar se aproveita do débito técnico (ou desatualização tecnológica) da infraestrutura crítica de TI das empresas.
Conforme um artigo recente da McKinsey, 60% dos CIOs estimam que o débito técnico aumentou nos últimos três anos. Pior do que isso, 69% dos CIOs gastam até 20% de seus investimentos em novos projetos com itens do backlog de débito técnico, como atualizar um banco de dados para a versão mínima exigida pelas nuvens da Oracle, AWS ou Microsoft.
Apesar desses números alarmantes, a grande maioria das empresas utiliza menos de um quinto de seus orçamentos anuais de TI para se manter em dia.
A McKinsey sugere que os clientes sigam certos princípios para enfrentar esse desafio, como começar com uma definição compartilhada de débito técnico entre TI e negócio, e dedicar até 20% de cada squad para lidar com o débito técnico.
Além disso, a McKinsey recomenda evitar "megaprojetos" que apresentam altos riscos de execução e que muitas vezes dificultam a capacidade do negócio de ser competitivo enquanto estão sendo executados.
Embora eu respeite o conselho da McKinsey, não consigo pensar em nenhuma maneira de implementá-lo na maioria das empresas. Na prática, TI e negócio não ficam alinhados por muito tempo, nenhum stakeholder quer pagar o débito técnico e, vá por mim, megaprojetos são tentadores em organizações de grande porte.
Incentive clientes a manterem suas infras atualizadas
Uma possível solução para o problema do débito técnico está no cerne da tecnologia blockchain.
Para manter a honestidade de seus participantes, a maioria das blockchains, como a Bitcoin, utiliza sistemas de incentivos financeiros que distribuem criptoativos. Da mesma forma, os fornecedores de software podem criar tokens para incentivar os clientes a manter suas infraestruturas atualizadas.
Para começar, os fornecedores de software precisam substituir as licenças de seus produtos por tokens (ou “tokenizá-los”). Depois disso, eles devem criar contratos inteligentes para receber “provas de implantação” que incluem as versões dos produtos sendo utilizadas.
Conhecendo as versões, os contratos podem cunhar tokens não fungíveis (ou NFTs, na sigla em inglês) com valores em dinheiro individuais de acordo com os roadmaps dos produtos, atribuindo pesos maiores às versões mais novas.
Para estimular efetivamente as atualizações dos produtos, os fornecedores de software podem aceitar tokens para pagamento de suporte, treinamentos ou até mesmo novas licenças. Também podem oferecer swap (troca) de tokens desvalorizados, mediante envio de novas provas.
Como esse modelo pode gerar concorrência dentro das empresas, os fornecedores devem se preocupar em prevenir ataques Sybil (falsificação de identidade), considerar a ordem de envio das provas, pagar em dia e garantir um valor mínimo.
Para atender a esses requisitos, eles podem preferir combinar soluções de gestão financeira líderes de mercado, como o Oracle ERP Cloud; soluções de tokenização de ativos, como o ConsenSys CodeFi; redes descentralizadas de oráculos, como a Chainlink; e blockchains, como a Ethereum. Os fornecedores que não quiserem construir suas próprias soluções podem fazer parcerias com fintechs existentes, como Binance, Coinbase e Compound.
Embora seja uma ideia diferente, tratar o débito técnico como um problema de computação descentralizada (ou “ Web 3.0 ”) pode reduzir consideravelmente o risco de ataques cibernéticos mais frequentes, sérios e perturbadores, sem introduzir nenhum processo muito complexo no dia a dia.
Muito além de pagar o resgate, blockchain serve para evitar o sequestro
Fornecedores de software e empresas têm um interesse comum em pagar o débito técnico.
As empresas que utilizam versões mais antigas tendem a desvalorizar o suporte e até mesmo substituir produtos porque não sabem que os principais recursos de outras tecnologias alternativas já estão disponíveis em versões mais novas de produtos que estão em operação há muitos anos.
De outro lado, os ataques cibernéticos prejudicam substancialmente os fornecedores de tecnologia e toda a cadeia, incluindo a vida pessoal de profissionais de TI como eu.
Por isso, devemos unir esforços para evitá-los, buscando sempre o que temos de melhor e mais moderno.
É como disse o psicólogo e filósofo social B. F. Skinner: “um fracasso nem sempre é um erro; pode ser simplesmente a melhor coisa que você pode fazer nessas circunstâncias. O verdadeiro erro é parar de tentar”.
Como as boas práticas de governança não parecem ser suficientes, recomendo fortemente que você experimente soluções baseadas nos incentivos financeiros inerentes à tecnologia blockchain.
Lembre-se de que os criptoativos podem desempenhar um papel mais relevante na resposta a esse desafio, em vez de apenas servir como meio de pagamento para ataques cibernéticos.
As opiniões expressas aqui são minhas e não refletem necessariamente as opiniões da Oracle ou da EXAME.
Ainda me lembro do meu primeiro ataque cibernético quando tinha 12 anos. Um malware explorou uma falha no MS-DOS 6.22 e reformatou meu PC-XT.
Foi desesperador quando entendi o que aconteceu: saí correndo para comprar um antivírus na loja de informática mais próxima. Também me lembro que esse antivírus foi a coisa mais cara que já tinha comprado até aquele momento.
Embora essa história revele minha idade, aprendi duas lições com ela. A primeira é que atualizar constantemente sistemas operacionais, bancos de dados e aplicações é essencial para evitar incidentes. E a segunda é que negligenciar a segurança da informação pode ser oneroso.
Por exemplo, o ransomware utilizado nos ataques cibernéticos no STJ, Embraer e Ultrapar se aproveita do débito técnico (ou desatualização tecnológica) da infraestrutura crítica de TI das empresas.
Conforme um artigo recente da McKinsey, 60% dos CIOs estimam que o débito técnico aumentou nos últimos três anos. Pior do que isso, 69% dos CIOs gastam até 20% de seus investimentos em novos projetos com itens do backlog de débito técnico, como atualizar um banco de dados para a versão mínima exigida pelas nuvens da Oracle, AWS ou Microsoft.
Apesar desses números alarmantes, a grande maioria das empresas utiliza menos de um quinto de seus orçamentos anuais de TI para se manter em dia.
A McKinsey sugere que os clientes sigam certos princípios para enfrentar esse desafio, como começar com uma definição compartilhada de débito técnico entre TI e negócio, e dedicar até 20% de cada squad para lidar com o débito técnico.
Além disso, a McKinsey recomenda evitar "megaprojetos" que apresentam altos riscos de execução e que muitas vezes dificultam a capacidade do negócio de ser competitivo enquanto estão sendo executados.
Embora eu respeite o conselho da McKinsey, não consigo pensar em nenhuma maneira de implementá-lo na maioria das empresas. Na prática, TI e negócio não ficam alinhados por muito tempo, nenhum stakeholder quer pagar o débito técnico e, vá por mim, megaprojetos são tentadores em organizações de grande porte.
Incentive clientes a manterem suas infras atualizadas
Uma possível solução para o problema do débito técnico está no cerne da tecnologia blockchain.
Para manter a honestidade de seus participantes, a maioria das blockchains, como a Bitcoin, utiliza sistemas de incentivos financeiros que distribuem criptoativos. Da mesma forma, os fornecedores de software podem criar tokens para incentivar os clientes a manter suas infraestruturas atualizadas.
Para começar, os fornecedores de software precisam substituir as licenças de seus produtos por tokens (ou “tokenizá-los”). Depois disso, eles devem criar contratos inteligentes para receber “provas de implantação” que incluem as versões dos produtos sendo utilizadas.
Conhecendo as versões, os contratos podem cunhar tokens não fungíveis (ou NFTs, na sigla em inglês) com valores em dinheiro individuais de acordo com os roadmaps dos produtos, atribuindo pesos maiores às versões mais novas.
Para estimular efetivamente as atualizações dos produtos, os fornecedores de software podem aceitar tokens para pagamento de suporte, treinamentos ou até mesmo novas licenças. Também podem oferecer swap (troca) de tokens desvalorizados, mediante envio de novas provas.
Como esse modelo pode gerar concorrência dentro das empresas, os fornecedores devem se preocupar em prevenir ataques Sybil (falsificação de identidade), considerar a ordem de envio das provas, pagar em dia e garantir um valor mínimo.
Para atender a esses requisitos, eles podem preferir combinar soluções de gestão financeira líderes de mercado, como o Oracle ERP Cloud; soluções de tokenização de ativos, como o ConsenSys CodeFi; redes descentralizadas de oráculos, como a Chainlink; e blockchains, como a Ethereum. Os fornecedores que não quiserem construir suas próprias soluções podem fazer parcerias com fintechs existentes, como Binance, Coinbase e Compound.
Embora seja uma ideia diferente, tratar o débito técnico como um problema de computação descentralizada (ou “ Web 3.0 ”) pode reduzir consideravelmente o risco de ataques cibernéticos mais frequentes, sérios e perturbadores, sem introduzir nenhum processo muito complexo no dia a dia.
Muito além de pagar o resgate, blockchain serve para evitar o sequestro
Fornecedores de software e empresas têm um interesse comum em pagar o débito técnico.
As empresas que utilizam versões mais antigas tendem a desvalorizar o suporte e até mesmo substituir produtos porque não sabem que os principais recursos de outras tecnologias alternativas já estão disponíveis em versões mais novas de produtos que estão em operação há muitos anos.
De outro lado, os ataques cibernéticos prejudicam substancialmente os fornecedores de tecnologia e toda a cadeia, incluindo a vida pessoal de profissionais de TI como eu.
Por isso, devemos unir esforços para evitá-los, buscando sempre o que temos de melhor e mais moderno.
É como disse o psicólogo e filósofo social B. F. Skinner: “um fracasso nem sempre é um erro; pode ser simplesmente a melhor coisa que você pode fazer nessas circunstâncias. O verdadeiro erro é parar de tentar”.
Como as boas práticas de governança não parecem ser suficientes, recomendo fortemente que você experimente soluções baseadas nos incentivos financeiros inerentes à tecnologia blockchain.
Lembre-se de que os criptoativos podem desempenhar um papel mais relevante na resposta a esse desafio, em vez de apenas servir como meio de pagamento para ataques cibernéticos.
As opiniões expressas aqui são minhas e não refletem necessariamente as opiniões da Oracle ou da EXAME.