Conversamos sobre a privacidade no mundo virtual com Marijus Briedis, CTO da NordVPN, companhia especializada em Redes Privadas Virtuais (Virtual Private Network). A conversa foi realizada na sede da NordVPN em Vilnius, capital da Lituânia.
Original em: https://monitormercantil.com.br/a-privacidade-no-mundo-digital/
Existe privacidade no mundo digital?
Honestamente, a privacidade no mundo digital é um desafio, pois se você está nele, é muito difícil ter privacidade. Seja de um ponto de vista pessoal ou de um ponto de vista organizacional, se você publica informações no mundo digital, elas vão ficar lá. É por isso que é fundamental que as pessoas entendam que tudo o que se publica na internet, permanece lá. Em diferentes formas e formatos, mas permanece, sendo que algumas pessoas não terão dificuldades para acessar esses dados. Portanto, tudo depende do que é publicado e de onde é publicado. Resumindo, é muito difícil manter a privacidade online.
Quais são os principais cuidados que uma pessoa deve ter para manter a sua privacidade?
Isso depende muito de cada pessoa e do que ela coloca na internet e nos servidores que dão suporte à sua vida digital. Por exemplo, existe diferença entre uma pessoa que usa redes sociais e uma que não usa. Se você usa redes sociais com frequência ou compartilha informações online, muitas pessoas podem coletar seus dados, como o que você gosta, o que você faz e onde você costuma estar. Agora, para quem não usa redes sociais, não se encontram muitas informações nesse sentido.
Outro ponto importante é como as empresas usam essas informações. No caso de uma pessoa que usa redes sociais, as empresas sabem quando ela está online, quando ela está navegando, todas as hashtags que ela curte e como ela usa o aplicativo. Essas empresas rastreiam tudo com o mesmo objetivo: vender alguma coisa ou atrair o usuário para os seus recursos de rastreamento de anúncios.
O mesmo vale para quando você usa um serviço de e-mail de terceiros ou um e-mail que está em um servidor próprio. Se você usa um serviço de e-mail de terceiros, o provedor sabe tantas informações suas que pode criar um perfil a seu respeito, mas se você usa um e-mail que está em um servidor próprio, que é difícil de configurar e manter, não se vai saber sobre você, apesar de você estar usando a tecnologia. Dessa forma, em diferentes cenários, existem diferentes oportunidades.
Quais são os principais cuidados que uma empresa deve ter para manter a sua privacidade?
Existem os cuidados técnicos e os cuidados, como chamamos em geral, humanos. Do ponto de vista técnico, quando se pensa em privacidade e segurança, é preciso considerar os dados em geral. A primeira questão são os dados em trânsito, ou seja, que tipo de dado está saindo e entrando em todos os dispositivos, escritórios ou qualquer outro local onde a empresa esteja presente naquele momento. Outro ponto é a utilização de dados criptografados.
A segunda questão é referente aos dados em repouso, ou seja, que tipo de informação está armazenada e como ela está armazenada. Por fim, nós temos, honestamente, o problema mais comum: o uso de dados. Por exemplo, quando você usa dados, seja através de um celular, dispositivo, computador ou qualquer outro meio, eles estão seguros e protegidos ou estão acessíveis? Para se defenderem, as companhias estão usando tecnologias ZTNA (Zero Trust Network Access) e SAST (Static Application Security Testing), que estão disponíveis e prontas para uso imediato.
Do ponto de vista humano, nós temos que lembrar que pessoas tendem a cometer erros, como clicar em links que não deveriam ser clicados ou dar informações que não deveriam ser dadas para o exterior. É por isso que as pessoas precisam ter uma espécie de ciclo de aprendizado que as lembre, de forma constante, o que é segurança cibernética e privacidade, já que existe uma tendência de se esquecer esses assuntos hoje em dia.
Em resumo, a parte técnica é bem simples, pois basta ter as ferramentas, instalá-las e garantir que as pessoas saibam como usá-las, mas a parte humana, o lado mais sensível dessa questão, é um pouco mais complexo.
Como você tem visto a evolução dos crimes cibernéticos?
Honestamente, os crimes cibernéticos estão sempre mudando e sempre vão mudar. Nos primórdios da internet, nós tínhamos, por exemplo, worms bem simples que tentavam obter informações, mas hoje em dia existem tantos ataques sofisticados que contam com a ajuda de ferramentas avançadas e, principalmente, Inteligência Artificial (AI), que realmente fica difícil acompanhar.
Todo dia surge algo novo no ambiente tecnológico, seja do ponto de vista de hardware, software ou humano, como novas ideias de phishing e de golpes. Em dias de grande tráfego na internet, como a Black Friday, essa tendência dispara.
Da perspectiva de hardwares, mesmo com a implementação de novos instrumentos de segurança, os criminosos ainda acham formas para driblá-las e criar novos ataques. Um bom exemplo disso é a tecnologia das chaves wireless de carros, que foi hackeada alguns dias após o seu lançamento, o que permite que os carros sejam abertos com técnicas avançadas de Wi-Fi.
Da perspectiva humana, é realmente interessante observar como a informação flui nesses ataques de engenharia social, quando as pessoas só sabem seu nome e sobrenome, mas conseguem obter seu e-mail e a senha do seu provedor de internet usando técnicas avançadas para coletar essas informações.
Como a Inteligência Artificial está sendo utilizada nesse tipo de crime?
A IA está sendo cada vez mais utilizada, principalmente em crimes simples. Por exemplo, IAs ou algoritmos de machine learning estão sendo utilizados na criação de sites fraudulentos ou de phishing. Isso se tornou tão fácil que nem é preciso mais ter experiência em programação. Isso porque a IA pode fazer tudo, como a compra do servidor VPS (Virtual Private Server), a instalação do certificado, a criação do site e a configuração dos campos para pagamento. Detalhe: isso pode ser feito em grande escala. Por exemplo, se você fosse programar um site sozinho, isso levaria, pelo menos, de 4 a 5 horas, mas com uma IA é possível fazer isso em menos de 10 minutos. É impressionante a forma como essa tecnologia está avançando.
A IA também está sendo utilizada na criação de novos tipos de malware. Recentemente, nós vimos o hype de um malware que utiliza ferramentas de IA presentes em um computador. O primeiro programa não se parece em nada com um malware, mas ao ser instalado no computador, ele busca por ferramentas de IA já instaladas para utilizar os seus prompts na criação do malware. Como os antivírus não estão sabendo lidar com isso, eles estão tentando entender quais são os prompts que estão sendo utilizados para evitar a criação de um malware no computador.
Definitivamente, o cenário está mudando e vai continuar mudando.
Como a NordVPN se organiza para manter suas soluções de segurança e privacidade atualizadas?
Essa é uma batalha constante. Quando criamos os produtos, nós temos um ciclo rigoroso de SSDLC (Secure Software Development Life Cycle). Cada produto precisa passar por essas diferentes fases, onde a equipe de segurança entra e verifica tudo o que estamos fazendo. É um pouco trabalhoso para mim, pois é realmente difícil implementar inovações rapidamente, mas isso garante que o produto esteja protegido da maneira correta. Além disso, nós fazemos muitos testes de penetração com equipes de segurança internas e externas. Por exemplo, nós temos uma iniciativa chamada HackerOne, através da qual convidamos pessoas do mundo todo para testar os nossos serviços.
Do ponto de vista organizacional, nós usamos os produtos que criamos. Por exemplo, o NordVPN é a nossa VPN B2B preferida. Também utilizamos ferramentas externas, como o JumpCloud, para garantir um ambiente seguro, pois tentamos separar ao máximo o ambiente de trabalho do ambiente pessoal. Como essas são as práticas mais comuns da maioria das empresas, não consigo imaginar que elas não sejam seguidas nos cenários atuais.
