Os profissionais de TI estão totalmente cientes de que seus dados estão vulneráveis a ataques e que a criptografia é uma das melhores ferramentas disponíveis para a segurança e a proteção dos dados
Por André Machado
Como todos os CIOs e gerentes de TI sabem, a segurança dos dados é um processo contínuo. À medida que a sua segurança muda, a ameaça também muda. Por exemplo, se você criptografou seus dados corporativos, os segredos da sua empresa não podem ser interceptados.
Dispositivos perdidos contendo informação sensível não podem ser lidos. Agora, a ameaça mudou para a sua chave de criptografia. Ela é tão segura quanto precisa ser? Explico aqui a importância de proteger a sua chave ao analisarmos os métodos que os hackers usam para contornar a criptografia.
Ou como profetiza a Máxima de Shannon, um brilhante engenheiro eletricista, matemático e criptógrafo americano que desenvolveu a teoria da informação e transmissão de sinais digitais baseados em sequências de zeros e uns: “O inimigo conhece o sistema”.
As empresas criptografam dados por inúmeras razões: para proteger tanto os segredos corporativos, quanto as informações pessoais dos clientes, o que cumpre as regulamentações vigentes e mantém a confiança e o respeito dos clientes. Os profissionais de TI estão totalmente cientes de que seus dados estão vulneráveis a ataques e que a criptografia é uma das melhores ferramentas disponíveis para a segurança e a proteção dos dados.
A criptografia está listada no Artigo 32 do Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia como uma medida técnica e organizacional apropriada para garantir a segurança dos dados, dependendo da natureza e dos riscos das suas atividades de processamento.
O Information Commissioner’s Office (ICO) aconselha seu uso para o armazenamento ou transmissão de dados pessoais e certas regulamentações específicas para cada indústria vão ainda mais longe e chegam a exigir a criptografia.
Ao mesmo tempo em que o custo de perder segredos comerciais seja mais difícil de quantificar – podendo ser demasiadamente grande e até mesmo fatal para uma empresa – as penalidades financeiras resultantes das violações de dados de clientes podem ser calculadas.
Embora o GDPR não contenha nenhuma multa explícita associada a não implementação da criptografia, a criptografia pode proteger as organizações das pesadas multas relacionadas à violação de dados.
Em uma das maiores multas já aplicadas, a Marriott International Hotels foi condenada a pagar 110,3 milhões de euros ao ICO do Reino Unido depois que uma invasão de seus sistemas expôs informações pessoais confidenciais, incluindo detalhes de cartão de crédito, números de passaporte e datas de nascimentos pertencentes a mais de 300 milhões de clientes, dos quais 30 milhões eram residentes na UE.
Ainda que as regulamentações e as multas elevadas tenham convencido as empresas da necessidade da criptografia, a mensagem sobre a segurança das chaves não foi tão clara. Um dos atuais desafios da proteção de dados é que, embora a maioria dos profissionais de segurança compreenda a força da criptografia eles não estão tão conscientes sobre a importância de manter a chave protegida.
Atualmente, a maioria dos profissionais de segurança não entende completamente as diferenças e implicações no uso das tecnologias de criptografia simétrica e assimétrica e acredita, sem questionar, que a criptografia está protegendo seus dados, enquanto a maior parte dos gestores quer proteger seus dados, mas tem um certo receio de usar a criptografia.
Os algoritmos criptográficos populares de hoje, como ECC, AES, 3DES e RSA, estão bem documentados e testados. Eles funcionam graças às chaves únicas e complexas que geram. Uma chave AES de 256 bits – o padrão usado pelo governo dos EUA – tem 1,15 x 1077 combinações possíveis. Isso é 115 com 75 zeros.
Com o atual poder de processamento, o tempo necessário para descriptografar os dados protegidos é medido em milhões de anos. Vistos de outro ângulo, os processos de criptografia agora são tão fortes que transformam a chave em um calcanhar de Aquiles. Mesmo considerando o poder de processamento futuro, a chave será a parte vulnerável da criptografia.
À medida que avançamos para a era da computação quântica, o primeiro padrão de criptografia pós-quântica fechará a porta para os hackers que usam a computação quântica para fortalecer os dados criptografados. Existe o risco de que quando a computação quântica estiver disponível para hackers, todos os dados criptografados com as chaves atuais fiquem desprotegidos.
Como o Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês) dos EUA diz em um relatório recente, “quando esse dia chegar, todas as chaves secretas e privadas protegidas usando os atuais algoritmos de chave pública – e todas as informações disponíveis protegidas por essas chaves – estarão sujeitas à exposição”. A nossa indústria já está trabalhando em assinaturas e chaves maiores (por exemplo, usando segmentação de mensagem) para encarar o desafio.
Ou seja: ninguém em sã consciência tentaria quebrar uma chave, o que deixa apenas uma opção disponível, roubar a chave. Á medida que tecnologias criptográficas se desenvolvem e o poder computacional aumenta, a única alternativa viável é proteger a chave. Supondo que os hackers transformarão o roubo de uma chave criptográfica em prioridade, como eles poderão fazer isso?
Uma forma conhecida é encontrar a chave armazenada em um software na sua rede. Se uma chave for armazenada dessa forma, ela estará vulnerável a roubo. Uma chave criptográfica pode ser reconhecida em uma varredura binária, usando programas relativamente pouco sofisticados. Ela aparecerá como um padrão aleatório que indicará que o intruso ganhou o prêmio acumulado.
Ao mesmo tempo em que eles não têm milhões de anos para usar a força bruta nos dados criptografados, eles terão o tempo necessário para testar as chaves nos seus dados. Com base em uma série de estudos, o tempo entre a invasão de um hacker e a sua detecção fica entre 160 e 260 dias. Mesmo o valor mínimo representa muitas horas. É provável que uma empresa tenha apenas alguns milhares de chaves, um número baixo o suficiente para um hacker trabalhar do início ao fim.
A maneira para proteger a chave e, assim, os seus dados, é armazená-la de maneira segura. Um módulo de segurança criptográfica (HSM) é um dispositivo físico especificamente desenvolvido e certificado para criar, proteger e gerenciar chaves digitais e executar outras funções criptográficas. Um HSM é projetado usando padrões rígidos desenvolvidos pelo NIST especificamente para fornecer a camada final de segurança para a criptografia dos dados.
Ao contrário do armazenamento de uma chave no software, que não está sujeito a nenhum padrão e onde ela pode ser copiada ou roubada, o HSM oferece controle sobre o acesso à chave. O controle fica no HSM. Para algumas indústrias, como a de cartões de pagamento, um HSM é uma das formas de cumprir os padrões de segurança de dados exigidos para operar. Para outras indústrias, usar um HSM demonstra que elas levam a sério os dados corporativos e de clientes.
De acordo com a 451 Research, as empresas gastam 87% do seu orçamento de segurança com soluções para proteger o perímetro, mas por que isso ocorre? Ao longo dos últimos 5 mil anos, a humanidade construiu muros para proteger seus bens. Apenas 1% da nossa história ocorreu na era digital e será preciso que reprogramemos o nosso DNA.
Como os perímetros corporativos são muito complexos e não podem ser completamente protegidos, é preciso que reprogramemos nosso DNA para não deixar as chaves embaixo do tapete. Nem em casa e nem no trabalho. A única opção dos hackers é encontrar e roubar as chaves. Por isso é cada vez mais importante proteger as chaves a qualquer custo!
Entrust Datacard troca sua marca
Para a nCipher Secutity, LGPD coloca o país na vanguarda da proteção de dados em nível internacional
Cibersegurança: Cyber Security Summit divulga segunda lista de speakers do evento gratuito