No dia 26 de março, Jonathan Leitschuh, um engenheiro de 20, enviou um e-mail para a Zoom, avisando a empresa sobre uma falha de segurança que descobriu em seu software — falha esta que permitia que atores maliciosos acessassem secretamente a câmera de qualquer pessoa que eventualmente tivesse utilizado seu tão conhecido serviço de videoconferência. A Zoom demorou quase três meses para resolver o problema. Não querendo dar sorte ao azar, a Apple disponibilizou sua própria atualização do software para corrigir o problema.
Três semanas após Leitschuh enviar o e-mail para a Zoom, a empresa lançou suas ações em bolsa em um dos mais bem-sucedidos IPOs jamais visto, em 2019. Em outras palavras, ao mesmo tempo que o mercado coroava a Zoom com reconhecimento financeiro, um jovem engenheiro de software descobria uma vulnerabilidade que colocava em perigo a privacidade e segurança de praticamente todos os seus usuários.
Como estas duas realidades podem coexistir? A resposta: as empresas não estão preparadas para vender softwares seguros, porque não são incentivadas a fazer isso, e os consumidores por sua vez, não estão na posição de fazerem esta exigência sozinhos.
No entanto, esta falha de mercado não vai durar muito. Os governos estão em processo de aprovar e implementar novas leis que asseguram padrões mais elevados de segurança para softwares e privacidade de dados, o que significa que o tempo de empresas de tecnologia que testam seus softwares inadequadamente com relação à vulnerabilidade de segurança e privacidade está chegando ao fim. No ano passado, por exemplo, a Califórnia se tornou o primeiro estado dos EUA a estabelecer padrões básicos para os softwares utilizados na internet das coisas. Uma enorme lista com leis sobre privacidade e segurança em nível estadual, juntamente com uma série de propostas em nível federal, aumentariam as multas por danos causados por falhas de segurança ou privacidade. Esforços similares estão ocorrendo em todo o mundo, da Índia ao Brasil e em outros lugares.
Embora estas novas leis não devam ser postas em práticas tão rapidamente — a legislação, reconhecidamente, demora muito para se adaptarem aos novos desafios tecnológicos — elas estão a caminho, e empresas de software e seus clientes corporativos não deveriam esperar para tomar providências. Para começar, deveriam avaliar seu nível de segurança não só em termos dos patches que instalam ou dos incidentes que respondem, mas também dos processos contínuos e trabalho sem descanso que dedicam na prevenção de vulnerabilidades de segurança e privacidade. Isso quer dizer que a métrica central na segurança de dados corporativos vai significar tempo: tempo dedicado para testar os softwares que as empresas criam e compram, e tempo dedicado para manter todos estes softwares, uma vez que estiverem implementados.
Isso significaria um drástico afastamento de práticas tão lugar-comum: deixar que as equipes de garantia de qualidade com pouquíssimos recursos descubram as falhas, e terceirizar os testes com os programas de caça aos bugs imensamente ineficientes.
Essa nova abordagem é, de alguma forma, a consequência inevitável por adotarmos as tecnologias digitais tão exaustivamente: Quanto mais tempo dedicamos ao uso de sistemas baseados em softwares, mais esforço coletivo é necessário para assegurar que estes sistemas sejam seguros. E isso se traduz em mais pessoas envolvidas em garantir privacidade e segurança, dedicando mais tempo e recursos para manter todos os softwares que usamos seguros.
Empresas que criam e implementam softwares podem se preparar adotando duas estratégias.
Primeiro, devem se concentrar em incorporar processos de segurança no ciclo de vida do design e implementação de softwares o quanto antes, e com a maior frequência possível. Há vários métodos que podem ser utilizados. Os fornecedores de softwares podem pesquisar exemplos como o denominado movimento DevSecOps — um primo do mais conhecido DevOps — que insere o pessoal de segurança diretamente no processo contínuo de desenvolvimento e operações (daí o nome). As empresas que compram softwares podem monitorar continuamente sua superfície de ataque e assegurar que grupos tais como as “equipes vermelhas”, que simulam invasores, estejam sempre investigando suas redes e monitorando sua posição de segurança.
Independentemente do método escolhido, as empresas deverão demonstrar que os controles de segurança e privacidade não são simplesmente algo a ser considerado a posteriori, mas sim um requisito essencial. As empresas serão, consequentemente, obrigadas a atentamente acompanhar tempo e recursos gastos, testando e protegendo todo o software que criam ou administram.
Em segundo lugar, as empresas também precisarão associar os recursos gastos em privacidade e segurança ao volume e à complexidade dos softwares que procuram proteger. À medida que aumenta o número de linhas de código de qualquer sistema de software, ou conforme sua base de usuários se expande, as organizações também terão de aumentar seus esforços para proteger a privacidade e a segurança de seus usuários.
Associar a profusão de programas de proteção de dados ao volume e à complexidade das necessidades de segurança fundamentais é precisamente o que as leis decretadas e propostas exigem, muitas das quais — incluindo a Lei de Proteção de Dados de Ohio e uma proposta de lei de Nova Jersey — determinam que os programas de proteção de dados sejam concretos, adaptáveis e baseados em evidências. Esta exigência está em linha ao grande volume de pesquisas que relaciona a probabilidade de defeitos dos softwares à complexidade e volume de código.
Esse tipo de resposta regulatória não deveria surpreender a indústria de softwares. Depois de enormes falhas de segurança, por exemplo, os órgãos reguladores já impõem essa exigência para alguns dos fornecedores que infringem a lei com mais frequência, demandando exaustivas e intensas auditoria, testes e revisão. Isso ficou demonstrado no acordo que a gigante global D-Link fechou no início de julho com a FTC (Comissão Federal de Comércio), no qual a D-Link concordou com um “programa de segurança de software” voltado a processos e com enorme volume de auditoria pelo prazo de 20 anos. O recente acordo entre a Facebook e a FTC, exigindo um vasto novo programa de supervisão da privacidade, é um outro exemplo dessa abordagem.
Em breve, a ideia de deixar os testes de segurança para os Jonathan Leitschuhs do mundo se tornará mais do que uma crise de imagem corporativa, para se tornar uma séria vulnerabilidade legal.
Andrew Burt é Chief Privacy Officer (diretor de privacidade) e engenheiro jurídico da Immuta.
Fonte HBR