Pontos de vista

Como evitar acidentes na estrada cibernética

Garry Kasparov, 16 Julho 2018

Garry Kasparov explora como os regulamentos podem nos proteger e a importância de desenvolver bons hábitos pessoais de segurança cibernética.

Fiz uma palestra sobre política e direitos humanos em um fórum importante maio passado, em Nova Iorque, e meus colegas palestrantes incluíam muitos antigos políticos e acadêmicos, que foram falar sobre vários assuntos, desde a Coreia do Norte até a liberdade de imprensa e segurança cibernética.

O ex-congressista americano Mike Rogers foi um deles e fez uma apresentação educada sobre os diversos riscos que enfrentamos hoje na esfera digital, tanto para a segurança pessoal quanto nacional. Como antigo Presidente do House Intelligence Committee, ele enfrentou essas preocupações urgentes diariamente. (Infelizmente, esse comitê agora se tornou um campo de batalhas políticas, uma situação muito perigosa, pois a segurança não deveria ser um assunto partidário).

Foi bom ouvir Rogers falar sobre muitos temas que eu trouxe a este blog, incluindo os perigos apresentados por nações que consideram atividades agressivas de hacking como prioridade nacional. Rogers listou a Rússia, China, Irã e Coreia do Norte como as fontes mais comuns dessas ameaças, que têm a meta de coletar informações, roubar pesquisas e dinheiro e, em alguns casos, causar danos físicos através de sabotagem de sistemas, como redes elétricas.

Rogers falou também sobre a privacidade e segurança do consumidor e fez uma proposição divertida para ajudar a convencer as pessoas. Ele perguntou ao público sobre o “espião mais bem-sucedido na história” e depois mostrou uma boneca Barbie. A versão “Hello Barbie” foi lançada em 2015 e podia conversar com crianças usando Wi-Fi e reconhecimento de voz. Aconteceram dois enormes problemas. Primeiro, o brinquedo coletou muitas informações pessoais nessas conversas. (“Me conte sobre sua família!”). Segundo, foram descobertas falhas de segurança que permitiam que cibercriminosos tivessem acesso aos dados do usuário, transformando a Barbie em uma superespiã doméstica real.

No ano passado, outra boneca conectada à internet, chamada de Cayla, foi banida na Alemanha devido a preocupações com privacidade, que, claro, são sempre maiores quando se trata de proteger crianças. Apenas há alguns dias, uma situação semelhante levou os grandes varejistas nos EUA a interromper as vendas de um brinquedo da CloudPets, após a Mozilla Foundation protestar sobre sua capacidade de espionagem e violação de dados. Esses casos chamaram a atenção, mas o problema principal é a falta de padrões para informar os consumidores e de responsabilidade quando as coisas dão errado. Como um representante da Mozilla disse “alguns brinquedos inteligentes têm segurança melhor que outros, mas achamos que o CloudPets era um exemplo muito negativo. Nossa meta era entrar em contato com os lojistas para que eles soubessem exatamente o que estavam vendendo”.

Um relatório cita avaliações online da Hello Barbie, que são um exemplo perfeito do que Rogers e eu alertamos: as pessoas se preocupam mais com recursos e “economizar dois segundos” (nas palavras de Rogers), do que com a privacidade. “Muitos pais, no entanto, decidiram mesmo assim comprar a boneca. ‘Eu leio tudo sobre invasões, mas lamento se o big brother vai espionar. Ele já faz isso através do seu smartphone’”. Cada vez que um consumidor diz algo parecido com isso, um cibercriminoso ganha asas...

Ironicamente, parece que estamos muito menos preocupados com a nossa privacidade de adultos, apesar de termos informações muito mais valiosas para proteger. Nem parecemos ter mais controle sobre o que uma criança que implora para ter a última novidade em brinquedos. Baixamos apps e atualizações, clicamos sem parar pelas informações de segurança e, depois, ficamos chocados quando vemos no noticiário a quantidade de informações que esses apps têm sobre nós e que são vendidas para outras empresas e organizações políticas.

Temos até versões menos divertidas de espiões domésticos. Dispositivos que são muito mais populares e potencialmente invasivos que qualquer brinquedo. Quando Rogers fez sua pergunta retórica sobre o “espião mais bem-sucedido”, muitos de nós no público sussurramos “Alexa!”, o assistente virtual onipresente que funciona em dispositivos Echo da Amazon, além de telefones e quase todo dispositivo de computação. Adicione a Siri da Apple, Home da Google, Cortana da Microsoft e você verá que estamos todos virtualmente cercados por esses ajudantes virtuais. Já houve alguns incidentes de abuso divertidos e outros nem tão divertidos com esses dispositivos.

A competição feroz entre essas gigantes de tecnologia dos EUA garante duas circunstâncias que estão em conflito. Primeira: elas trabalham duro na segurança, pois qualquer violação fará com que percam clientes para os concorrentes. Segunda: a pressa de introduzir novos dispositivos e recursos antes dos concorrentes leva inevitavelmente a falhas de segurança. É um equilíbrio delicado, que depende de como os clientes e governos reagem à segurança e violações de privacidade. Se as empresas sentirem que não são punidas por falhas de segurança, eles terão pouco incentivo para evitá-las. Esse é o livre mercado em funcionamento, para o melhor e para o pior.

O senso comum nos diz que, à medida que esses dispositivos se tornam mais comuns, mais problemas com segurança existirão. Mas, como frequentemente acontece, o senso comum não está inteiramente correto nesses casos. Haverá provavelmente mais incidentes em grande quantidade no início, mas, paradoxalmente, a porcentagem de problemas diminuirá conforme a tecnologia amadurece e se torna padronizada. Os regulamentos serão mais claros, os clientes e empresas aprenderão suas obrigações e riscos, e a cadeia de responsabilidade não será tão obscura.

Essa tendência me lembra do padrão de tráfego que os pesquisadores chamam de efeito dos ciclistas holandeses ou, de maneira mais geral, segurança em números. Sempre que as cidades pensam em adicionar mais ciclovias, os críticos alertam que haverá mais acidentes. Embora possa haver um aumento inicial nos números globais, estudos mostram que a porcentagem de acidentes por ciclista diminui e, então, os números absolutos começam a baixar. Quando os motoristas e pedestres se acostumam com os ciclistas e às leis de circulação, a segurança aumenta para todos. Motoristas em cidades com relativamente poucos ciclistas, como Nova Iorque, não esperam ver bicicletas, não procuram por elas e não sabem quem tem o direito de passagem ou responsabilidade por interagir com eles. Mas em Amsterdã ou Copenhagen, onde há tantas ou mais bicicletas do que carros nas ruas, todos sabem o que esperar, as convenções estão implantadas e são respeitadas. (Exceto por turistas estrangeiros, que frequentemente se assustam com as pistas expressas de bicicletas).

Isso cria um ciclo virtuoso, em que o aumento da segurança faz com que mais pessoas usem bicicletas. Ou, para encerrar essa grande metáfora, leva a que mais pessoas adotem dispositivos digitais quando eles veem que são seguros e compreendem as “regras da estrada” digital, para manter seus dados e eles mesmos em segurança.

Ainda não chegamos lá, mas se você julgar pela onda recente de novos contratos de termos de serviço emitidos por cada site e serviço, estamos avançando. Eles são resultado do “Regulamento Geral de Proteção de Dados” da União Europeia, ou GDPR, uma legislação que entrou em vigor em 25 de maio de 2018. Haverá certamente mudanças e melhorias, como com qualquer nova lei que é tão ampla e global, mas é um bom começo para criar responsabilidade das empresas para dar aos usuários mais consciência e controle sobre seus próprios dados. Meu próximo artigo provavelmente focará nas vantagens e desvantagens do GDPR e outras legislações. O que é mais importante: ele não libera os consumidores da responsabilidade de manterem-se informados e ativos com relação à privacidade e segurança. As informações não servem para muita coisa se você mesmo não agir.

Os regulamentos podem ajudar a nos proteger a longo prazo, mas também é essencial desenvolver bons hábitos de segurança cibernética pessoal, como um ciclista ou motorista experiente desenvolve bons hábitos. Um caminhão passando no sinal vermelho é algo ilegal, mas mesmo assim você deve olhar para os dois lados antes de atravessar a rua. Caso contrário, embora a lei possa responsabilizar o motorista pelo acidente, isso não será nenhum consolo para você, que ficará achatado como um blini na superestrada da internet.