“Ciberespaço é o novo campo de batalha”

Cibersegurança e InfoSec Conteúdo Premium Entrevistas Notícias

Kåre Kjelstrøm, CTO da Concordium, blockchain pública, em entrevista à Security Magazine avança que o mundo vive hoje uma guerra no ciberespaço. O responsável coloca o foco na blockchain. Como afirma, “uma blockchain pública geralmente fornecerá integridade, pois os dados na cadeia não podem ser alterados”.

Security Magazine – Observando o actual cenário global, económico, social e político, quais considera que são os grandes desafios e ameaças que as empresas enfrentam em termos de segurança cibernética?

O ciberespaço é o novo campo de batalha e uma guerra está a ser travada nesse campo, que é invisível para a maioria das pessoas: notícias falsas / trollagem, falsificação de eleições, hacking destrutivo e assim por diante … são todas ameaças reais que estão a ser constantemente abordadas por nações e organizações.

Como governo, deseja proteger a sua infra-estrutura crítica e empresas grandes demais para falir, como bancos centrais, de serem derrubados (devido a interrupções na Internet, falhas de energia, água, sistemas governamentais etc.) e manter a estrutura de governança intacta. Isso significa proteger eleições, proteger pessoas políticas, instituições e afins.

Como organização, por outro lado, deseja proteger os seus negócios e garantir que os seus dados comerciais não sejam expostos, roubados ou adulterados de qualquer forma – seu objectivo é garantir a continuidade dos negócios sem tempo de inactividade, além de proteger a sua chave pessoal.

Com foco nas empresas de criptomoedas, blockchain e outros activos digitais, que adaptação e apostas as empresas devem fazer para se protegerem e protegerem os activos de seus clientes nesse nível?

Os produtos Blockchain vêm em todas as formas e tamanhos. Como vimos em 2022, nem todos são construídos sobre bases sólidas. Muitas cadeias concentram os seus esforços em investimentos criptográficos, mas uma empresa deve querer construir uma cadeia que visa fornecer valor comercial real, não uma que foi hackeada para o benefício financeiro de pessoas com intenções duvidosas.

Construir uma blockchain sólida e segura requer habilidade e é uma questão de ciência sólida, então uma empresa deve escolher um produto baseado em uma base científica infalível.

Quando construída correctamente, uma blockchain oferece um destino muito seguro para as informações, pois todos os registos são vinculados criptograficamente e não podem ser adulterados devido à descentralização.

O blockchain, na sua essência, fornece um logfile imutável. Esse logfile pode ser usado para transacções monetárias, mas também em aplicativos de cadeia de abastecimentos.

Blockchains privados exigem confiança na empresa que os opera e, se não forem legais ou não implementarem segurança suficientemente boa, os activos de uma empresa não estarão seguros. Em outras palavras: uma empresa deve ter muita confiança na operadora.

Blockchains públicos, por outro lado, não exigem confiança em ninguém, mas são susceptíveis a uma aquisição hostil se um adversário conseguir operar a maioria dos nós.

Uma empresa deve verificar exactamente o quão descentralizado um blockchain realmente é e se não são apenas dois servidores em algum lugar na cave de alguém que compõem a “cadeia”.

No entanto, mesmo que uma cadeia sólida seja escolhida, os aplicativos acima dela podem não ser tão seguros quanto deveriam, portanto, as empresas devem optar por usar aplicativos totalmente descentralizados para gestão de activos. Isso ocorre porque as soluções de custódia são inerentemente perigosas, pois são propensas a ataques e perde o controlo dos seus próprios fundos ao colocá-los com uma entidade física fora da cadeia.

Uma empresa deve optar por usar sistemas não custodiais que permitam livros físicos para proteger os seus activos de agentes mal-intencionados e hackers. Aplicativos descentralizados com total transparência permitem a inspecção da liquidez na cadeia e verificam se as transacções realmente ocorreram, permitindo que proteja os seus activos.

Como avalia o posicionamento das empresas dessas áreas em relação à cibersegurança e segurança da informação?

Infelizmente, a Web 3.0 está cheia de aplicativos não descentralizados, onde a maior parte ou toda a lógica de negócios crítica reside em servidores fora do blockchain.

O triângulo de segurança da informação, confidencialidade, integridade e disponibilidade (CIA) deve ser avaliado em relação a qualquer sistema externo que uma empresa decida usar.

Uma blockchain pública geralmente fornecerá integridade, pois os dados na cadeia não podem ser alterados. Ela pode fornecer confidencialidade se os dados forem armazenados na cadeia de maneira criptografada, mas deixa em aberto quaisquer questões relacionadas ao armazenamento das chaves de descriptografia.

Não há garantias de que um provedor privado de blockchain realmente usaria os poderes da cadeia para garantir a CIA, e é por isso que a devida diligência é sempre necessária.

Quando sugere a implementação de uma abordagem em camadas para segurança cibernética, o que quer dizer exactamente? Essa abordagem significa 100% de protecção ou não podemos falar de 100% de protecção?

Um sistema 100% seguro não é uma possibilidade, mas pode fortalecer a sua segurança dentro de uma empresa e dentro dos sistemas de TI adicionando defesa em profundidade.

Um sistema que implementa apenas defesa de perímetro é vulnerável quando essa defesa é violada, mas um sistema com várias camadas de segurança tem uma chance muito maior de se defender.

É uma estratégia que foi utilizada na construção de castelos físicos, literais, já na Idade Média: as paredes externas representavam a primeira camada de defesa, e muitas vezes uma parede interna forneceria uma segunda camada de protecção até que finalmente os moradores do castelo recuariam para a parte mais interna da fortaleza.

Um blockchain geralmente consiste em 4 componentes: o componente de rede, o componente de consenso e finalização, o componente de execução e o componente de API, que é sobre o qual os aplicativos são construídos.

Em cada componente, uma criptografia forte é empregue para manter o sistema protegido contra violações e cada componente possui propriedades exclusivas. Por exemplo, o componente de consenso pode tolerar uma fracção de nós maliciosos e ainda funcionar adequadamente.

Todos os componentes são exaustivamente testados para que seja difícil explorar bugs e tornar os nós maliciosos. Isso é o que queremos dizer quando falamos sobre uma abordagem em camadas para a segurança.

Considera que a implementação de tal abordagem está ao alcance de todas as empresas?

Isso vai ser um simples, retumbante, sim. Deve estar ao alcance e deve ser algo que todas as empresas almejam. A segurança é muito importante para ser negligenciada.

Na Concordium que tipo de investimentos estão a ser feitos para garantir a segurança do seu património? Qual a importância da cibersegurança para a sua organização?

A segurança é uma preocupação fundamental para nós e algo que levamos muito a sério. A própria promessa de um blockchain está enraizada na segurança e não podemos deixar de investir pesadamente nessa área.

As nossas próprias equipas estão a trabalhar muito para testar as nossas defesas para cada lançamento, mas também contratamos regularmente especialistas externos para verificação do nosso principal produto blockchain, APIs e carteiras.

Para desenvolvedores que constroem no nosso blockchain, estamos a pesquisar a verificação formal de contractos inteligentes. Em 2022, vimos grandes breaches of bridges, geralmente resultantes de códigos incorrectos – revisões de código não são uma solução infalível para detectar problemas, mas um sistema automatizado seria capaz de detectar vulnerabilidades conhecidas em contractos inteligentes e ajudar a evitar armadilhas comuns.

Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.