TSE
deveria se preocupar com cibersegurança tanto quanto com “fake news”.
.jpg)
Urnas eletrônicas que serão usadas nas eleições
presidenciais de 2018-
O mundo inteiro, inclusive o Brasil, vem debatendo o
fenômeno da manipulação política pela internet. O Tribunal Superior Eleitoral,
por exemplo, criou um grupo de trabalho para tratar das chamadas fake news. No
entanto, há um outro tema tão ou mais relevante do que esse que vem sendo
deixado de lado: o vazamento de dados.
Neste importante ano eleitoral, é de esperar que o mesmo
protocolo de ataques que vêm sacudindo as eleições ocidentais se materialize em
alguma medida entre nós. Uma das principais modalidades de manipulação da
opinião pública é justamente o furto de dados, afetando políticos,
ativistas, partidos e outras organizações.
Isso aconteceu nos EUA com o Partido Democrata e na
França na eleição de Emannuel Macron. Esses dados usualmente incluem informações
como crenças religiosas, situação médica ou orientação sexual, perfeitos
para serem expostos de forma sensacionalista.
No Brasil, a situação é especialmente periclitante.
Cibersegurança é um tema à deriva no âmbito governamental. Infelizmente, também
costuma ser negligenciado no setor privado ou em organizações de interesse
público (como partidos ou organizações civis).
São exatamente esses os alvos preferidos dos ataques de
roubo de dados. Em um estudo recente, o pesquisador Jakub Dalek, da Universidade
de Toronto, relata vários casos de vulnerabilidade em organizações como essas,
até mesmo para ataques relativamente simples. Um tipo comum é a
chamada engenharia social, isto é, enganar alguém para clicar em um link
ou abrir um arquivo infectado.
Por exemplo, enviar um e-mail em nome de outra pessoa
que o destinatário possa conhecer. Ou ainda mensagens aparentemente
profissionais, como segue o novo logo da campanha para sua aprovação. Na
pressa, a maioria das pessoas nem presta atenção e vai clicando em tudo
sem pensar.
Em suma, esses ataques exploram muito mais as
falhas da natureza humana do que dos sistemas computacionais. O problema é que,
apesar da simplicidade, o dano é igualmente devastador. Comparável até mesmo a
ataques com os chamados zero-day exploits, que custam centenas de milhares de
dólares.
A estimativa de Dalek é que, hoje, com menos de US$
1.000 é possível lançar um ataque de engenharia social bem-feito e
altamente eficaz.
Qual a solução? A primeira é incorporar o tema ao debate
público. O TSE deveria se preocupar com ele tanto ou mais quanto vem se
preocupando com fake news.
Do lado dos usuários e das organizações, uma medida
simples é acionar o duplo fator de autenticação para todas as contas de
e-mail. Estima-se que só 10% dos usuários tenham hoje esse duplo fator
ativado.
Por fim, parar de mandar ou abrir anexos em e-mails e só
enviar ou receber arquivos por intermédio de um serviço profissional de nuvem,
que use filtros contra esse tipo ameaça. Nada traz mais riscos do que
simplesmente ignorar essas questões.
Ronaldo
Lemos - advogado, diretor do Instituto
de Tecnologia e Sociedade do Rio de Janeiro (ITSrio.org). Mestre em direito por
Harvard. Pesquisador e representante do MIT Media Lab no Brasil.
Fonte:
coluna jornal FSP